江苏龙网

  1. 首页 > 人文 > >

关于XDR,你必须了解的十件事

关于XDR,你必须了解的十件事
文章图片
XDR不仅是一项技术 , 更是一种方法 , XDR旨在简化和统一安全技术 , 提高总体安全方案的有效性 。
热度不断上升的XDR有望成为改变当下网络安全市场格局的颠覆性力量 。
XDR是安全业界近年来逐渐火爆的话题 , 原因很简单 , 企业客户的预算正在流向这个领域 。 2017年Gartner指出 , 未来五年企业网络安全支出战略将发生重大改变 , 重心将从阻止(Prevent)向检测和响应倾斜 。
自从2019年2月的RSA大会 , 有关XDR的讨论开始升温 , 而2020年随着疫情和网络威胁带来的新变化 , XDR的热度有望在未来数年内持续上升 。
尽管充满活力 , 但是XDR市场仍处于早期阶段 , 与任何一个热钱涌动的新兴市场一样 , 充斥着滥竽充数、浑水摸鱼的谎言和混乱 。
那么 , XDR到底是什么?有何价值?与其他各种“DR”安全技术方案(例如EDR、MDR)存在什么关联和区别?XDR的如何落地?如何选择?对于很多企业客户来说 , 当他们面对厂商五花八门的营销说辞时 , 有太多问题需要澄清 。 以下 , 我们根据ESG的市场调查报告将关于XDR的十大问题整理如下供读者参考:
XDR到底是什么?
ESG将XDR定义为跨混合IT架构的安全产品的集成套件 , 负责威胁预防、检测和响应等多个安全功能之间的协调和互操作 。 换句话说 , XDR将控制点、安全遥测、分析和运营统一到单一的企业安全系统中 。
XDR包含哪些安全技术?
由于每个网络安全供应商都热衷于将XDR的概念扣在自家的产品上 , 因此市场上对XDR的定义繁多令人困惑 。 通常来说 , XDR应当包含电子邮件安全产品/服务 , 这是识别XDR产品的一个基本特征 。 尽管安全供应商将提供不同的XDR捆绑包 , 但ESG研究表明 , 大型组织希望XDR方案包括端点/服务器/云工作负载安全性、网络安全性、最常见威胁向量的覆盖范围(例如 , 电子邮件/Web)、文件引爆(例如沙箱)、威胁情报和分析 。 XDR供应商往往还添加了基本的安全编排、自动化和响应(SOAR)功能 。
XDR有什么好处?
XDR的核心承诺是:通过技术集成和高级分析帮助企业大大提高威胁检测和响应的速度 , 表现优于当下企业采用多个单独安全工具组合的方式 。 XDR还能帮助企业检测低速缓慢攻击以及高级持久性威胁(APT) 。 对于后两类攻击 , XDR可以分析检测到攻击的杀伤链而不是离散的信号 。 总之 , XDR的愿景是将安全控制与安全运营紧密结合在一起 , 成为一个集成解决方案 。
XDR有市场吗?
答案显然是肯定的 。 ESG的研究表明 , 84%的企业正在积极集成安全技术 , 因此XDR可以充当交钥匙安全技术集成解决方案 。 此外 , 由于大型企业和组织网络安全支出的“一元性”——80%的企业愿意将大部分安全技术预算支付给单个企业级安全供应商 。 因此XDR供应商将不得不说服CISO , XDR才是正确的道路 。 如果XDR概念和方法能够成功上位 , 取得CIO/CISO们的认可和共识 , 这个市场将迎来黄金发展期 。
XDR将如何部署?
