Veröffentlicht von Jeffery Stutzman, CEO von Trusted Internet
„Erweiterte Erkennung und Reaktion ist eine Plattform, die Daten und Warnungen aus mehreren Sicherheitspräventions-, Erkennungs- und Reaktionskomponenten integriert, korreliert und kontextualisiert. XDR Es handelt sich um eine cloudbasierte Technologie, die mehrere Einzellösungen und fortschrittliche Analysen umfasst, um Warnmeldungen aus verschiedenen Quellen zu korrelieren und so aus schwachen Einzelsignalen präzisere Vorfälle zu erkennen. Ziel ist es, die Produktvielfalt, die Warnmeldungsflut, Integrationsherausforderungen und Betriebskosten zu reduzieren. Die Technologie ist insbesondere für Sicherheitsteams interessant, die Schwierigkeiten haben, ein Portfolio aus Best-of-Breed-Lösungen zu verwalten oder den Nutzen aus einer Vielzahl von Lösungen zu ziehen. SIEM oder SOAR-Lösung.“ (Gartner)
Gartner sagt auch, dass bis Ende 2023 mindestens 30 % davon erreicht sein werden EDR und SIEM Anbieter werden behaupten, Folgendes bereitzustellen XDR, obwohl ihnen der Kern fehlt XDR Funktionalität. Das ist vollkommen richtig. Tatsächlich Crowdstrike, SentinalOne, CyberReason und andere haben ihre Endpunktlösungen wie folgt klassifiziert: XDR.
Gartner machte auch einige Vorhersagen.
- Bis Ende 2027 XDR wird von bis zu 40 % der Endnutzerorganisationen genutzt werden, um die Anzahl der von ihnen eingesetzten Sicherheitsanbieter zu reduzieren, gegenüber weniger als 5 % heute.
- Bis Ende 2027 XDR Und SASE wird von bis zu 50 % der Endanwenderorganisationen genutzt werden, um die Anzahl der von ihnen eingesetzten Sicherheitsanbieter zu reduzieren, gegenüber weniger als 5 % heute.
Ich glaube, Gartner hat sich geirrt. Ich glaube nicht, dass Gartners Vorhersagen wahr werden. Hier ist der Grund.
- XDR Man kann sich nicht auf einen Agenten verlassen, und Sicherheitsexperten wissen das.. Sie erkennen, dass XDR Es geht um mehr als nur den Schutz jener Systeme, für die EDR oder ein Agent installiert ist. XDR geht weit darüber hinaus.
- Vollständigkeit von EDR als XDR fehlt: Die meisten MDRs überwachen Firewalls und Endpunkte sowie Datenfluss, Authentifizierung und vielleicht noch ein paar andere Aspekte. Stimmt. XDR Überwacht jeden möglichen Datenpunkt, unabhängig davon, ob ein Agent geladen ist oder nicht.
Gartner ist der Ansicht, dass XDR Und SASE wird die Anzahl der Technologien in einer Organisation REDUZIEREN, wo ich doch glaube, dass es das Bild konsolidieren und genauer darstellen wird, unabhängig von der Technologie oder der Anzahl der Technologien, die verwendet werden, um das vollständigste und genaueste Bild zu erhalten. XDR Die Anzahl der Anbieter wird nicht reduziert, sondern durch den Einsatz weiterer Anbieter ergänzt, die allesamt aufgrund ihrer herausragenden Qualität ausgewählt wurden. Vorbei sind die Zeiten, in denen man in einem abgeschotteten Markt gefangen war.
Vor fünf Jahren haben wir (Trusted Internet) unseren Technologie-Stack aus der Liste der fünf besten NSS Labs ausgewählt – FortiGate-Firewalls, FortiClient und Sophos am Endpunkt, und dann haben wir basierend auf unseren eigenen Anforderungen andere ausgewählt; Minerva's Armor, Sophos Intercept X und andere runden unseren Tech-Stack und unser Bereitstellungsmodell ab. Wir hatten unsere vorgeschriebene Infrastruktur, aber nicht jeder wollte seine brandneuen Cisco Firepower-Firewalls entfernen. Und was ist mit anderen, die Palo Alto haben? Für ein Unternehmen mit mehreren Technologien werden Zusammenhänge nahezu unmöglich. Stellen Sie sich unsere Position als vor MSSPs. Jedes Unternehmen ist in vielerlei Hinsicht einzigartig und jedes von ihnen hat seine eigenen Korrelationsanforderungen. Daher mussten wir sie in unseren eigenen Datensee einbinden, wo wir Korrelationsanalysen der Stufen 2 und 3 mittels manueller Bedrohungssuche durchführen. Wir sind gezwungen, zu versuchen, sie alle (manuell) zu korrelieren.
Heute bieten wir mehrere an XDR Optionen: Stellar, Sophos, Fortinet und bald möglicherweise eine zweite Option in ÖffneXDRWir können nun Hunderte von Anbieterintegrationen und Datenpunkten nutzen, um Anomalien zu identifizieren, zu verfolgen und zu korrelieren. Anstatt stundenlang PCAP-Protokolle abzurufen und zu analysieren, ermöglicht uns Each, Hunderte von Datenpunkten im Unternehmen zu verbinden – nicht nur Sicherheitsprotokolle, sondern beliebige Protokolle. Selbst physische Sicherheitsprotokolle können in Open integriert werden.XDRDie Daten können korreliert werden, wenn sie in den Data Lake integriert werden können. Und das alles geschieht in einem einzigen Open-Prozess.XDR Eine Glasscheibe. Analysten trainieren die Maschine etwa im ersten Monat auf Lebensmuster, um sicherzustellen, dass die Muster korrekt vermittelt werden, bevor die KI zur Normalisierung von Abläufen beiträgt.
XDR wird die Anzahl der Anbieter nicht verringern.
XDR wird es ermöglichen, das Spielfeld zu erweitern und so viele Anbieter wie gewünscht anzuschließen, die alle führend in ihrer Branche sind und umfangreiche Analysen sowie automatisierte Reaktionen durchführen.
