近日,美国一家网络安全初创公司Exabeam宣布进入XDR,这本身并不算什么大消息,不过这家公司的定位却让原本简单的事情变得复杂了,Exabeam是一家SIEM供应商。

XDR目前仍是一个新兴的安全领域,结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测与响应(EDR)以及网络流量分析(NTA),集中安全数据和事件响应,是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法。此番行动不禁让大家联想到,SIEM是否会就此转向XDR。

根据Forrester分析师Allie Mellen所说,XDR和SIEM并不是融合,而是相互碰撞。

因此,SIEM的最终结局是:要么创新,要么死亡!

XDR是对SIEM供应商的警钟吗?

Mellen表示,SIEM在过去十年中已经在慢慢地进化了。现在大多数都包含了SOAR组件,以及网络分析、可见性和用户行为分析,抑或是至少提供与这些工具的其他供应商集成。不过,这是远远不够的。

SIEM通过收集大量数据、运行安全分析和“大海捞针”来搜寻威胁,XDR则是通过另一个角度。XDR采取的方法是继续增加端点的保护,然后在此基础上利用来自网络等真正强大的信息来进行充实。

XDR的关键区别在于其在端点威胁检测和响应的基础。

Mellen想向SIEM供应商传达的信息是,供应商需要做更多的创新并找到更好的方法来解决SOC的痛点,这对供应商来说是一个警钟。随着XDR的快速发展,SIEM领域终于有了真正的竞争对手,这对于SIEM厂商来说既是挑战,也是机遇,因为安全行业最能够拉开差距的就是技能方面的差异。

XDR供应商的差异化

目前,Palo Alto Networks、趋势科技、SentinelOne和CrowdStrike等XDR早期采用者都已推出了XDR平台,作为XDR供应商,它们“对未来有着强大的战略”。

Mellen将Exabeam描述为面向XDR的创新SIEM玩家。

Exabeman提供给安全分析师的信息都是用例驱动的,分析师可以了解如何应对攻击,这对新晋分析师或经验不足的分析师来说非常有益。Exabeman的威胁检测、调查和响应(TDIR)用例包内置在其Fusion XDR中,提供了规范工作流和数据源、检测模型、监视列表、调查清单和响应等内容。

另一个有趣的是Rapid7。就在上个月,Rapid7收购了Velociraptor,这是一个开源技术社区,用于端点监控、数位取证和事件响应。此次收购将帮助Rapid7建立事件响应和端点能力-如果Rapid7进入XDR,这两项能力都将发挥重要作用。

Rapid7还通过合并和收购向云安全市场进军。今年2月,它收购了Kubernetes安全公司Alcide,大约一年前,它收购了云安全态势管理提供商DivvyCloud。

SIEM的反击

SIEM的领导者Splunk表示,并不担心XDR会侵蚀安全分析市场。

Splunk负责安全产品的副总裁Jane Wong提出,XDR目前并不能取代安全分析平台或安全信息和事件管理(SIEM)解决方案,目前还是一个共存的局面。

她补充说,实际上,Splunk的安全分析平台可以帮助XDR增强威胁检测能力。

Exabeam在针对XDR和SIEM的未来发展方面所持的观点也是类似的。Exabeam首席产品官Adam Geller说,客户永远不会在其安全运营中心中只有一个平台或供应商。因此,客户将始终需要与供应商无关的安全分析服务,可以跨所有环境中的所有数据。

他补充说:“如今的XDR玩家和EDR玩家都在尝试通过收购来增加更多的日志收集、存储和搜索功能。但是大多数公司生产的都是终端产品,这也意味着,与供应商无关才是最值得关注的挑战。”

此外,越来越多的客户将数据存储在多个数据湖和超大规模云提供商的数据存储中,并希望能够有一种能够跨不同的云和数据湖访问这些数据的威胁检测和响应服务。

Geller说,“我不知道SIEM是否会像客户的安全数据湖一样永远存在下去,也不知道这种方法是否会永远存在下去,因为无论数据存储在哪里,重要的是能访问这些数据。在这种情况下,XDR或SIEM未来都会继续演变,现在还很难说。”

声明:本文来自SDNLAB,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。