Republished mula Jeffery Stutzman, CEO ng Trusted Internet
"Ang pinalawak na pagtuklas at pagtugon ay isang platform na nagsasama, nag-uugnay at nagkokonteksto ng data at mga alerto mula sa maraming bahagi ng pag-iwas, pagtuklas at pagtugon sa seguridad. XDR ay isang teknolohiyang inihahatid ng cloud na binubuo ng maraming point solution at advanced analytics upang iugnay ang mga alerto mula sa maraming pinagmumulan sa mga insidente mula sa mas mahihinang indibidwal na signal upang lumikha ng mas tumpak na mga pagtuklas. Nilalayon nitong bawasan ang pagkalat ng produkto, pagkapagod ng alerto, mga hamon sa integrasyon at gastos sa pagpapatakbo, at partikular na mag-apela sa mga security operations team na nahihirapang pamahalaan ang isang pinakamahusay na portfolio ng mga solusyon o makakuha ng halaga mula sa isang SIEM o solusyon ng SOAR.” (Gartner)
Sinabi rin ni Gartner na sa pagtatapos ng 2023, hindi bababa sa 30% ng Si EDR at SIEM sasabihin ng mga provider na nagbibigay sila ng XDR, kahit kulang sila sa core XDR paggana. Ito ay ganap na totoo. Sa katunayan, Crowdstrike, SentinalOne, CyberReason at inuri ng iba ang kanilang mga endpoint solution bilang XDR.
Gumawa din si Gartner ng ilang hula.
- Sa pagtatapos ng taong 2027, XDR ay gagamitin ng hanggang 40% ng mga organisasyong end-user upang mabawasan ang bilang ng mga vendor ng seguridad na mayroon sila, mula sa wala pang 5% ngayon.
- Sa pagtatapos ng taong 2027, XDR at ang SASE ay gagamitin ng hanggang 50% ng mga organisasyong end-user upang mabawasan ang bilang ng mga security vendor na mayroon sila, mula sa wala pang 5% ngayon.
Naniniwala akong nagkamali si Gartner. Hindi ako naniniwalang magkakatotoo ang mga hula ni Gartner. Narito kung bakit.
- XDR hindi maaaring umasa sa isang ahente, at alam ito ng mga propesyonal sa seguridad. Kinikilala nila iyon XDR ay higit pa sa pagprotekta lamang sa mga sistemang iyon na may naka-install na EDR o ahente. XDR ay higit pa riyan.
- Pagkumpleto ng EDR bilang isang XDR ay kulang: Karamihan sa mga MDR ay nagmomonitor ng mga firewall at endpoint, at flow, authentication, at marahil ilan pang iba. Totoo. XDR sinusubaybayan ang bawat posibleng data point, mayroon man o wala nang naka-load na ahente.
Naniniwala si Gartner na XDR at BABAWASAN ng SASE ang bilang ng mga teknolohiya sa isang organisasyon, gayong sa katunayan, naniniwala ako na pagsasama-samahin nito at mas tumpak na ilalarawan ang larawan, anuman ang teknolohiya o ang bilang ng mga teknolohiyang ginagamit upang makamit ang pinakakumpleto at tumpak na larawan. XDR Hindi nito babawasan ang bilang ng mga tindero, isasama nito ang paggamit ng mas maraming tindero, na bawat isa ay pinipili dahil sila ay nasa tuktok ng kanilang laro. Mawawala na ang mga araw ng pagiging nakakulong sa isang hardin na may pader na may seguridad.
Limang taon na ang nakalipas, pinili namin (Trusted Internet) ang aming tech stack mula sa Top five NSS Labs list -FortiGate firewalls, FortiClient, at Sophos sa endpoint, at pagkatapos ay pumili kami ng iba batay sa sarili naming mga kinakailangan; Minerva's Armor, Sophos Intercept X, at iba pa para i-round out ang aming tech stack at delivery model. Mayroon kaming iniresetang imprastraktura, ngunit hindi lahat ay gustong tanggalin ang kanilang mga bagong Cisco Firepower na firewall. At paano ang iba na may Palo Alto? Para sa isang kumpanyang may maraming teknolohiya, halos imposible ang mga ugnayan. Isipin ang aming posisyon bilang ang MSSP. Ang bawat kumpanya ay natatangi sa maraming paraan, at bawat isa sa kanila ay may sariling mga kinakailangan sa ugnayan. Bilang resulta, kinailangan naming dalhin ang mga ito sa sarili naming data lake, kung saan nagsasagawa kami ng Tier 2 at 3 na pagsusuri ng ugnayan sa pamamagitan ng manu-manong pangangaso ng pagbabanta. Napipilitan kaming mag-uugnay laban sa kanilang lahat (manual).
Ngayon, nag-aalok kami ng ilan XDR mga opsyon, Stellar, Sophos, Fortinet, at sa lalong madaling panahon, posibleng pangalawang opsyon sa PagbubukasXDRMaaari na nating gamitin ang daan-daang integrasyon at data point ng vendor upang matukoy, masubaybayan, at maiugnay ang mga abnormalidad. Sa halip na kumuha at mag-analisa ng PCAP nang maraming oras, pinapayagan tayo ng Each na ikonekta ang daan-daang data point sa enterprise – hindi lamang ang mga security log, kundi pati na rin ang anumang log. Kahit ang mga pisikal na security log ay maaaring i-plug sa Open.XDRMaaari itong maiugnay kung maaari itong dalhin sa data lake. At lahat ng ito ay nagagawa sa isang OpenXDR salamin. Sinasanay ng mga analyst ang makina para sa mga pattern ng buhay sa loob ng humigit-kumulang unang buwan upang matiyak na ang mga pattern ay naituturo nang tumpak bago makatulong ang AI na gawing normal ang mga operasyon.
XDR hindi nito mababawasan ang bilang ng mga vendor.
XDR ay magbibigay-daan sa mas malawak na larangan ng paglalaro sa kahit gaano karaming vendor hangga't gusto mo, lahat ay pinakamahusay sa lahi, na nagsasagawa ng heavy lift analytics at automated response.
