Tái từ Jeffery Stutzman, Giám đốc điều hành của Trusted Internet
“Phát hiện và phản hồi mở rộng là một nền tảng tích hợp, tương quan và bối cảnh hóa dữ liệu và cảnh báo từ nhiều thành phần ngăn chặn, phát hiện và phản hồi bảo mật. XDR Đây là công nghệ được cung cấp trên nền tảng đám mây, bao gồm nhiều giải pháp riêng lẻ và phân tích nâng cao để tổng hợp các cảnh báo từ nhiều nguồn khác nhau thành các sự cố, từ đó phân tích các tín hiệu riêng lẻ yếu hơn để tạo ra khả năng phát hiện chính xác hơn. Mục tiêu của nó là giảm thiểu sự phân tán sản phẩm, tình trạng quá tải cảnh báo, thách thức tích hợp và chi phí vận hành, và đặc biệt phù hợp với các nhóm vận hành an ninh gặp khó khăn trong việc quản lý danh mục giải pháp đa dạng hoặc khai thác giá trị từ một giải pháp riêng lẻ. SIEM hoặc giải pháp SOAR.” (Gartner)
Gartner cũng nói rằng vào cuối năm 2023, ít nhất 30% BDU và SIEM các nhà cung cấp sẽ tuyên bố cung cấp XDR, mặc dù họ thiếu cốt lõi XDR Chức năng. Điều này hoàn toàn đúng. Trên thực tế, Cuộc tấn công đám đông, SentinalOne, CyberReason và những đơn vị khác đã phân loại các giải pháp điểm cuối của họ như sau: XDR.
Gartner cũng đưa ra một vài dự đoán.
- Đến cuối năm 2027, XDR Công nghệ này sẽ được tới 40% các tổ chức người dùng cuối sử dụng để giảm số lượng nhà cung cấp bảo mật hiện có, tăng từ mức dưới 5% hiện nay.
- Đến cuối năm 2027, XDR và SASE sẽ được tới 50% các tổ chức người dùng cuối sử dụng để giảm số lượng nhà cung cấp bảo mật mà họ đang sử dụng, tăng từ mức dưới 5% hiện nay.
Tôi tin rằng Gartner đã hiểu sai. Tôi không tin những dự đoán của Gartner sẽ trở thành sự thật. Đây là lý do tại sao.
- XDR Không thể dựa hoàn toàn vào người đại diện, và các chuyên gia an ninh đều biết điều này.. Họ nhận ra điều đó XDR Việc này không chỉ đơn thuần là bảo vệ những hệ thống đã cài đặt EDR hoặc agent. XDR Nó còn vượt xa hơn thế rất nhiều.
- Tính đầy đủ của EDR như một XDR Thiếu sót: Hầu hết các hệ thống MDR giám sát tường lửa và thiết bị đầu cuối, luồng dữ liệu, xác thực, và có thể một vài chức năng khác. Đúng vậy. XDR Hệ thống giám sát mọi điểm dữ liệu có thể, bất kể có tác nhân nào được tải hay không.
Gartner tin rằng XDR và SASE sẽ GIẢM số lượng công nghệ trong một tổ chức, trong khi trên thực tế, tôi tin rằng nó sẽ hợp nhất và phản ánh chính xác hơn bức tranh tổng thể, bất kể công nghệ hay số lượng công nghệ được sử dụng để có được bức tranh đầy đủ và chính xác nhất. XDR Sẽ không giảm số lượng nhà cung cấp, mà sẽ tích hợp việc sử dụng nhiều nhà cung cấp hơn, mỗi nhà cung cấp được lựa chọn vì họ đều là những người giỏi nhất trong lĩnh vực của mình. Thời kỳ bị giới hạn trong một hệ thống khép kín sẽ chấm dứt.
Năm năm trước, chúng tôi (Internet đáng tin cậy) đã chọn nhóm công nghệ của mình từ danh sách năm Phòng thí nghiệm NSS hàng đầu -Tường lửa FortiGate, FortiClient và Sophos ở điểm cuối, sau đó chúng tôi chọn những thứ khác dựa trên yêu cầu của riêng mình; Minerva's Armor, Sophos Intercept X và những thứ khác để hoàn thiện mô hình phân phối và ngăn xếp công nghệ của chúng tôi. Chúng tôi đã có cơ sở hạ tầng theo quy định của mình, nhưng không phải ai cũng muốn xóa tường lửa Cisco Firepower hoàn toàn mới của họ. Còn những người khác có Palo Alto thì sao? Đối với một công ty có nhiều công nghệ, mối tương quan trở nên gần như không thể. Hãy tưởng tượng vị trí của chúng ta là MSSP. Mỗi công ty là duy nhất theo nhiều cách và mỗi công ty đều có các yêu cầu tương quan riêng. Do đó, chúng tôi phải đưa chúng vào hồ dữ liệu của riêng mình, nơi chúng tôi thực hiện phân tích tương quan Cấp 2 và 3 bằng cách tìm kiếm mối đe dọa thủ công. Chúng tôi buộc phải cố gắng tương quan với tất cả chúng (theo cách thủ công).
Hiện nay, chúng tôi cung cấp một số sản phẩm. XDR Các lựa chọn bao gồm Stellar, Sophos, Fortinet, và sắp tới, có thể sẽ có thêm một lựa chọn thứ hai nữa. MởXDRGiờ đây, chúng ta có thể sử dụng hàng trăm tích hợp nhà cung cấp và điểm dữ liệu để xác định, theo dõi và tương quan các bất thường. Thay vì phải mất hàng giờ để trích xuất và phân tích PCAP, Each cho phép chúng ta kết nối hàng trăm điểm dữ liệu trong doanh nghiệp – không chỉ nhật ký bảo mật, mà bất kỳ loại nhật ký nào. Ngay cả nhật ký bảo mật vật lý cũng có thể được tích hợp vào Open.XDRNó có thể được liên kết nếu có thể được đưa vào kho dữ liệu. Và tất cả đều được thực hiện trong một hệ thống mở duy nhất.XDR một tấm kính. Các nhà phân tích huấn luyện máy móc nhận biết các mô hình sinh hoạt trong khoảng tháng đầu tiên để đảm bảo các mô hình được dạy chính xác trước khi trí tuệ nhân tạo giúp chuẩn hóa hoạt động.
XDR Việc đó sẽ không làm giảm số lượng nhà cung cấp.
XDR Điều này sẽ mở rộng phạm vi hoạt động cho nhiều nhà cung cấp mà bạn muốn kết nối, tất cả đều là những nhà cung cấp hàng đầu trong lĩnh vực của họ, thực hiện phân tích chuyên sâu và phản hồi tự động.
