在《关于XDR,你必须了解的十件事》一文中,我们定义了XDR(ExtendedDetectionandResponse):XDR是一套涵盖混合IT架构的安全产品集成套件,负责威胁预防、检测和响应的互操作性和协调性。XDR将控制点、安全遥测、分析和运营统一到一个企业安全系统中,提高了中小企业和部分行业用户的威胁检测和响应速度。从某种角度来看,XDR就是“穷人”SOC操作套件。听起来不错,但XDR能否在竞争激烈的网络安全市场开辟新战场?根据ESG研究,市场对XDR的需求很明确:76%的安全专业人士表示,如今的威胁检测和响应比两年前困难得多。由于网络威胁的数量和复杂性、网络安全工作量的增加以及攻击面的增加。网络专业人员还经常抱怨他们仍然依赖手动流程和过多的威胁检测和响应单点工具。为了解决这些问题,82%的组织正在构建集成多种产品的安全技术架构。此外,77%的公司正在积极整合(减少)与他们有业务往来的安全技术供应商的数量。80%的企业表示,如果一家企业级网络安全技术供应商拥有满足其要求的完整技术组合,他们愿意将大部分安全技术预算投入该供应商。理论上,XDR可以解决这些问题,并像定制西装一样满足威胁检测和响应需求。您可以将XDR视为现代“即插即用”SOC,它集成了控制、标准化遥测、提供高级分析和自动化响应。在术语方面,XDR可以满足安全操作和分析平台架构(SOAPA)的要求。Broadcom(Symantec)、CheckPoint、Cisco、FireEye、McAfee、Microsoft、PaloAltoNetworks、TrendMicro和VMware等重量级企业都在加紧将安全控制融合在一起,以提供某种形式的XDR。同样,对于CrowdStrike、Cyber??eason和SentinelOne等EDR供应商,他们从端点开始,与其他合作伙伴一起渗透XDR市场。从理论上讲,XDR是一种“正确的产品”,随着时间的推移可能会取得成功。但对于企业用户和供应商来说,在加入XDR潮流之前,他们需要意识到XDR面临的三大挑战:1.部署挑战如今的安全技术基础设施大多是各种“一流”的点工具.例如,许多企业和组织使用多端点安全软件产品、防火墙、IDP等。这些“国家工具”千差万别,以不同的预算购买,由不同的个人和团队操作。XDR的最终价值主张是用一套集成的专有产品取代工具的大杂烩。但几乎没有企业愿意跳进XDR这个“大坑”,一口气“拆换”所有安全工具。因此,XDR供应商需要让CISO相信XDR的战略优势,然后与他们合作进行分阶段部署项目。XDR供应商还必须说服安全专业人员放弃他们目前最喜欢的点工具,以实现网络安全技术的和谐愿景。所有这些都表明XDR供应商必须从交易销售转向战略销售。他们需要通过提供与行业解决方案、企业安全架构和软件定制相关的知识和技能来支持客户。事实上,XDR对企业客户和安全供应商来说都是一次重大的文化变革!2.SOC挑战XDR假设其目标客户没有SOC技术(即SIEM、SOAR、威胁情报平台等),或者这些系统已经拥有可以被替换。这对于没有SOC积累和包袱的中端市场和小企业来说不是问题,但是对于大企业来说却是个大问题。事实上,许多大型企业和组织不仅在SOC技术、定制服务和员工培训上花费数千万元,而且还拥有完全独立的SOC技术集成项目,与终端安全软件、防火墙等其他产品进行集成。底层安全控制无关紧要。对于这样的客户,XDR供应商将不得不想办法互操作和增强现有的SOC技术和流程,而不是试图“破坏”SOC。对于占据XDR市场大部分的大多数安全控制供应商来说,SOC并不是一个容易破解的难题。3.MDR/MSSP挑战随着威胁检测和响应变得更加困难,许多企业需要帮助,但不一定是通过直接购买技术产品。ESG研究表明,51%的企业目前使用托管检测和响应(MDR)服务,而27%的组织正在积极采用MDR服务。一些企业将MDR服务提供商视为包揽一切的外包商,而一些企业则以MDR服务为基础来增强自身的安全团队和技能。无论哪种方式,MDR提供商都会影响或承担威胁检测和响应技术决策。显然,XDR提供商需要通过提供本地托管服务或使用现有的MDR/MSSP服务来做出响应。面对以上三个挑战,XDR供应商需要关注以下四个方面,以便在市场竞争中脱颖而出:可以与现有安全控制互操作的开放架构。强大的项目管理、安全架构和部署服务。可管理的服务。可以立即提高现有SOC技术和流程效率的解决方案。如果哪家XDR供应商能够在以上四个方面表现出色,那么它就有很大的机会成为XDR市场的下一代领导者。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
