เผยแพร่ซ้ำจาก เจฟฟรี่ สตุตซ์แมนซีอีโอของ Trusted Internet
“การตรวจจับและการตอบสนองแบบขยายเป็นแพลตฟอร์มที่ผสานรวม เชื่อมโยง และปรับบริบทข้อมูลและการแจ้งเตือนจากส่วนประกอบการป้องกัน การตรวจจับ และการตอบสนองด้านความปลอดภัยหลายรายการ XDR เป็นเทคโนโลยีที่จัดส่งบนคลาวด์ซึ่งประกอบด้วยโซลูชันหลายจุดและการวิเคราะห์ขั้นสูงเพื่อเชื่อมโยงการแจ้งเตือนจากหลายแหล่งเข้ากับเหตุการณ์จากสัญญาณแต่ละรายการที่อ่อนแอกว่าเพื่อสร้างการตรวจจับที่แม่นยำยิ่งขึ้น โดยมีจุดมุ่งหมายเพื่อลดการแพร่กระจายของผลิตภัณฑ์ แจ้งเตือนความเหนื่อยล้า ความท้าทายในการรวมระบบ และค่าใช้จ่ายในการดำเนินงาน และจะดึงดูดทีมปฏิบัติการด้านความปลอดภัยโดยเฉพาะที่มีปัญหาในการจัดการพอร์ตโฟลิโอโซลูชันที่ดีที่สุดหรือรับคุณค่าจากโซลูชัน SIEM หรือ SOAR” (การ์ทเนอร์)
Gartner ยังกล่าวด้วยว่าภายในสิ้นปี 2023 อย่างน้อย 30% ของ EDR และ SIEM ผู้ให้บริการจะอ้างสิทธิ์ในการให้บริการ XDR แม้ว่าพวกเขาจะไม่มีฟังก์ชัน XDR หลักก็ตาม นี่เป็นความจริงอย่างสมบูรณ์ ในความเป็นจริง, Crowdstrike, SentinalOne, CyberReason และอื่น ๆ จัดประเภทโซลูชันปลายทางเป็น XDR
Gartner ยังได้ทำนายอีกสองสามข้อ
- ภายในสิ้นปี 2027 XDR จะถูกใช้โดยองค์กรผู้ใช้ปลายทางมากถึง 40% เพื่อลดจำนวนผู้จำหน่ายความปลอดภัยที่พวกเขามีอยู่ จากเดิมที่น้อยกว่า 5% ในปัจจุบัน
- ภายในสิ้นปี 2027 XDR และ SASE จะถูกใช้โดยองค์กรผู้ใช้ปลายทางสูงสุด 50% เพื่อลดจำนวนผู้จำหน่ายความปลอดภัยที่มีอยู่ จากเดิมที่น้อยกว่า 5% ในปัจจุบัน
ฉันเชื่อว่า Gartner เข้าใจผิด ฉันไม่เชื่อว่าคำทำนายของ Gartner จะเป็นจริง นี่คือเหตุผล
- XDR ไม่สามารถพึ่งพาตัวแทนได้ และผู้เชี่ยวชาญด้านความปลอดภัยรู้เรื่องนี้ดี. พวกเขาตระหนักดีว่า XDR เป็นมากกว่าการปกป้องระบบที่ติดตั้ง EDR หรือเอเจนต์ไว้เท่านั้น XDR ไปไกลกว่านั้น
- ความสมบูรณ์ของ EDR เนื่องจาก XDR ขาดไป: MDR ส่วนใหญ่ตรวจสอบไฟร์วอลล์และจุดสิ้นสุด และโฟลว์ การรับรองความถูกต้อง และอื่นๆ อีกสองสามรายการ True XDR ตรวจสอบทุกจุดข้อมูลที่เป็นไปได้ โดยไม่คำนึงว่าจะมีการโหลดเอเจนต์หรือไม่
