XDR重新定义了MSS服务提供商的游戏规则。然而,对于MSSP(ManagedSecurityServiceProvider,安全托管服务提供商)而言,构建有效且易于管理的安全技术架构为客户提供可靠的安全服务并非易事,实施过程也充满困难.XDR(ExtendedThreatDetectionandResponse)技术的成熟让我们看到了希望它能够以比MSSP目前采用的大多数传统安全架构更低的成本实现更高的安全级别。可以帮助MSSP提升服务能力,提高服务收入,尤其是面对中小企业客户时,效果更加明显。未来,MSSP势必会因为XDR技术而改变其服务策略,并从该技术中获得运营收益。XDR赋能MSS增值一般来说,XDR为MSSP提供的基本功能包括:扩展威胁检测能力,增强威胁可见性;关联安全数据以提高准确性并将警报集成到事件中;在企业的整个网络环境中扩展、编排和自动化安全事件响应。与购买并集成一套传统的安全技术相比,XDR技术提供了更高级别的安全保障。由于XDR技术旨在改进和自动化威胁检测、调查和响应,因此理论上它可以准确地防止范围更广的威胁。除了安全能力的提升,XDR解决方案还可以降低MSSP的成本——一些XDR解决方案包括多个威胁情报源和基本安全功能,允许MSSP以较小的成本替换现有技术。同时,一些XDR解决方案提供增强的自动化,可以让MSSP显着减少手动调查和响应时间和要求,减少对专业安全人员的依赖,从而降低成本。三种XDR实现方法XDR技术的应用与XDR提供者所依赖的不同技术方法有关。目前主要有三种实现方式:nativeXDR、openXDR和hybridXDR。原生XDR所有组件均由单一供应商提供的XDR解决方案被视为原生XDR。这意味着买家可以享受原生XDR平台的好处,而无需购买额外的技术解决方案。一般来说,原生的XDR平台都是由拥有强大EDR产品的厂商提供的。由于原生XDR平台包含了客户需要的所有组件,因此理论上它可以在不集成的情况下顺利运行。在原生XDR平台中,MSSP可以剔除冗余工具,无需担心多厂商技术架构带来的长期集成升级问题。它的缺点之一是无法自定义原生XDR,因此您需要确保该解决方案提供用户所需的一切。OpenXDR需要与多个第三方提供商产品或技术(特别是遥测技术)集成的XDR解决方案被视为OpenXDR。OpenXDR平台集成并关联来自第三方工具的信号以检测威胁,还依赖第三方工具来实施建议的响应操作。通常,开放XDR平台由不提供EDR产品的供应商(例如SIEM和SOAR供应商)以及新技术供应商提供。OpenXDRPlatform允许MSSP继续使用他们当前的大部分工具,或者他们可以将任何组件集成到OpenXDRPlatform中。开放的XDR平台非常灵活,MSSP可以换入和换出一流的工具组件。然而,由于大多数现有技术仍然需要向OpenXDR引擎提供数据,这增加了OpenXDR平台的成本。第三方工具如何顺利地集成到开放的XDR平台并与其协调一致也是一个悬而未决的问题。同时,买家也需要慎重选择和对待SIEM。混合XDR为XDR解决方案提供几乎所有组件同时允许集成第三方工具的供应商被视为混合XDR。这意味着买家不一定需要购买额外的技术方案并将其集成到XDR平台中以实现相应的功能,还可以集成第三方工具来扩展或替换平台原有的技术。混合XDR平台通常由具有EDR解决方案的供应商提供,尤其是希望将广泛的解决方案集成到平台中的大型供应商。理论上,混合XDR平台可以提供原生XDR平台和开放XDR平台的优势。但是,有两个先决条件:首先,混合XDR提供商拥有一套强大的原生工具,其次,混合XDR平台可以无缝集成许多第三方工具。然而,一些混合XDR提供程序实际上是一堆集成度很差的工具,几乎不能协同工作,仅此而已。结论MSSP从XDR平台中获得的好处在很大程度上取决于提供商的方法及其实际实施。虽然XDR前景广阔,但MSSP在投资XDR解决方案时需谨慎,因为许多安全厂商已经开始进入XDR领域,但其实际交付能力还有待市场进一步验证。参考链接-MSSPXDR应用指南白皮书下载链接:https://go.cynet.com/xdr-redefining-the-game-for-mssps/?utm_source=thn原创文章请通过安牛获取授权(微信公众号id:gooann-sectv)转载】点此查看该作者更多好文