这是个棘手的问题 。 要想成功部署XDR , 企业必须认同XDR的愿景 , 并愿意分阶段部署XDR , 因为他们需要将已有的点控制安全工具更换为XDR组件 。 CISO还需要为XDR项目选择一个切入点(例如 , 端点安全) 。 当他们的网络流量分析(NTA)技术工具的成本完全摊销(或服务到期时) , 他们将为NTA添加XDR组件 。 其他控制点(如云工作负载安全性 , 电子邮件安全性 , Web安全性等)的情况类似 。 从理论上讲 , XDR与每个附加组件一起提供增量价值 , 也就是所谓的1加1大于2 。 由于需要采用了这种分阶段过渡的方法 , XDR供应商将不得不说服CISO , XDR的长期价值在于 , 从长远看该方法将比集成各种最佳安全工具的方案更加出色 。
哪种类型的企业和组织最适合XDR?
对XDR需求最强烈的客户是中型企业和小型企业 , 这些企业没有足够的网络安全人才或技能来推出自己的集成架构 。 此外 , 一些行业用户也有类似需求 , 例如:高等教育、医疗保健、地方政府等 。 当然 , 这并不意味着XDR不会吸引大型企业 , 但是对于拥有大量分散的安全控制和操作技术的企业和组织来说 , XDR部署路径将更加困难 。 企业CISO跳进XDR这个“大坑”之前 , 需要进行更加深入的调研和咨询论证 。
XDR是否会与EDR和MDR产品竞争?
在与端点检测和响应(EDR)直接竞争的项目中 , XDR供应商需要说服甲方 , 即EDR只是更大、完全集成的XDR解决方案的一部分 。 当您可以购买整台机器时 , 为什么还要去单独购买一个齿轮呢?至于在成本上有优势的托管检测和响应(MDR) , XDR供应商有时会与其正面竞争 , XDR的卖点是能够让客户获得最佳技术和量身定制的托管服务 。
XDR是“全家桶”专有方案吗?
【关于XDR,你必须了解的十件事】每个XDR供应商都将试图说服客户在XDR安全基础结构中整合自家组件结合在一起 。 但是 , 安全行业极为不同 , 因此XDR供应商将必须支持某种程度的开放性:支持将包括开放源代码消息总线集成 , 开放API , 合作伙伴生态系统 , 行业标准等 。 某些类型的开源XDR解决方案可能会涉及ELK堆栈 , 但目前还没有特别值得留意的进展 。
XDR是否会与安全运营技术(例如安全信息和事件管理(SIEM)、SOAR和威胁情报平台(TIP))竞争?
这其实就是XDR的终极愿景 , 但是到目前为止 , 还没有XDR解决方案具有在大型企业安全运营中心(SOC)中发挥作用的规模或功能 。 这并不是说XDR将来不会增加规模和功能 , 但是目前这还不是一个紧迫的问题 。 在可预见的将来 , XDR解决方案必须能够SOC系统进行互操作 , 而那些能够提高SOC效率的XDR供应商将是最成功的 。 值得注意的是 , XDR可能非常适合1级SOC分析人员的监控性质的安全警报分类 。 如果XDR解决方案可以兑现高级分析和简单易用的承诺 , 那就更容易受到此类分析人员的欢迎 。
如今 , 哪些国外供应商正在营销/销售XDR解决方案?
XDR市场不断有新玩家加入 , 最终任何主流安全厂商都不会作壁上观 。 就国外厂商而言 , 目前我们能看到的名单包括Broadcom(Symantec)、思科、FireEye、McAfee、微软、PaloAltoNetworks、StellarCyber、趋势科技和VMware 。 此外 , 值得注意的是EDR厂商们(CrowdStrike、Cybereason、SentinelOne等)将来也可能会涉足XDR市场 , 从端点延伸到其他控件 。
除了上述十个问题 , 关于XDR的疑问还有很多 , 例如XDR是否会像用户和实体行为分析(UEBA)那样包含在SOC中?XDR是否会颠覆当下的网络安全技术市场?中国有哪些厂商在XDR领域领跑?欢迎读者们留言表达你们的观点 。


    推荐阅读


    上一篇:迟到者居上|淅江中心地,磐安山水奇

    下一篇:辽沈晚报|蒲河生态廊道再建四大主题公园