Gartner เชื่อว่า XDR และ SASE จะลดจำนวนเทคโนโลยีในองค์กร ซึ่งในความเป็นจริงแล้ว ผมเชื่อว่าจะรวมเข้าด้วยกันและแสดงภาพได้แม่นยำยิ่งขึ้น โดยไม่คำนึงถึงเทคโนโลยีหรือจำนวนเทคโนโลยีที่ใช้เพื่อให้ได้ภาพที่สมบูรณ์และแม่นยำที่สุด . XDR จะไม่ลดจำนวนผู้ขาย แต่จะรวมการใช้งานของผู้ขายมากขึ้น ซึ่งแต่ละรายได้รับเลือกเพราะพวกเขาอยู่ในอันดับต้น ๆ ของเกม จะหมดยุคของการถูกขังอยู่ในสวนที่มีกำแพงรักษาความปลอดภัย
เมื่อห้าปีก่อน เรา (Trusted Internet) ได้เลือกกลุ่มเทคโนโลยีของเราจากรายการ NSS Labs ห้าอันดับแรก ได้แก่ ไฟร์วอลล์ FortiGate, FortiClient และ Sophos ที่ตำแหน่งข้อมูล จากนั้นเราเลือกรายการอื่นๆ ตามความต้องการของเราเอง Minerva's Armor, Sophos Intercept X และอื่น ๆ เพื่อสรุปกลุ่มเทคโนโลยีและรูปแบบการจัดส่งของเรา เรามีโครงสร้างพื้นฐานที่กำหนดไว้ แต่ไม่ใช่ทุกคนที่ต้องการลบไฟร์วอลล์ Cisco Firepower ใหม่ล่าสุด แล้วคนอื่นที่มี Palo Alto ล่ะ? สำหรับบริษัทที่มีเทคโนโลยีหลากหลาย ความสัมพันธ์แทบจะเป็นไปไม่ได้เลย ลองนึกภาพตำแหน่งของเราในฐานะ สพป. แต่ละบริษัทมีเอกลักษณ์ในหลายๆ ด้าน และทุกบริษัทมีข้อกำหนดด้านความสัมพันธ์ของตนเอง เป็นผลให้เราต้องนำข้อมูลเหล่านั้นมาไว้ที่ Data Lake ของเราเอง ซึ่งเราทำการวิเคราะห์ความสัมพันธ์ระดับที่ 2 และ 3 โดยการตามล่าภัยคุกคามด้วยตนเอง เราถูกบังคับให้พยายามเชื่อมโยงกับพวกเขาทั้งหมด (ด้วยตนเอง)
วันนี้เรานำเสนอตัวเลือก XDR หลายตัว ได้แก่ Stellar, Sophos, Fortinet และเร็วๆ นี้อาจเป็นตัวเลือกที่สองใน OpenXDR. ขณะนี้เราสามารถใช้การผสานรวมของผู้จำหน่ายและจุดข้อมูลหลายร้อยรายการเพื่อระบุ ติดตาม และเชื่อมโยงความผิดปกติ แทนที่จะดึงและวิเคราะห์ PCAP เป็นเวลาหลายชั่วโมง แต่ละรายการช่วยให้เราเชื่อมต่อจุดข้อมูลหลายร้อยจุดในองค์กรได้ ไม่ใช่แค่บันทึกความปลอดภัย แต่รวมถึงบันทึกอื่นๆ ด้วย แม้แต่บันทึกความปลอดภัยทางกายภาพก็สามารถเสียบเข้ากับ OpenXDR ได้ มันสามารถมีความสัมพันธ์กันได้หากนำเข้ามาไว้ในที่จัดเก็บข้อมูลดิบ และทั้งหมดนี้ทำได้ในบานกระจก OpenXDR เพียงบานเดียว นักวิเคราะห์ฝึกเครื่องจักรสำหรับรูปแบบชีวิตประมาณเดือนแรกเพื่อให้แน่ใจว่ารูปแบบได้รับการสอนอย่างถูกต้อง ก่อนที่ AI จะช่วยให้การทำงานเป็นปกติ
XDR จะไม่ลดจำนวนผู้ขาย
XDR จะช่วยให้พื้นที่การเล่นที่ขยายกว้างขึ้นสำหรับผู้ค้าได้มากเท่าที่คุณต้องการเชื่อมต่อ ทั้งหมดนี้ดีที่สุดในสายพันธุ์ ดำเนินการวิเคราะห์การยกของหนักและการตอบสนองอัตโนมัติ
