2017年9月1日下班后，郵箱里出現(xiàn)了一封來自MicroFocus的郵件，里面宣布HPE軟件部門的分拆和與MicroFocus的合并正式完成。我趕緊打開Arcisght的網(wǎng)頁，果然，URL被重定向到了MicroFocus。看到此幕，令我唏噓不已。

想起來，我其實(shí)對Arcsight還是比較有感情的。

我2001年在聯(lián)想開始了SOC從業(yè)之旅。也就是在那個(gè)時(shí)候，我接觸到了Gartner，并從此追蹤它們的研究直到現(xiàn)在。

這是我當(dāng)時(shí)所看到的第一份Garnter的報(bào)告（還有中文版哦。那時(shí)Gartner就已經(jīng)進(jìn)入中國了，在上海北京有辦事處）。不得不說，現(xiàn)在還在跟Kelly Kavanagh打交道（他現(xiàn)在是SIEM MQ的主筆）。

在2003年的時(shí)候，我們團(tuán)隊(duì)開始著手調(diào)研全球的SIEM/SOC市場，以期進(jìn)行引進(jìn)合作（這里有一篇我2003年初寫的調(diào)研報(bào)告——安全集中管理系統(tǒng)早期調(diào)研）。當(dāng)時(shí)，我們還看到了Gartner第一篇有關(guān)安全管理平臺的報(bào)告。那時(shí)候還沒有SIEM這個(gè)術(shù)語，與之相近的市場細(xì)分包含了企業(yè)事件管理。下面這個(gè)MQ中的大部分廠商我們當(dāng)時(shí)都有調(diào)研過。

那時(shí)候，安氏跟e-Security合作，引進(jìn)他們的Sentinel；啟明星辰則在后來跟NetForensics合作；綠盟自己做了個(gè)ESP。當(dāng)時(shí)我們跟netForensics，IBM Tivoli都進(jìn)行了談判和產(chǎn)品評估，但都不是很理想，最后選定了Arcsight。當(dāng)時(shí)，Arcsight才成立沒幾年，剛剛推出產(chǎn)品。但是Arcsight表現(xiàn)了巨大的誠意。在跟我們談判期間，成立了亞太區(qū)，派香港人Robert擔(dān)綱，并很快來到北京和我們具體商談合作事宜。另一方面，我們團(tuán)隊(duì)進(jìn)行了仔細(xì)的技術(shù)評估，也認(rèn)可了Arcsight的技術(shù)。于是，我們后來經(jīng)常說，是我們（聯(lián)想）團(tuán)隊(duì)將Arcsight引入了中國。

2004年的時(shí)候，Gartner正式開始對安管平臺進(jìn)行MQ分析，如下圖。

【注：上圖是我去年才看到的，在當(dāng)年可沒有見過:-)】盡管我N年后才看到這個(gè)圖，不過在2003年的時(shí)候，我們已經(jīng)基本將這些公司分析了一遍。那時(shí)候，Arcsight還不算特別突出。當(dāng)年最厲害的三個(gè)廠商是e-Security，netForensics，Intellitectics。

時(shí)至今日，這三個(gè)廠商都已經(jīng)面目全非。e-Security后來被Novell收購，后來Novell以及NetIQ又被Attachmate收購，Attachmate又被MicroFocus收購。真累。所以多說一嘴，現(xiàn)在的MicroFocus其實(shí)有兩套SIEM/安管平臺/品牌了，包括Arcsight和NetIQ（NetIQ原始的SIEM在跟e-Security/Novell的Sentinel的PK中已經(jīng)被干掉，但是勝出的Sentinel掛上了NetIQ品牌，夠亂的）。現(xiàn)在登錄MicroFucus的網(wǎng)站，依然可以看到Sentinel！真不知道他們以后打算怎么搞！

再說netForensics，已經(jīng)改換門庭，叫“黑云”BlackStratus公司了。該公司一度想要納斯達(dá)克上市，但尚未成功。現(xiàn)在BlackStratus主要做SaaS和給MSSP提供SIEM服務(wù)平臺。

至于Intellitectics，在2010年被Trustwave收購了，成為了他們的MSS平臺【參見我的博客《? ? ? ?Gartner：2013-2014年全球MSS市場分析》】。

