Home IBM Logo
header

IBM dà un nuovo impulso alla propria attività nel settore SIEM con l'acquisizione di Q1 Labs

Il 4 ottobre 2011 IBM ha annunciato la propria intenzione di acquisire Q1 Labs e di creare una divisione al proprio interno dedicata ai sistemi di sicurezza. Grazie a questa acquisizione IBM disporrà di una solida tecnologia di gestione degli eventi e di informazioni sulla sicurezza e potrà cosî sostituire la propria offerta attualmente ancora poco efficace.

Panoramica

Questa acquisizione può realmente migliorare la capacità di IBM di competere sul mercato della gestione degli eventi e delle informazioni sulla sicurezza (SIEM), soprattutto alla luce dell'acquisizione da parte di HP di ArcSight e della recente acquisizione di NitroSecurity da parte di McAfee. L'intento di questa ricerca è offrire consigli utili per i clienti attuali o potenziali di Q1 Labs e SIEM di IBM.

Risultati chiave
  • Impatto 1: IBM risolve i propri punti di debolezza da lungo esistenti nel settore della tecnologia dedicata al monitoraggio della sicurezza.
  • Impatto 2: è probabile che IBM amplierà e intensificherà l'integrazione di QRadar con le proprie tecnologie di sicurezza e di operatività del settore IT.
  • Impatto 3: QRadar consente a IBM di offrire soluzioni ottimizzate di gestione dei log e di monitoraggio della sicurezza, tra cui figurano la tecnologia SIEM e i servizi gestiti di sicurezza (MSS) di IBM stessa.
Consigli
  • Gli acquirenti potenziali di SIEM devono ora considerare IBM come un provider affidabile di tecnologie scalabili per il monitoraggio della sicurezza di reti, applicazioni in hosting e attività degli utenti.
  • Gli attuali utenti di IBM Tivoli Security Information and Event Manager (TSIEM) devono prepararsi alla migrazione da TSIEM a QRadar con la possibilità di ricevere incentivi a tale scopo.
  • Gli attuali utenti di QRadar devono seguire gli sviluppi di IBM per ottenere un supporto continuativo nel tempo su fonti eterogenee di eventi legati alla sicurezza, come IBM stessa ha fatto con i propri portafogli esistenti SIEM e di gestione dei sistemi.
  • I clienti che intendono implementare QRadar e utilizzare un provider MSS (MSSP) per la gestione e il monitoraggio in remoto devono attendere il quarto trimestre del 2011 quando IBM annuncerà la disponibilità a livello generale di MSS di QRadar.
Analisi

Il 4 ottobre 2011 IBM ha annunciato la propria intenzione di acquisire Q1 Labs e di creare una nuova divisione al proprio interno dedicata ai sistemi di sicurezza. Q1 Labs è un provider di una soluzione univoca di tecnologia SIEM.

La figura 1 riassume i principali aspetti dell'impatto di questa acquisizione sui clienti attuali e potenziali di IBM e Q1 Labs e offre consigli per le fasi successive.

Figura 1. Aspetti fondamentali dell'impatto e principali consigli per clienti attuali e potenziali di IBM e Q1 Labs

fig 1

Fonte: Gartner (ottobre 2011)

Impatto 1: IBM risolve i propri punti di debolezza da lungo esistenti nel settore della tecnologia dedicata al monitoraggio della sicurezza

IBM doveva risolvere i punti di debolezza della sua attuale offerta nel settore SIEM e, grazie all'acquisizione di Q1 Labs, potrà raggiungere questo obiettivo. L'attuale offerta di IBM per il settore SIEM è rappresentata da TSIEM, un'integrazione delle tecnologie derivanti dalle precedenti acquisizioni di Consul e Micromuse. TSIEM garantiva un supporto affidabile per il monitoraggio degli utenti, ma non era in grado di fronteggiare altri casi di utilizzo. I clienti TSIEM si lamentavano della mancanza di scalabilità e il prodotto veniva raramente implementato per il monitoraggio della sicurezza di reti. Al contrario, i clienti dichiarano che la tecnologia QRadar di Q1 Labs è in grado di supportare il livello di scalabilità desiderato e i casi di utilizzo di monitoraggio di applicazioni in hosting e della sicurezza degli utenti:

  • Crediamo che IBM passerà immediatamente da TSIEM a QRadar come principale offerta per i prodotti SIEM.
  • Crediamo che IBM interromperà qualsiasi nuovo sviluppo su TSIEM e offrirà incentivi alla migrazione a QRadar agli attuali clienti TSIEM.

Consigli:

  • I clienti potenziali della tecnologia SIEM devono ora considerare IBM come un provider di tecnologie scalabili per il monitoraggio della sicurezza di reti, applicazioni in hosting e attività degli utenti.
  • Gli attuali utenti di TSIEM devono prepararsi alla migrazione da TSIEM a QRadar con la possibilità di ricevere incentivi a tale scopo.
Impatto 2: è probabile che IBM amplierà e intensificherà l'integrazione di QRadar con le proprie tecnologie di sicurezza e di operatività del settore IT

Il valore principale della tecnologia SIEM consiste nella capacità di integrare con facilità un'ampia gamma di fonti di contesti ed eventi di sicurezza di vendor diversi. IBM ha un'esperienza comprovata nel garantire il supporto a piattaforme eterogenee (e in concorrenza) nell'ambito delle proprie tecnologie di gestione dei sistemi. IBM ha l'opportunità di offrire un livello di integrazione maggiore con le proprie tecnologie di sicurezza e di operatività del settore IT.

