Перевидано з Джеффрі Штуцман, генеральний директор Trusted Internet
«Розширене виявлення та реагування — це платформа, яка інтегрує, співвідносить та контекстуалізує дані та сповіщення від кількох компонентів безпеки, що забезпечують запобігання, виявлення та реагування». XDR – це хмарна технологія, що включає багатоточкові рішення та розширену аналітику для співвіднесення сповіщень з кількох джерел з інцидентами на основі слабкіших окремих сигналів для створення точніших виявлень. Вона спрямована на зменшення розростання продукту, втоми від сповіщень, проблем інтеграції та операційних витрат, і буде особливо привабливою для команд з операцій безпеки, яким важко керувати портфелем найкращих рішень або отримувати цінність від... SIEM або рішення SOAR». (Gartner)
Gartner також стверджує, що до кінця 2023 року щонайменше 30% EDR та SIEM постачальники стверджуватимуть, що надають XDR, незважаючи на те, що їм бракує ядра XDR функціональність. Це абсолютно правда. Фактично, Crowdstrike, SentinalOne, CyberReason а інші класифікували свої рішення для кінцевих точок як XDR.
Gartner також зробив кілька прогнозів.
- До кінця 2027 року, XDR використовуватиметься до 40% організацій кінцевих користувачів для зменшення кількості постачальників рішень безпеки, порівняно з менш ніж 5% сьогодні.
- До кінця 2027 року, XDR а SASE використовуватиметься до 50% організацій-кінцевих користувачів, щоб зменшити кількість постачальників рішень безпеки, порівняно з менш ніж 5% сьогодні.
Я вважаю, що Gartner помилився. Я не вірю, що прогнози Gartner справдяться. Ось чому.
- XDR не можна покладатися на агента, і фахівці з безпеки це знають. Вони визнають, що XDR це більше, ніж захист лише тих систем, на яких встановлено EDR або агента. XDR виходить далеко за рамки цього.
- Повнота EDR як XDR бракує: Більшість MDR контролюють брандмауери та кінцеві точки, а також потік, автентифікацію та, можливо, ще кілька інших. Правда. XDR відстежує кожну можливу точку даних, незалежно від того, чи завантажено агента.
Gartner вважає, що XDR і SASE ЗМЕНШИТЬ кількість технологій в організації, хоча насправді, я вважаю, це консолідує та точніше відобразить картину, незалежно від технології чи кількості технологій, що використовуються для отримання найповнішої та найточнішої картини. XDR не зменшить кількість постачальників, а навпаки, залучить більше постачальників, кожного з яких буде обрано, оскільки він перебуває на піку своєї майстерності. Минуть ті часи, коли люди були замкнені в одному саду з охоронною стіною.
П'ять років тому ми (Trusted Internet) вибрали наш технологічний стек зі списку п'яти найкращих NSS Labs – брандмауери FortiGate, FortiClient та Sophos на кінцевій точці, а потім вибрали інші, виходячи з власних вимог; Armor від Minerva, Sophos Intercept X та інші, щоб доповнити наш технологічний стек та модель доставки. У нас була наша встановлена інфраструктура, але не всі хотіли позбуватися своїх нових брандмауерів Cisco Firepower. А як щодо інших, у кого є Palo Alto? Для компанії з кількома технологіями кореляція стає майже неможливою. Уявіть собі нашу позицію як... MSSPКожна компанія унікальна в багатьох відношеннях, і кожна з них має свої власні вимоги до кореляції. Як наслідок, нам довелося перенести їх у власне озеро даних, де ми виконуємо кореляційний аналіз 2-го та 3-го рівнів шляхом ручного пошуку загроз. Ми змушені намагатися співвіднести їх усі (вручну).
Сьогодні ми пропонуємо кілька XDR опції, Stellar, Sophos, Fortinet, і незабаром, потенційно другий варіант у відкритийXDRТепер ми можемо використовувати сотні інтеграцій постачальників та точок даних для виявлення, відстеження та співвіднесення відхилень. Замість того, щоб годинами витягувати та аналізувати PCAP, Each дозволяє нам підключати сотні точок даних у підприємстві – не лише журнали безпеки, а будь-які журнали. Навіть фізичні журнали безпеки можна підключати до Open.XDRЦе можна співвіднести, якщо це можна перенести в озеро даних. І все це робиться в одному відкритому...XDR скляна панель. Аналітики навчають машину життєвим моделям протягом приблизно першого місяця, щоб переконатися, що вони точно засвоєні, перш ніж штучний інтелект допоможе нормалізувати роботу.
XDR не зменшить кількість продавців.
XDR розширить ігрове поле для стількох постачальників, скільки ви забажаєте, всі найкращі у своєму роді, виконуючи аналіз важкої роботи та автоматизоване реагування.
