近年来,许多组织都在那里EDR该技术的终结可能会加速产品的成功。
XDR的出现将EDR推到风口浪尖。Forrester将XDR快速出现被视为企业减缓云威胁的手段之一。Gartner,则把XDR工具、机器学习和自动化能力被认为是提高威胁检测精度和安全生产效率的关键,特别是在SOC环境。在最近的一项调查中,ESG发现大约有70%的企业正在考虑,甚至已经开始使用XDR是的。另一个原因Ponemon Institute代表火眼的调查发现,2020年外国企业XDR投资意向约为333,150美元,SIEM只有183,150美元,SOAR345,150美元。
Forrester的分析师Allie Mellen推动这一趋势的因素有很多。主要原因是人员不足SOC团队没有足够的时间深入调查和响应他们组织面临的每一个威胁,尤其是在安全太多的情况下。
另一方面,许多安全专家发现了这一点XDR它的价值也在试图将这些能力扩展到终端以外的地方。
“虽然EDR安全团队还需要终端以外的遥测能力,提供有效的终端检测和响应能力。”
Mellen说到,“XDR能够通过将EDR集成数据和其他遥测数据,为其他业务部分提供可视化和控制能力。”第三个驱动XDR原因是云。随着企业将运营能力转移到云中,安全人员也面临着更大的压力来保护云数据。
XDR是基于EDR现有的成功,并将技术演下一阶段。像传统一样EDR工具一样,XDR安全事件和呃威胁数据也将从笔记本、工作站、移动设备等终端设备中收集和分析。但我不想EDR技术,XDR网络工具、应用程序、终端安全数据IAM统一工具和云数据。
到目前为止,安全团队通常使用安全分析工具,SIEM、尝试网络分析工具和数据湖EDR匹配工具和环境的其他部分。虽然这些工具可以带来一定程度的帮助,但它们都非常消耗资源,而且由于数据太多,误报率非常高。
更重要的是,像SIEM事实上,许多这样的安全分析平台的主要工作是从大量的资源点收集和整合安全事件和日志数据,但在分析工作中做得有点少。Mellen原因在于表示SIEM部署的主要驱动力是为了合规。“
XDR通过提供高效检测的集中遥测器来解决这些问题。”Mellen提到,“无论终端形式是笔记本、工作站、移动设备还是云,XDR目的是降低误报率,关注最有可能准确检测到的数据。”
正在选购XDR技术企业需要决定他们是否使用原生技术XDR能力,或混合XDR。Forrester将原生XDR定义为集成制造商现有产品的技术;混合XDR环境是从不同的第三方集成产品。
原生XDR其优点是购买过程相对直接,集成度高。另一方面,混合XDR客户可以在每一点上选择最好的产品,尽管集成中存在一些问题。但无论是本地的XDR,还是混合XDR,都通过SaaS服务模式。
Mellen认为EDR到XDR转变是一个循序渐进的过程:“XDR目前主要是终端数据,如笔记本、工作站、移动设备等。XDR能力逐渐成熟,检测能力扩展超过传统终端,XDR会逐渐从SIEM在接下来的三到五年里,我抓住了更多的任务,最终成为了SIEM竞争产品。”