许多组织近年来在EDR产品方面取得的成功可能只是加速了该技术的终结。XDR的出现将EDR推上了风口浪尖。例如,Forrester将XDR的迅速出现视为企业减轻云中威胁的手段之一。另一方面,Gartner将XDR工具和机器学习以及自动化功能视为提高威胁检测准确性和安全生产力的关键,尤其是在SOC环境中。在最近的一项调查中,ESG发现大约70%的企业正在考虑甚至开始使用XDR。PonemonInstitute代表火研进行的另一项调查发现,2020年国外公司对XDR的投资意向约为333,150美元,而SIEM仅为183,150美元,SOAR为345,150美元。Forrester分析师AllieMellen认为,有几个因素推动了这一趋势。第一个原因是,人手不足的SOC团队根本没有足够的时间来深入调查和应对组织面临的每一个威胁,尤其是现在有太多的安全问题需要关注。另一方面,许多安全专家发现了XDR的价值,也在寻找将这些能力扩展到终端之外的方法。“虽然EDR提供了有效的端点检测和响应能力,但安全团队还需要超越端点的遥测能力,”Mellen说,“XDR可以通过将EDR数据与其他遥测数据集成来提供业务其他部分所需的可见性和控制能力。”驱动XDR的第三个原因是云。随着企业将更多的运营能力转移到云端,安全人员在保护云端数据方面承受着更大的压力。XDR建立在EDR现有成功的基础上,并将技术提升到一个新的水平.与传统的EDR工具一样,XDR也从笔记本电脑、工作站和移动设备等端点设备收集和分析安全事件和威胁数据。但与EDR技术不同的是,XDR将端点安全数据与来自网络工具、应用程序、IAM工具的数据统一起来,和云。到目前为止,安全团队普遍使用安全分析工具、SIEM、网络分析工具和数据湖来尝试将EDR工具与其余环境进行匹配。虽然这些工具可以带来一定程度的帮助,但它们非常耗资源,而且因为数据太多,会出现非常高的误报率。更重要的是,很多像SIEM这样的安全分析平台,其实mai仅从大量资源点收集并整合安全事件和日志数据,但分析工作较少。Mellen说,原因是SIEM部署的主要驱动力是合规性。“XDR通过集中可以提供高效检测的遥测解决了这些问题,”Mellen说。专注于最有可能被准确检测到的数据。”购买XDR技术的企业需要决定他们是使用原生XDR功能还是混合XDR。Forrester将原生XDR定义为集成了供应商现有产品的技术;混合XDR环境是一个整合不同第三方产品的环境,nativeXDR的优势在于购买过程本身比较简单,集成度高;另一方面,hybridXDR允许客户在每个点上选择最好的产品,虽然有融合上会存在一定的问题,但无论是原生XDR还是混合XDR,都是通过SaaS的模式来服务的。Mellen认为从EDR到XDR的转变是一个循序渐进的过程:“XDR还是以终端数据为主,例如仅限于笔记本电脑、工作站和移动设备。但随着XDR能力的成熟,检测能力超越传统终端,XDR将逐渐从SIEM手中抢走更多任务,并最终在未来三到五年内成为SIEM产品的竞争对手。”
