Opnieuw gepubliceerd van Jeffrey Stutzman, CEO van Trusted Internet
“Uitgebreide detectie en respons is een platform dat gegevens en waarschuwingen van meerdere beveiligingspreventie-, detectie- en responscomponenten integreert, correleert en contextualiseert. XDR is een in de cloud geleverde technologie die meerdere puntoplossingen en geavanceerde analyses omvat om waarschuwingen van meerdere bronnen te correleren tot incidenten van zwakkere individuele signalen om nauwkeurigere detecties te creëren. Het is gericht op het verminderen van productuitbreiding, waarschuwingsmoeheid, integratie-uitdagingen en operationele kosten, en zal met name aantrekkelijk zijn voor beveiligingsteams die moeite hebben met het beheren van een best-of-breed-oplossingenportfolio of het halen van waarde uit een SIEM- of SOAR-oplossing.” (Gartner)
Gartner zegt ook dat tegen het einde van 2023 minstens 30% van EDR en SIEM providers zullen beweren XDR te bieden, ondanks dat ze de XDR-kernfunctionaliteit missen. Dit is helemaal waar. In werkelijkheid, Crowdstrike, SentinalOne, CyberReason en anderen hebben hun eindpuntoplossingen geclassificeerd als XDR.
Gartner deed ook een aantal voorspellingen.
- Tegen eind 2027 zal XDR door tot wel 40% van de eindgebruikersorganisaties worden gebruikt om het aantal beveiligingsleveranciers dat ze hebben te verminderen, tegen minder dan 5% nu.
- Tegen het einde van 2027 zullen XDR en SASE door tot 50% van de eindgebruikersorganisaties worden gebruikt om het aantal beveiligingsleveranciers dat ze hebben te verminderen, tegen minder dan 5% nu.
Ik geloof dat Gartner het bij het verkeerde eind had. Ik geloof niet dat de voorspellingen van Gartner uitkomen. Dit is waarom.
- XDR kan niet vertrouwen op een agent, en beveiligingsprofessionals weten dit. Ze erkennen dat XDR meer is dan alleen die systemen beschermen waarop EDR of een agent is geïnstalleerd. XDR gaat veel verder dan dat.
- Volledigheid van EDR als XDR ontbreekt: De meeste MDR's bewaken firewalls en endpoints, en flow, authenticatie en misschien nog een paar andere. True XDR bewaakt elk mogelijk datapunt, ongeacht of er een agent is geladen of niet.
Gartner gelooft dat XDR en SASE het aantal technologieën in een organisatie zullen VERMINDEREN, terwijl ik in feite geloof dat het het beeld zal consolideren en nauwkeuriger zal weergeven, ongeacht de technologie of het aantal technologieën dat wordt gebruikt om het meest complete en nauwkeurige beeld te krijgen . XDR zal het aantal leveranciers niet verminderen, het zal het gebruik van meer leveranciers omvatten, elk gekozen omdat ze aan de top staan. Voorbij zijn de dagen van opgesloten zitten in een beveiligde ommuurde tuin.
Vijf jaar geleden selecteerden wij (Trusted Internet) onze tech-stack uit de Top vijf NSS Labs-lijst - FortiGate-firewalls, FortiClient en Sophos op het eindpunt, en vervolgens kozen we anderen op basis van onze eigen vereisten; Minerva's Armor, Sophos Intercept X en anderen om ons tech-stack- en leveringsmodel af te ronden. We hadden onze voorgeschreven infrastructuur, maar niet iedereen wilde zijn gloednieuwe Cisco Firepower-firewalls verwijderen. En hoe zit het met anderen die Palo Alto hebben? Voor een bedrijf met meerdere technologieën worden correlaties bijna onmogelijk. Stel je onze positie voor als de MSSP. Elk bedrijf is in veel opzichten uniek en elk bedrijf heeft zijn eigen correlatievereisten. Als gevolg hiervan moesten we ze in ons eigen datameer brengen, waar we Tier 2- en 3-correlatieanalyses uitvoeren door handmatig op dreigingen te jagen. We zijn gedwongen om te proberen ze allemaal (handmatig) te correleren.
Vandaag bieden we verschillende XDR-opties aan, Stellar, Sophos, Fortinet en binnenkort mogelijk een tweede optie in Open XDR. We kunnen nu honderden leveranciersintegraties en datapunten gebruiken om afwijkingen te identificeren, volgen en correleren. In plaats van urenlang PCAP op te halen en te analyseren, stelt Each ons in staat om honderden datapunten in de onderneming te verbinden - niet alleen beveiligingslogboeken, maar elk logboek. Zelfs fysieke beveiligingslogboeken kunnen in OpenXDR worden geplugd. Het kan worden gecorreleerd als het in het datameer kan worden gebracht. En het is allemaal gedaan in één OpenXDR-venster. Analisten trainen de machine voor levenspatronen gedurende ongeveer de eerste maand om ervoor te zorgen dat patronen nauwkeurig worden aangeleerd voordat AI helpt bij het normaliseren van operaties.
XDR gaat het aantal leveranciers niet verminderen.
XDR zal het uitgebreide speelveld mogelijk maken voor zoveel leveranciers als u wilt aansluiten, allemaal de beste in hun soort, die zware analyses en geautomatiseerde reacties uitvoert.