  • Gestione dell'identità e dell'accesso (IAM): IBM offre un supporto di ampio respiro all'integrazione di IAM all'interno di TSIEM, incluse fonti IBM e di terze parti. QRadar è in grado, allo stesso tempo, di integrare una gamma relativamente ampia di tecnologie IAM. IBM può abbinare la propria copertura IAM di TSIEM a un ampliamento più contenuto dell'integrazione IAM di QRadar.
  • Monitoraggio della sicurezza delle reti: Le tecnologie esistenti di QRadar come il prodotto di analisi del comportamento della rete offrono funzionalità con un vantaggio competitivo, come l'analisi approfondita NetFlow e l'individuazione di anomalie per il caso di utilizzo del monitoraggio della sicurezza delle reti. L'integrazione di QRadar con l'infrastruttura di monitoraggio della rete Netcool di IBM rappresenta un potenziale a lungo termine. Grazie al nuovo impulso alla propria attività nel settore della tecnologia sulla sicurezza delle reti, IBM deve continuare a gestire le pressioni interne e a superare gli ostacoli della concorrenza per offrire uno sviluppo e un supporto continuativo nel tempo a fonti di eventi di sicurezza delle reti concorrenziali. I vendor con fonti di eventi in concorrenza con alcuni settori del portafoglio tecnologico di un vendor SIEM non sono in genere in grado di offrire assistenza all'integrazione di eventi SIEM.
  • Monitoraggio delle attività del database (DAM): QRadar è in grado di integrare la tecnologia DAM InfoSphere Guardium di IBM e le tecnologie DAM di vendor concorrenti come Imperva e McAfee. Esiste un'opportunità nel breve termine per IBM di creare un packaging di prodotto e incentivi di listino al fine di promuovere la combinazione tra QRadar e InfoSphere Guardium.
  • Monitoraggio delle applicazioni in hosting: TSIEM di IBM offre diverse possibilità di monitoraggio basate su agenti per molte delle principali piattaforme server, mentre QRadar, laddove possibile, utilizza log di sistema nativi. C'è la possibilità di utilizzare gli agenti attuali TSIEM con QRadar per offrire funzionalità di monitoraggio basate su agenti al fine di integrare l'attuale orientamento ai log di sistema di QRadar.
  • Analisi dei dati di sicurezza su ampia scala: IBM ha già intrapreso sviluppi volti all'applicazione di tecnologie IBM di business intelligence come Cognos e SPSS. Esiste una possibilità di integrazione nel lungo termine con QRadar per migliorare le funzionalità di analisi della sicurezza su ampia scala.

Consigli:

  • Gli attuali utenti di QRadar devono seguire gli sviluppi di IBM per ottenere un supporto continuativo nel tempo su fonti eterogenee di eventi legati alla sicurezza, come IBM stessa ha fatto con i propri portafogli esistenti SIEM e di gestione dei sistemi.
  • I clienti SIEM potenziali di IBM dovranno richiedere gli abituali sconti di licenze e supporto nel momento in cui la tecnologia SIEM di QRadar sarà inclusa nelle proposte di licenze a livello più generale.
Impatto 3: QRadar consente a IBM di offrire soluzioni di gestione dei log e di monitoraggio della sicurezza, tra cui figurano la tecnologia SIEM e gli MSS di IBM stessa

IBM è già in grado di offrire un servizio di gestione dei log e degli eventi di sicurezza come parte del proprio portafoglio MSS. Nell'offerta è inclusa la possibilità di un'implementazione di TSIEM in sede. L'acquisizione della tecnologia QRadar offrirà ai clienti la possibilità di implementare in sede una tecnologia SIEM di IBM di livello superiore come componente di una soluzione MSS. Alcuni mesi prima dell'acquisizione di Q1 Labs, IBM aveva previsto di offrire il monitoraggio e la gestione in remoto dell'implementazione di QRadar (cosî come di altre tecnologie SIEM) attraverso MSS di IBM:

  • In tempi rapidi IBM sarà in grado di offrire l'implementazione, l'integrazione e il supporto in outsourcing di QRadar. Il supporto di MSS è previsto per il quarto trimestre del 2011.

Consigli:

  • I clienti che intendono implementare QRadar e utilizzare un provider MSS (MSSP) per la gestione e il monitoraggio in remoto devono attendere il quarto trimestre del 2011 quando IBM annuncerà la disponibilità a livello generale di MSS di QRadar.
Source: Gartner RAS Core Ricerca, G00226293, M. Nicolett, K. Kavanagh, 17 October 2011
Return to Home