Opnieuw gepubliceerd van Jeffrey Stutzman, CEO van Trusted Internet
“Uitgebreide detectie en respons is een platform dat gegevens en waarschuwingen van meerdere beveiligingspreventie-, detectie- en responscomponenten integreert, correleert en contextualiseert. XDR Het is een cloudgebaseerde technologie die bestaat uit meerdere puntoplossingen en geavanceerde analyses om waarschuwingen uit meerdere bronnen te correleren tot incidenten, zelfs bij zwakkere individuele signalen, om zo nauwkeurigere detecties te creëren. Het doel is om productwildgroei, waarschuwingsmoeheid, integratieproblemen en operationele kosten te verminderen, en het zal met name aantrekkelijk zijn voor beveiligingsteams die moeite hebben met het beheren van een portfolio van de beste oplossingen of het behalen van waarde uit een dergelijk portfolio. SIEM of SOAR-oplossing.” (Gartner)
Gartner zegt ook dat tegen het einde van 2023 minstens 30% van EDR en SIEM aanbieders zullen beweren dat ze leveren XDRondanks het feit dat ze geen kern hebben XDR functionaliteit. Dat klopt helemaal. Sterker nog, Crowdstrike, SentinalOne, CyberReason en anderen hebben hun eindpuntoplossingen geclassificeerd als XDR.
Gartner deed ook een aantal voorspellingen.
- Tegen eind 2027, XDR Het zal door maximaal 40% van de eindgebruikersorganisaties worden gebruikt om het aantal beveiligingsleveranciers te verminderen, tegenover minder dan 5% nu.
- Tegen eind 2027, XDR En SASE zal door tot wel 50% van de eindgebruikersorganisaties worden gebruikt om het aantal beveiligingsleveranciers te verminderen, tegenover minder dan 5% nu.
Ik geloof dat Gartner het bij het verkeerde eind had. Ik geloof niet dat de voorspellingen van Gartner uitkomen. Dit is waarom.
- XDR Je kunt niet op een agent vertrouwen, en beveiligingsprofessionals weten dat.. Zij erkennen dat XDR Het gaat om meer dan alleen het beschermen van systemen waarop EDR of een agent is geïnstalleerd. XDR gaat veel verder dan dat.
- Volledigheid van EDR als een XDR ontbreekt: De meeste MDR's bewaken firewalls en endpoints, en verkeer, authenticatie en misschien nog een paar andere zaken. Klopt. XDR Het systeem monitort elk mogelijk datapunt, ongeacht of er een agent is geladen of niet.
Gartner is van mening dat XDR En SASE zal het aantal technologieën binnen een organisatie VERMINDEREN, terwijl ik juist geloof dat het de situatie zal consolideren en nauwkeuriger zal weergeven, ongeacht de technologie of het aantal gebruikte technologieën, om zo een zo compleet en accuraat mogelijk beeld te krijgen. XDR Het aantal leveranciers zal niet afnemen, maar er zullen juist meer leveranciers bijkomen, stuk voor stuk geselecteerd op basis van hun uitmuntende expertise. De tijd dat je beperkt was tot één beveiligde omgeving is voorbij.
Vijf jaar geleden selecteerden wij (Trusted Internet) onze tech-stack uit de Top vijf NSS Labs-lijst - FortiGate-firewalls, FortiClient en Sophos op het eindpunt, en vervolgens kozen we anderen op basis van onze eigen vereisten; Minerva's Armor, Sophos Intercept X en anderen om ons tech-stack- en leveringsmodel af te ronden. We hadden onze voorgeschreven infrastructuur, maar niet iedereen wilde zijn gloednieuwe Cisco Firepower-firewalls verwijderen. En hoe zit het met anderen die Palo Alto hebben? Voor een bedrijf met meerdere technologieën worden correlaties bijna onmogelijk. Stel je onze positie voor als de MSSP. Elk bedrijf is in veel opzichten uniek en elk bedrijf heeft zijn eigen correlatievereisten. Als gevolg hiervan moesten we ze in ons eigen datameer brengen, waar we Tier 2- en 3-correlatieanalyses uitvoeren door handmatig op dreigingen te jagen. We zijn gedwongen om te proberen ze allemaal (handmatig) te correleren.
Vandaag bieden we verschillende XDR opties, Stellar, Sophos, Fortinet, en binnenkort mogelijk een tweede optie in OpenXDRWe kunnen nu honderden leveranciersintegraties en datapunten gebruiken om afwijkingen te identificeren, te volgen en te correleren. In plaats van urenlang PCAP-bestanden te verzamelen en te analyseren, stelt Each ons in staat om honderden datapunten binnen de onderneming te koppelen – niet alleen beveiligingslogboeken, maar elk logboek. Zelfs fysieke beveiligingslogboeken kunnen worden aangesloten op OpenXDRHet kan worden gecorreleerd als het in het data lake kan worden opgenomen. En dat alles in één Open-omgeving.XDR een glazen ruit. Analisten trainen de machine gedurende ongeveer de eerste maand op levenspatronen om ervoor te zorgen dat de patronen correct worden aangeleerd voordat AI helpt bij het normaliseren van de processen.
XDR Dit zal het aantal leveranciers niet verminderen.
XDR Dit vergroot het speelveld voor zoveel leveranciers als u wilt aansluiten, allemaal de beste in hun soort, die geavanceerde analyses uitvoeren en geautomatiseerde reacties bieden.
