近年来,许多组织在EDR产品上的成功可能恰恰加速了这项技术的终结。

XDR的出现将EDR推到了风口浪尖。比如,Forrester将XDR的快速出现视为企业减缓云端威胁的手段之一。而Gartner,则把XDR工具和机器学习,以及自动化能力,认为是改进威胁检测准确率和安全生产效率的关键,尤其是在SOC环境中。在近日的一项调研中,ESG发现大约有70%的企业正在考虑,甚至已经开始使用XDR了。另一项由Ponemon Institute代表火眼进行的调研则发现,外国企业2020年在XDR上的投入意向约为333,150美元,而SIEM只有183,150美元,SOAR则有345,150美元。

Forrester的分析师Allie Mellen认为,推动这个趋势的因素有多个。首要原因,是人员不足的SOC团队完全没有足够的时间深入调查和响应他们组织面临的每一个威胁,尤其是现在有太多的安全让人目不暇接的情况下。

另一方面,许多安全专家发现了XDR中的价值,也在想方设法将这些能力拓展到终端以外的地方。

“虽然EDR提供了有效的终端检测和响应能力,安全团队还需要终端以外的遥测能力。”Mellen说到,“XDR能够通过将EDR数据和其他遥测数据集成,提供其他业务部分需要的可视化和控制能力。”

第三个驱动XDR的原因是云端。随着企业将更多的运营能力迁移到云端,安全人员也面临着更大的压力,去保护云端的数据。

XDR是基于EDR已有的成功,并且将技术演化到下一阶段。像传统的EDR工具一样,XDR也会从笔记本、工作站、移动设备等终端设备收集并分析安全事件和呃威胁数据。但是不想EDR技术,XDR会将终端安全数据和来自网络工具、应用、IAM工具、以及云的数据统一。

到现在为止,安全团队一般会用安全分析工具、SIEM、网络分析工具和数据湖去尝试将EDR工具和环境的其他部分进行匹配。虽然说这些工具都能带来一定程度的帮助,但是都非常消耗资源,而且由于有太多数据,会有非常高的误报率。

更重要的是,像SIEM这样的许多安全分析平台,其实主要工作还是从大量资源点收集和整合安全事件和日志数据,但在分析工作上却做得有点少。Mellen表示,原因在于SIEM部署的主要驱动力是为了合规。

“XDR通过集中能提供高效率检测的遥测器来解决这些问题。”Mellen提到,“通过在终端部署检测,无论终端形式是笔记本、工作站、移动设备、还是云,XDR的目的都是减少误报率,将关注点集中在最有可能得到准确检测的数据上。”

正在选购XDR技术的企业需要决定他们是用原生XDR能力,还是混合XDR。Forrester将原生XDR定义为,一种将厂商现有产品集成的技术;而混合XDR环境,则是从不同第三方集成产品。

原生XDR的优势是其本身的购买过程相对直接,而集成度高。另一方面,混合XDR可以让客户选择每个点上最好的产品,虽然在集成上会存在一定问题。但是无论是原生XDR,还是混合XDR,都通过SaaS模式进行服务。

Mellen认为EDR到XDR的转变是一个循序渐进的过程:“XDR现在还是主要在终端数据为主,比如限制在笔记本、工作站和移动设备。但是随着XDR能力逐渐成熟,并且检测能力扩展超过传统终端,XDR会逐渐从SIEM中抢过更多任务,最终在未来三到五年成为SIEM产品的竞品。”

数世点评:

XDR会让EDR终结的说法可能为时过早。诚然,XDR确实能填补不少EDR所空缺的内容,但是XDR的技术依然不够成熟,本身暂时的能力点依然在终端。另一方面,EDR依然能是XDR的主要组成部分,混合XDR的解决方案依然能将EDR和其他不同厂商的安全产品进行对接;因此,即使是单一的EDR解决方案,依然能通过其单品的优秀能力在XDR中占有一席之地。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。