نشرها من جيفري ستوتزمان، الرئيس التنفيذي لشركة Trusted Internet
"الكشف والاستجابة الممتدة عبارة عن نظام أساسي يدمج البيانات والتنبيهات ويربطها ويضعها في سياقها من مكونات متعددة لمنع الأمان والكشف والاستجابة. XDR هي تقنية سحابية تتضمن حلولاً متعددة متخصصة وتحليلات متقدمة لربط التنبيهات الواردة من مصادر متعددة بحوادث أمنية، انطلاقاً من إشارات فردية ضعيفة، بهدف تحقيق كشف أكثر دقة. تهدف هذه التقنية إلى الحد من انتشار المنتجات، وإرهاق التنبيهات، وتحديات التكامل، والتكاليف التشغيلية، وستجذب بشكل خاص فرق عمليات الأمن التي تواجه صعوبة في إدارة مجموعة حلول متخصصة أو تحقيق قيمة مضافة منها. SIEM أو حل SOAR." (جارتنر)
يقول جارتنر أيضًا أنه بحلول نهاية عام 2023 ، سيكون 30٪ على الأقل من EDR و SIEM سيدعي مقدمو الخدمات أنهم يقدمون XDRعلى الرغم من افتقارهم إلى الجوهر XDR الوظائف. هذا صحيح تماماً. في الواقع، Crowdstrike و SentinalOne و CyberReason وقد صنّف آخرون حلول نقاط النهاية الخاصة بهم على النحو التالي: XDR.
كما قدم جارتنر بضعة تنبؤات.
- بحلول نهاية عام 2027، XDR سيتم استخدامها من قبل ما يصل إلى 40٪ من مؤسسات المستخدم النهائي لتقليل عدد موردي الأمن الذين يتعاملون معهم، ارتفاعًا من أقل من 5٪ اليوم.
- بحلول نهاية عام 2027، XDR وسيتم استخدام SASE من قبل ما يصل إلى 50٪ من مؤسسات المستخدم النهائي لتقليل عدد موردي الأمن الذين يتعاملون معهم، ارتفاعًا من أقل من 5٪ اليوم.
أعتقد أن جارتنر أخطأ في الأمر. لا أعتقد أن تنبؤات Gartner ستتحقق. إليكم السبب.
- XDR لا يمكن الاعتماد على وكيل، ويعرف خبراء الأمن ذلك.. لقد أدركوا ذلك XDR الأمر يتجاوز مجرد حماية تلك الأنظمة المزودة ببرنامج EDR أو وكيل مثبت. XDR يذهب أبعد من ذلك بكثير.
- اكتمال سجلات بيانات الطوارئ كـ XDR يفتقر إلى: معظم أنظمة الكشف والاستجابة المُدارة (MDR) تراقب جدران الحماية ونقاط النهاية، بالإضافة إلى تدفق البيانات، والمصادقة، وربما بعض العناصر الأخرى. صحيح. XDR يراقب كل نقطة بيانات ممكنة، بغض النظر عما إذا كان هناك وكيل محمل أم لا.
تعتقد شركة غارتنر أن XDR وسيؤدي SASE إلى تقليل عدد التقنيات في المؤسسة، بينما أعتقد في الواقع أنه سيؤدي إلى توحيد الصورة وعرضها بشكل أكثر دقة، بغض النظر عن التقنية أو عدد التقنيات المستخدمة للحصول على الصورة الأكثر اكتمالاً ودقة. XDR لن يؤدي ذلك إلى تقليل عدد البائعين، بل سيشمل استخدام المزيد منهم، يتم اختيار كل منهم لتميزه في مجاله. سينتهي عهد الاحتكار في بيئة مغلقة ذات نظام أمني محكم.
قبل خمس سنوات ، اخترنا (الإنترنت الموثوق به) مجموعتنا التقنية من قائمة أفضل خمسة مختبرات NSS - جدران الحماية FortiGate و FortiClient و Sophos في نقطة النهاية ، ثم اخترنا آخرين بناءً على متطلباتنا الخاصة ؛ Minerva Armor ، و Sophos Intercept X ، وغيرهما لإكمال مجموعة التقنيات ونموذج التسليم الخاص بنا. كانت لدينا بنيتنا التحتية المحددة ، ولكن لم يرغب الجميع في إزالة جدران الحماية الجديدة من Cisco Firepower. وماذا عن الآخرين الذين لديهم بالو ألتو؟ بالنسبة لشركة ذات تقنيات متعددة ، تصبح العلاقات شبه مستحيلة. تخيل موقفنا باعتباره MSSPs. كل شركة فريدة من نواح كثيرة ، ولكل منها متطلبات الارتباط الخاصة بها. نتيجة لذلك ، كان علينا إحضارهم إلى بحيرة البيانات الخاصة بنا ، حيث نجري تحليل ارتباط المستويين 2 و 3 عن طريق البحث اليدوي عن التهديدات. نحن مضطرون لمحاولة الارتباط ضدهم جميعًا (يدويًا).
نقدم اليوم العديد من XDR الخيارات المتاحة هي: ستيلر، وسوفوس، وفورتينت، وقريبًا، ربما خيار ثانٍ في ساعات العملXDRيمكننا الآن استخدام مئات من عمليات التكامل مع الموردين ونقاط البيانات لتحديد الحالات الشاذة وتتبعها وربطها ببعضها. فبدلاً من استخراج ملفات PCAP وتحليلها لساعات، يتيح لنا برنامج Each ربط مئات نقاط البيانات في المؤسسة - ليس فقط سجلات الأمان، بل أي سجل. حتى سجلات الأمان المادية يمكن دمجها في Open.XDRيمكن ربط البيانات إذا أمكن إدخالها في بحيرة البيانات. ويتم كل ذلك في منصة مفتوحة المصدر واحدة.XDR لوح زجاجي. يقوم المحللون بتدريب الآلة على أنماط الحياة لمدة شهر تقريبًا لضمان تعليم الأنماط بدقة قبل أن يساعد الذكاء الاصطناعي في تطبيع العمليات.
XDR لن يؤدي ذلك إلى تقليل عدد البائعين.
XDR سيسمح ذلك بتوسيع نطاق المنافسة ليشمل أكبر عدد ممكن من البائعين الذين ترغب في الاتصال بهم، وجميعهم من أفضل الشركات في فئتها، حيث يقومون بتحليلات متقدمة واستجابة آلية.
