XDR近年来成为安全行业的热门话题。原因很简单。企业客户的预算正在流入这个领域。2017年,Gartner指出,未来五年,企业网络安全支出策略将发生重大变化,重点将从预防转向检测和响应。自2019年2月RSA大会以来,关于XDR的讨论开始升温。随着2020年疫情和网络威胁带来的新变化,XDR的热度有望在未来几年持续攀升。尽管充满活力,但XDR市场仍处于早期阶段,与任何热钱涌入的新兴市场一样,它充满谎言和混乱。那么,XDR究竟是什么?它的价值是多少?与其他“DR”安全技术方案(如EDR、MDR)有什么关系和区别?XDR是如何实现的?如何选择?对于很多企业客户来说,当他们面对厂商的各种营销说辞时,有太多的问题需要弄清楚。下面,根据ESG的市场调研报告,我们将关于XDR的十大问题整理如下,供读者参考:什么是XDR?ESG将XDR定义为跨混合IT架构的安全产品集成套件,负责威胁预防、检测和响应多个安全功能之间的协调和互操作性。换句话说,XDR将控制点、安全遥测、分析和操作统一到一个企业安全系统中。XDR中包含哪些安全技术?由于每个网络安全厂商都热衷于将XDR的概念寄托在自己的产品上,因此市场上对XDR的定义五花八门,让人眼花缭乱。一般来说,XDR应该包括邮件安全产品/服务,这是识别XDR产品的一个必备特征。虽然安全供应商将提供不同的XDR捆绑包,但ESG研究表明,大型组织希望XDR选项包括端点/服务器/云工作负载安全、网络安全、最常见威胁向量(例如电子邮件/云Web)的覆盖范围、文件引爆(例如沙箱),威胁情报和分析。XDR供应商还经常添加基本的安全编排、自动化和响应(SOAR)功能。XDR有什么好处?XDR的核心承诺是:通过技术集成和高级分析,可以帮助企业大大提高威胁检测和响应的速度,优于目前企业使用多个单独的安全工具组合的方式。XDR还可以帮助组织检测缓慢移动的攻击和高级持续性威胁(APT)。对于后两种类型的攻击,XDR可以分析检测到的攻击的杀伤链,而不是离散信号。总之,XDR的愿景是将安全控制和安全操作紧密集成到一个集成解决方案中。XDR有市场吗?答案显然是肯定的。ESG研究表明,84%的企业正在积极集成安全技术,因此XDR可以作为交钥匙安全技术集成解决方案。此外,由于大型企业和组织网络安全支出的“单变量”性质——80%的企业愿意将大部分安全技术预算支付给一家企业安全供应商。因此,XDR供应商必须让CISO相信XDR是正确的道路。如果XDR的理念和方法能够成功推广,并获得CIO/CISO的认可和共识,市场将迎来黄金发展期。XDR将如何部署?这是一个棘手的问题。要成功部署XDR,组织必须接受XDR愿景并愿意分阶段部署XDR,因为他们需要用XDR组件替换现有的控制点安全工具。CISO还需要为XDR项目选择切入点(例如端点安全)。当他们的网络流量分析(NTA)技术工具的成本完全摊销后(或服务到期时),他们会将XDR组件添加到NTA中。云工作负载安全、电子邮件安全、Web安全等其他控制点的情况也类似。理论上,XDR为每个附加组件提供增量价值,即所谓的1加1大于2。通过这种阶段性过渡XDR供应商必须让CISO相信XDR的长期价值在于,从长远来看,它将优于同类最佳安全工具的集成。什么类型的企业和组织最适合XDR?对XDR需求最强烈的客户是没有足够的网络安全人才或技能来推出自己的集成架构的中小型企业。此外,一些行业用户也有类似的需求,比如:高等教育、医疗、地方政府等。当然,这并不是说XDR不会对大型企业产生吸引力,而是对于拥有大量数据的企业和组织来说。分散的安全控制和操作技术,XDR部署路径将更加困难。企业CISO在跳入XDR这个“大坑”之前,需要进行更深入的调研和咨询。XDR会与EDR和MDR产品竞争吗?在与端点检测和响应(EDR)直接竞争的项目中,XDR供应商需要让甲方相信EDR只是更大的、完全集成的XDR解决方案的一部分。既然可以买整机,为什么还要买单个齿轮?至于托管检测和响应(MDR)的成本优势,XDR供应商有时会正面竞争,XDR的卖点是能够让客户获得最好的技术和量身定制的托管服务。XDR是“全家桶”专有解决方案吗?每个XDR提供商都将尝试说服客户将他们自己的组件集成到XDR安全基础设施中。然而,安全行业有很大不同,因此XDR供应商必须支持某种程度的开放性:支持将包括开源消息总线集成、开放API、合作伙伴生态系统、行业标准等。某些类型的开源XDR解决方案可能涉及ELK堆栈,但还没有特别值得注意的发展。XDR是否会与安全信息和事件管理(SIEM)、SOAR和威胁情报平台(TIP)等安全运营技术竞争?企业安全运营中心(SOC)中发挥作用的规模或功能。这并不是说XDR将来不会增加尺寸和功能,但目前这并不是一个紧迫的问题。在可预见的未来,XDR解决方案必须能够与SOC系统互操作,那些能够提高SOC效率的XDR供应商将是最成功的。值得注意的是,XDR可能非常适合1级SOC分析师的安全警报分类的监视性质。如果XDR解决方案能够兑现高级分析和易用性的承诺,它将更受此类分析师的欢迎。今天有哪些外国供应商在营销/销售XDR解决方案?XDR市场不断有新玩家加入,最终任何主要安全厂商都不会袖手旁观。就国外厂商而言,目前我们能看到的名单包括Broadcom(赛门铁克)、Cisco、FireEye、McAfee、Microsoft、PaloAltoNetworks、StellarCyber??、TrendMicro和VMware。此外,值得注意的是,未来EDR厂商(CrowdStrike、Cyber??eason、SentinelOne等)也有可能涉足XDR市场,从端点延伸到其他控件。除了以上十个问题,关于XDR还有很多疑问,比如XDR是否会像UserandEntityBehaviorAnalysis(UEBA)一样被纳入SOC?XDR是否会颠覆当前的网络安全技术市场?中国有哪些厂商在XDR领域领先?欢迎广大读者留言发表看法。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