回到跟Arcsight的合作。事實(shí)證明，我們的選擇是正確的。Arcsight發(fā)展勢頭很猛，自從跟我們合作后，很快打開了中國市場，包括當(dāng)時(shí)的IBM都主賣Arcsight而不是自己的Tivoli（盡管也在不斷收購SIEM廠商）。我們團(tuán)隊(duì)在離開聯(lián)想繼續(xù)著跟Arcsight的合作，幫助其開拓中國市場，實(shí)施了頭幾個(gè)中國的典型客戶。

在Garnter的MQ排名方面，Arcsight也是一路飆升。

2005年Gartner第一次發(fā)表了SIEM的MQ，Arcsight地位已經(jīng)很高了。

此后，所有的SIEM MQ，Arcsight都位居第一象限，也是唯一一個(gè)做到這點(diǎn)的廠商。2008年初，Arcsight在Nasdaq上市成功。從2009年開始，Arcsight正式成為了SIEM市場第一（包括銷量和綜合實(shí)力），并在2011年的MQ達(dá)到了頂峰。也就是那時(shí)候開始，Arcsight成為了SIEM市場的統(tǒng)治者。

就像大部分其他的故事發(fā)展情節(jié)一樣，上市后的Arcsight開始了一系列戲劇性的變化。首先，就是被巨頭們盯上了。彼時(shí)的SIEM市場炙手可熱，人們談?wù)揂rcsight就像后來人們討論Splunk之于數(shù)據(jù)分析，FireEye之于沙箱一樣，成為了安全領(lǐng)域的一個(gè)“銀彈”。IBM和HP，還有一堆老大們?yōu)榱苏碱I(lǐng)這個(gè)市場，紛紛展開并購。最后，HP捷足先登，在2010年收購了Arcsight。搞得IBM沒有辦法，只好在2011年收購了Q1Labs。

事實(shí)證明，HP收購Arcsight是一個(gè)失敗的案例。這個(gè)結(jié)局也許從一開始就能顯示出來。對比一下，就能發(fā)現(xiàn)，Hp收購Arcsight并未給Arcsight太大的自主權(quán)，而且從并購之初就出現(xiàn)了大量的人員兌現(xiàn)走人。再加上HP自身過于龐大，兼顧PC和軟件業(yè)務(wù)，漸漸自顧不暇。而IBM收購Q1Labs則表示了極大的誠意，整個(gè)成立了一個(gè)安全部，讓Q1Labs的掌管，并將之前IBM的各類安全產(chǎn)品交給Q1labs團(tuán)隊(duì)打理，并購后沒有出現(xiàn)大的人員離職潮。

從HP并購Arcsight開始，離職就是主旋律，我之前的博客《風(fēng)雨飄搖中的HP會分拆Arcsight業(yè)務(wù)嗎？》有大量提及。2012年5月，前Arcsight的CEO，并購后掌管HP大安全業(yè)務(wù)的Tom Reilly離開了HP，成為了一個(gè)標(biāo)志性事件。Arcsight成了SIEM的“黃埔軍校”，人員散落各處。

其實(shí)，早在2010年并購后，Arcsight亞太團(tuán)隊(duì)就已經(jīng)開始兌現(xiàn)走人了，Robert帶著人去到了當(dāng)時(shí)正在冉冉升起的新星——Splunk。那時(shí)候，不斷有Arcsight的人去Splunk，包括后來的Arcsight研發(fā)主管宋海燕【以前Tom Reilly和宋海燕都曾到訪中國跟我們交流過】。這些人賭的，就是Splunk的上市（2012年上市）。

伴隨著創(chuàng)業(yè)者的離開，HP自身的臃腫，還有Arcsight逐漸固步自封。也就是從2011年開始，各種隱患開始顯現(xiàn)：價(jià)格昂貴，部署極其復(fù)雜，使用成本居高不下，包括主要還是老一代的SIEM技術(shù)架構(gòu)，死綁Oracle數(shù)據(jù)庫，事件處理性能上不去，C/S架構(gòu)，B/S很弱，加上效果不顯著，客戶不滿逐漸增加。而這時(shí)候?qū)κ謧儏s開始發(fā)力，運(yùn)用新的技術(shù)架構(gòu)奮力趕超。

