2024年6月2日,Forrester发布了全新的「The Forrester WaveTM: Extended Detection AndResponse Platforms, Q2 2024」XDR报告。

Forrester首席分析师Allie Mellen说:"XDR厂商正在越来越多地集成各种遥测源,并制定战略来取代SIEM产品,以增强检测能力、简化用户体验并有效管理成本。目前,厂商已超越其技术传统,原生支持遥测源,包括来自端点、身份、云和网络的数据。"

Mellen对媒体表示:"当许多厂商支持本机遥测技术时,他们可以完全控制它。他们知道遥测数据的格式,而且他们可以坐在椅子上,从产品角度与开发人员交谈。因此,他们能够比第三方遥测技术拥有更多的控制权"。

支持范围的扩大提高了检测质量以及XDR技术的整体有效性。Mellen表示,许多厂商已制定战略,提供与XDR平台无缝集成的SIEM替代方案,提供统一的分析体验,并管理与数据存储和管理相关的成本。

"无论你处于市场的哪个位置,每个人现在都在考虑自己的选择。大型企业正在考虑替代SIEM的潜在方案,部分原因是SIEM的相关成本长期困扰着他们。"她说。

新一期XDR Forrester Wave取代了2021年秋季的首期XDR Forrester Wave。在Forrester对其现有产品实力的评估中,趋势科技从第一名跌至第四名,而微软、Palo Alto Networks和CrowdStrike则分别上升一位至第一、第二和第三名。

微软在战略方面获得了Forrester的最高分,CrowdStrike和Palo Alto Networks分别获得了第二和第三高分。趋势科技和Bitdefender并列第四。2021年,微软、趋势科技、CrowdStrike和Bitdefender并列战略得分最高。

XDR领导者的独特之处

Mellen说,微软、Palo Alto Networks和CrowdStrike等市场领导者凭借先进的功能脱颖而出,这些功能改善了分析师的整体体验,并提供了替换SIEM的战略方法。市场领导者开发的功能包括更好的数据可视化和理解、自动响应行动和增强的威胁猎杀功能。

Mellen说:"领先者与所有其他参与者的关键区别在于,他们能够将这些小功能融入到产品中,从而在竞争中脱颖而出。很多东西又回到了"产品中内置了哪些与市场上其他产品不同的功能,从而改善了分析师的体验?""

Mellen说,这些厂商已经制定了策略,以管理与XDR和SIEM系统之间数据重复相关的成本和复杂性。展望未来,XDR市场预计将专注于进一步开发云和身份检测功能。她说,随着攻击继续以云环境为目标,对检测和响应的需求只会越来越大。如果你从一家厂商那里获取数据或遥测数据,你不会希望他们向你收取两次费用。"你不希望他们在XDR中向你收费,然后又说,"嘿,我们还将在SIEM中向你收费,我们也为你提供了SIEM""。

除领先企业外,Forrester对XDR市场的看法如下:

  • Strong Performers: Trend Micro, Bitdefender, SentinelOne

  • Contenders: Cisco, Sophos, Trellix

  • Challengers: Broadcom, Fortinet

微软AI驱动的XDR可缩短攻击响应时间

微软威胁防护部门总经理斯科特-伍德盖特(Scott Woodgate)说,微软投资开发了实时预测和阻止攻击的技术,将识别和关闭攻击所需的时间从平均72分钟缩短到了3分钟。该公司的技术破坏能力还能关闭受攻击的设备和身份,Woodgate说,这能防止攻击进一步扩散。

该公司将XDR和安全操作合并为一个产品,帮助安全团队管理一切,而无需在界面之间切换。Woodgate说,通过将XDR的详细洞察力与SIEM提供的更广泛的上下文相结合,微软的统一安全运营平台加快了信息检索速度,并为人类分析师和人工智能系统提供了更强大的上下文。

Woodgate告诉媒体:"这种攻击中断功能可以实时识别正在进行的攻击,并将其关闭,从而限制攻击面积"。

一些参考客户告诉Forrester,微软的许可模式基本上迫使他们采用微软的全套产品,以从XDR中获益。但Woodgate说,微软为客户提供了灵活性和各种切入点,使他们可以根据自己的需要扩大使用范围。

Woodgate说:"与微软的明显不同之处在于,原本会陷入不幸境地的客户,现在绝大部分用户都能保持业务连续性。经历过这种情况的安全团队并不会因为遭受攻击而感到兴奋,反而会因为攻击中断替他们减轻了损失而非常兴奋。"

Palo Alto Networks利用AI和强大的数据分析功能提升XDR性能

Cortex总裁Shailesh Rao表示,对人工智能和机器学习的大量投资使Palo Alto Networks能够处理前所未有的海量数据,同时缩短检测威胁的平均时间。他说,公司整合并分析各种来源的数据,以提供全面的保护,并利用其数据集改进机器学习模型。

Rao说,Palo Alto Networks已投资扩大其数据分析能力,将200多个数据源纳入其中,进一步增强了保护各种IT环境的能力。公司专注于整合第三方数据和提供统一的安全运营平台,这是其战略的关键部分,有助于Palo Alto Networks发现各种攻击技术。

"我们的平均保护时间从一天缩短到10秒左右,数据集从每天10亿个事件增加到360亿个事件,"Rao告诉媒体。"想象一下,分析的数据量大约增加了四倍。我们的分析量从20TB增加到80TB,而平均分析时间却从一天缩短到10秒。这在安全运营领域是前所未有的"。

一些客户向Forrester表达了对Palo Alto XDR技术成本的担忧。Rao承认,该公司的高端分析技术以及对人工智能和机器学习的广泛应用,可能会使其产品价格高于某些竞争对手。但Rao认为,这些先进功能提供的价值证明了较高的价位是合理的。

"我们的竞争能力并没有因为价格而处于劣势,"Rao说。

CrowdStrike向LogScale转型,提高XDR数据使用率

CrowdStrike产品主管Raj Rajamani表示,CrowdStrike将其所有客户从Splunk的后端迁移到其专有的LogScale平台,以提高其XDR效率和能力。此次迁移使客户能够更有效地分析、关联和搜索数据,并处理每天超过7PB的数据量。这些增强功能促进了第三方数据源集成和检测规则应用。

他说,公司在SIEM和SOAR之间的集成简化了运营工作流程,允许按需触发和查询,实现了后续步骤的自动化并提高了运营效率。CrowdStrike为各种安全服务开发了数百个连接器,以促进数据的无缝集成,并将其规范化为一个语义数据建模框架。

他告诉媒体:"我们最大的差异化竞争优势在于,我们的每一位客户现在都是XDR客户。我们每天还为客户提供10千兆字节的免费摄取,因为我们对我们平台的能力非常有信心,一旦客户开始使用,他们就会喜欢上我们的平台"。

据Rajamani称,尽管CrowdStrike主要被认为是一家EDR公司,但它正在扩大其在XDR领域的影响力和能力。他说,该公司将基于网络的资产和威胁情报整合到其平台的方法,彰显了其对全面网络安全解决方案的承诺。

"我们是领先的事件响应服务提供商之一,"Rajamani说。"只要我们看到有人使用新的或独特的战术、技术或程序,就会立即将其反馈到一个非常封闭的反馈回路中,并将其输入到产品中"。

原文链接:

https://www.inforisktoday.com/microsoft-palo-alto-crowdstrike-lead-xdr-forrester-wave-a-25530

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。