xdr 关于XDR 你必须了解的十件事

栏目:历史 2021-11-23 08:30:34
分享到:

XDR不仅是一种技术,更是一种方法。XDR旨在简化和统一安全技术,提高整体安全方案的有效性。

XDR随着人气的上升,有望成为改变当前网络安全市场结构的颠覆性力量。

XDR是近年来安全行业的热门话题,原因很简单,企业客户的预算都在流入这个领域。2017年,Gartner指出,未来五年企业网络安全支出战略将发生重大变化,重点将从预防转向检测和应对。

自2019年2月RSA大会以来,关于XDR的讨论开始升温。随着2020年疫情和网络威胁带来的新变化,未来几年XDR的普及度有望继续上升。

尽管XDR市场充满活力,但仍处于早期阶段。像任何热钱涌动的新兴市场一样,它充满了谎言和混乱。

那么,到底什么是XDR呢?有什么价值?它与其他“DR”安全技术方案有什么关联和区别?如何登陆XDR?如何选择?对于很多企业客户来说,面对厂家的各种营销说辞,有太多的问题需要澄清。下面,根据ESG的市场调研报告,我们整理出关于XDR的十大问题如下,供读者参考:

到底什么是XDR?

ESG将XDR定义为跨混合it架构的安全产品集成suITe,负责威胁预防、检测和响应等多个安全功能之间的协调和互操作。换句话说,XDR将控制点、安全遥测、分析和操作统一到单个企业安全系统中。

XDR包括哪些安全技术?

因为每个网络安全提供商都热衷于将XDR的概念附加到自己的产品上,所以市场上对XDR的定义有很多。一般来说,XDR应该包括电子邮件安全产品/服务,这是识别XDR产品的一个基本特征。尽管安全供应商将提供不同的XDR捆绑包,但ESG研究表明,大型组织期望XDR解决方案包括端点/服务器/云工作负载安全、网络安全、最常见威胁载体的覆盖、文件爆炸、威胁情报和分析。XDR供应商通常会添加基本的安全编排、自动化和响应功能。

XDR有什么好处?

XDR的核心承诺是通过技术集成和高级分析,帮助企业大幅提升威胁检测和响应速度,优于企业采用多个独立安全工具的方式。XDR还可以帮助企业检测慢速攻击和高级持久威胁。对于后两类攻击,XDR可以分析检测到的攻击的杀伤链,而不是离散信号。总之,XDR的愿景是将安全控制和安全运营紧密结合,成为一体化的解决方案。

XDR有市场吗?

答案显然是肯定的。ESG研究显示,84%的企业都在积极集成安全技术,因此XDR可以作为交钥匙的安全技术集成解决方案。此外,由于大型企业和组织的网络安全支出“单一化”,80%的企业愿意将大部分安全技术预算支付给单个企业级安全提供商。因此,XDR供应商必须让CISO相信XDR是正确的方法。如果XDR的理念和方法能够成功,获得CIO/CISO的认可和共识,这个市场将迎来发展的黄金期。

XDR将如何部署?

这是一个棘手的问题。为了成功部署XDR,企业必须认同XDR的愿景,并愿意分阶段部署XDR,因为他们需要用XDR组件替换现有的点控制安全工具。CISO还需要为XDR项目选择一个切入点。当他们的网络流量分析技术工具的成本完全摊销后,他们将在NTA增加XDR组件。其他控制点类似。理论上,XDR与每个附加组件一起提供增量值,即1加1大于2。由于需要采用这种分阶段过渡的方法,XDR供应商必须说服CISO,XDR的长期价值在于,从长远来看,这种方法将优于集成各种最佳安全工具的方案。

什么样的企业和组织最适合XDR?

对XDR需求最强的客户是中小企业,这些企业没有足够的网络安全人才或技能来推出自己的集成架构。此外,一些行业用户也有类似的需求,如高等教育、医疗、地方政府等。当然,这并不意味着XDR不会吸引大企业,但对于拥有大量分散式安全控制和运营技术的企业和组织来说,XDR的部署路径会更加艰难。在CISO跳进XDR的“大坑”之前,企业需要进行更深入的调研和咨询论证。

XDR会与EDR和MDR产品竞争吗?

在与端点检测和响应直接竞争的项目中,XDR供应商需要说服甲方,EDR只是更大的、完全集成的XDR解决方案的一部分。能买到整机为什么还要买单挡?至于在成本上占优势的主机检测和响应,XDR供应商有时会与之竞争。XDR的卖点是可以让客户获得最好的技术和量身定制的托管服务。

XDR是“家庭水桶”的专属解决方案吗?

每个XDR供应商都会试图说服客户将自己的组件集成到XDR安全基础架构中。但是,安全行业非常不同,所以XDR供应商将必须支持一定程度的开放:支持将包括开源消息总线集成、开放API、合作伙伴生态系统、行业标准等。某些类型的开源XDR解决方案可能涉及ELK堆栈,但目前没有值得特别关注的进展。

XDR会与安全运营技术、SOAR、威胁情报平台竞争吗?

这其实是XDR的终极愿景,但到目前为止,还没有一个XDR解决方案具备在大型企业安全运营中心发挥作用的规模或功能。这并不是说XDR未来不会增加规模和功能,但目前并不是一个迫切的问题。在可预见的未来,XDR解决方案必须能够与SOC系统互操作,那些能够提高SOC效率的XDR供应商将是最成功的。值得注意的是,XDR对于一级SOC分析师来说,可能非常适合监控性质的安全告警分类。如果XDR解决方案能够实现高级分析和易用性的承诺,它将更受这类分析师的欢迎。

现在,哪些国外供应商在营销/销售XDR解决方案?

新玩家不断加入XDR市场,最终没有主流安全厂商会袖手旁观。就国外厂商而言,目前我们能看到的名单包括博通、思科、火眼、迈克菲、微软、帕洛阿尔托网络、恒星赛博、趋势科技、VMware。此外,值得注意的是,EDR厂商未来也可能进入XDR市场,从端点延伸到其他控件。

除了以上十个问题,还有很多关于XDR的问题,比如XDR是否会像用户和实体行为分析一样纳入SOC?XDR会颠覆目前的网络安全技术市场吗?中国哪些厂商在XDR领域领先?欢迎读者留言发表看法。