從2012年開始，Arcsight一枝獨(dú)秀的場景不再，SIEM市場開始進(jìn)入三足鼎立的時(shí)代（HP的Arcsight，IBM的Qradar，McAfee的NitroSecurity）。

在我對2013年度的SIEM MQ評論中，我寫到：“HP ArcSight主要是在2011年到2012年間重建了他的ESM后臺數(shù)據(jù)庫，將之前飽受爭議的Oralce更換為了輕量級的數(shù)據(jù)庫CORR，推出了ESM6.0c，性能改進(jìn)了不少。但即便如此，其系統(tǒng)部署和實(shí)施的復(fù)雜性依然高過其他競爭對手。同時(shí)，在一些代表未來的SIEM新技術(shù)應(yīng)用方面，Arcsight也落后其他兩大巨頭。”

隨著Splunk吸收了大量Arcsight的創(chuàng)業(yè)人員，到2012年上市和異軍突起，漸漸加入了SIEM MQ的戰(zhàn)團(tuán)。到了2014年，SIEM市場成為了四國大戰(zhàn)時(shí)代（HP，IBM，Intel（McAfee）和Splunk）。再到2016年，SIEM三強(qiáng)已經(jīng)換成了IBM，Splunk和LogRhythm了。

2012年，Arcsight還能勉強(qiáng)支撐，從2014年開始，Arcsight就已經(jīng)明顯開始退步了。每次Gartner對Arcsight的評價(jià)都是太重型、架構(gòu)太老、部署和使用太復(fù)雜、太貴、客戶不滿很多。技術(shù)評分（Critical Capabilities）方面都是表現(xiàn)平平。

相信，隨著Arcsight歸入MicroFocus旗下，一方面技術(shù)連連退步，另一方面品牌和市場損失必然不小，Gartner在2017年的MQ中恐怕不會對Arcsight有啥好話【注：寫此文時(shí)2017年MQ還沒有發(fā)布】。

可以說，我是看著Arcsight成長起來的，還曾經(jīng)一度參與其中，現(xiàn)在看著Arcsight改換門庭，不知道未來的Arcsight將如何繼續(xù)走下去。

現(xiàn)在，MicroFocus的主要管理者都是HPE過去的，不知道是否會有些幫助。但想著Arcsight跟NetIQ? Sentinel兌在一塊兒，感覺很是怪異。接下來，我最關(guān)注的就是MicroFocus如何處理Arcsight跟NetIQ這兩個(gè)品牌，及其里面的大量軟件組合。

這種并購最麻煩的就是產(chǎn)品的用戶了。Arcsight客戶流失不可避免，并且早已發(fā)生。

還有一個(gè)令我哭笑不得的是，Arcsight在中國的情況更加復(fù)雜，因?yàn)檫€有HP出售H3C多數(shù)股權(quán)給紫光這檔子事兒。新華三成立后，承接了HPE（慧與，不是惠普）很多原來的業(yè)務(wù)。NetIQ在中國是有總代的，但MicroFocus在中國似乎沒有總代。我聽說HPE搞Arcsight的人被分拆到了新華三？在中國市場，從HPE分拆出去那幫人去哪里了呢？微焦中國？總之，亂的很。不知道新微焦（MicroFocus）將如何收拾中國的這一大攤子事兒。

【參考】

風(fēng)雨飄搖中的HP會分拆Arcsight業(yè)務(wù)嗎？

從HP收購ArcSight看SIEM/MSS市場現(xiàn)狀與格局【9月17日更新】

Arcsight產(chǎn)品市場副總談并入HP之后的發(fā)展策略

Gartner：2016年SIEM（安全信息與事件管理）市場分析

Gartner：2015年SIEM（安全信息與事件管理）市場分析

Gartner：2014年SIEM（安全信息與事件管理）市場分析

Gartner：2013年SIEM市場分析（MQ）

Gartner：2012年SIEM（安全信息與事件管理）市場分析報(bào)告

Gartner發(fā)布2011年SIEM市場分析報(bào)告（幻方圖）

評Gartner2010年安全信息和事件管理（SIEM）分析報(bào)告

Gartner公司對2009年安全信息和事件管理（SIEM）的分析報(bào)告

轉(zhuǎn)載于:https://blog.51cto.com/yepeng/1969386

總結(jié)

以上是生活随笔為你收集整理的颠沛流离的Arcsight，辉煌不再的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。