从本文节选 杰弗里·斯图茨曼,可信互联网首席执行官
“扩展检测和响应是一个集成、关联和关联来自多个安全预防、检测和响应组件的数据和警报的平台。 XDR 是一项云交付技术,包含多个点解决方案和高级分析功能,可将来自多个来源的警报关联起来,从较弱的单个信号中识别出事件,从而实现更精确的检测。它旨在减少产品臃肿、警报疲劳、集成难题和运营成本,尤其适用于那些难以管理最佳解决方案组合或难以从现有解决方案中获得价值的安全运营团队。 SIEM 或 SOAR 解决方案。”(Gartner)
Gartner 还表示,到 2023 年底,至少 30% EDR 与 SIEM 供应商会声称提供 XDR尽管它们缺乏核心 XDR 功能性。这完全属实。事实上, Crowdstrike、SentinalOne、CyberReason 其他公司则将他们的终端解决方案归类为 XDR.
Gartner 还做出了一些预测。
- 到2027年底, XDR 高达 40% 的最终用户组织将使用这项技术来减少他们所部署的安全供应商数量,而目前这一比例还不到 5%。
- 到2027年底, XDR SASE 将被高达 50% 的最终用户组织用于减少其部署的安全供应商数量,而目前这一比例还不到 5%。
我相信 Gartner 弄错了。 我不相信 Gartner 的预测会成为现实。 原因如下。
- XDR 不能依赖代理人,安全专家都明白这一点。. 他们认识到 XDR 不仅仅是保护那些安装了EDR或代理的系统。 XDR 远不止于此。
- EDR的完整性 XDR 缺少: 大多数 MDR 系统会监控防火墙和终端,以及流量、身份验证,可能还会监控其他一些方面。确实如此。 XDR 无论是否加载了代理,都会监控每一个可能的数据点。
Gartner认为 XDR SASE 将减少组织中的技术数量,但实际上,我认为无论使用何种技术或技术数量,它都会整合并更准确地描绘出情况,从而获得最完整、最准确的情况。 XDR 不会减少供应商数量,反而会增加供应商数量,每个供应商都是经过精心挑选的,因为他们都是各自领域的佼佼者。那种被封闭在单一安全围墙内的时代将不复存在。
五年前,我们(Trusted Internet)从 NSS 实验室排名前五的列表中选择了我们的技术堆栈 - FortiGate 防火墙、FortiClient 和 Sophos 端点,然后我们根据自己的要求选择了其他技术堆栈; Minerva 的 Armor、Sophos Intercept X 等完善了我们的技术堆栈和交付模型。 我们有规定的基础设施,但并不是每个人都想删除他们全新的思科 Firepower 防火墙。 那么其他拥有帕洛阿尔托的人呢? 对于拥有多种技术的公司来说,相关性几乎是不可能的。 想象一下我们的地位 的MSSP。 每家公司在很多方面都是独一无二的,并且每家公司都有自己的相关要求。 因此,我们必须将它们放入我们自己的数据湖中,通过手动威胁搜寻来执行第 2 层和第 3 层相关性分析。 我们被迫尝试将它们全部关联起来(手动)。
今天,我们提供多种 XDR 可选方案包括 Stellar、Sophos 和 Fortinet,而且很快可能还会有第二个选择。 可选XDR现在,我们可以利用数百个供应商集成和数据点来识别、跟踪和关联异常情况。Each 允许我们连接企业中的数百个数据点,而不仅仅是安全日志,任何日志都可以。无需再花费数小时提取和分析 PCAP 文件。Open 甚至还可以接入物理安全日志。XDR如果能将其导入数据湖,就可以进行关联分析。所有这些都可以在一个开放平台上完成。XDR 一块玻璃面板。分析师们会在第一个月左右的时间里训练机器学习生活模式,以确保在人工智能帮助规范运营之前,这些模式能够被准确地学习。
XDR 不会减少供应商的数量。
XDR 这将使更广泛的竞争环境能够连接尽可能多的供应商,所有供应商都是业内顶尖的,能够执行繁重的分析和自动响应。
