XDR是安全业界近年来逐渐火爆的话题,原因很简单,企业客户的预算正在流向这个领域。2017年Gartner指出,未来五年企业网络安全支出战略将发生重大改变,重心将从阻止(Prevent)向检测和响应倾斜。
自从2019年2月的RSA大会,有关XDR的讨论开始升温,而2020年随着疫情和网络威胁带来的新变化,XDR的热度有望在未来数年内持续上升。
尽管充满活力,但是XDR市场仍处于早期阶段,与任何一个热钱涌动的新兴市场一样,充斥着滥竽充数、浑水摸鱼的谎言和混乱。
那么,XDR到底是什么?有何价值?与其他各种“DR”安全技术方案(例如EDR、MDR)存在什么关联和区别?XDR的如何落地?如何选择?对于很多企业客户来说,当他们面对厂商五花八门的营销说辞时,有太多问题需要澄清。以下,我们根据ESG的市场调查报告将关于XDR的十大问题整理如下供读者参考:
XDR到底是什么?
ESG将XDR定义为跨混合IT架构的安全产品的集成套件,负责威胁预防、检测和响应等多个安全功能之间的协调和互操作。换句话说,XDR将控制点、安全遥测、分析和运营统一到单一的企业安全系统中。
XDR包含哪些安全技术?
由于每个网络安全供应商都热衷于将XDR的概念扣在自家的产品上,因此市场上对XDR的定义繁多令人困惑。通常来说,XDR应当包含电子邮件安全产品/服务,这是识别XDR产品的一个基本特征。尽管安全供应商将提供不同的XDR捆绑包,但ESG研究表明,大型组织希望XDR方案包括端点/服务器/云工作负载安全性、网络安全性、最常见威胁向量的覆盖范围(例如,电子邮件/Web)、文件引爆(例如沙箱)、威胁情报和分析。XDR供应商往往还添加了基本的安全编排、自动化和响应(SOAR)功能。
XDR有什么好处?
XDR的核心承诺是:通过技术集成和高级分析帮助企业大大提高威胁检测和响应的速度,表现优于当下企业采用多个单独安全工具组合的方式。XDR还能帮助企业检测低速缓慢攻击以及高级持久性威胁(APT)。对于后两类攻击,XDR可以分析检测到攻击的杀伤链而不是离散的信号。总之,XDR的愿景是将安全控制与安全运营紧密结合在一起,成为一个集成解决方案。
XDR有市场吗?
答案显然是肯定的。ESG的研究表明,84%的企业正在积极集成安全技术,因此XDR可以充当交钥匙安全技术集成解决方案。此外,由于大型企业和组织网络安全支出的“一元性”——80%的企业愿意将大部分安全技术预算支付给单个企业级安全供应商。因此XDR供应商将不得不说服CISO,XDR才是正确的道路。如果XDR概念和方法能够成功上位,取得CIO/CISO们的认可和共识,这个市场将迎来黄金发展期。
XDR将如何部署?
这是个棘手的问题。要想成功部署XDR,企业必须认同XDR的愿景,并愿意分阶段部署XDR,因为他们需要将已有的点控制安全工具更换为XDR组件。CISO还需要为XDR项目选择一个切入点(例如,端点安全)。当他们的网络流量分析(NTA)技术工具的成本完全摊销(或服务到期时),他们将为NTA添加XDR组件。其他控制点(如云工作负载安全性,电子邮件安全性,Web安全性等)的情况类似。从理论上讲,XDR与每个附加组件一起提供增量价值,也就是所谓的1加1大于2。由于需要采用了这种分阶段过渡的方法,XDR供应商将不得不说服CISO,XDR的长期价值在于,从长远看该方法将比集成各种最佳安全工具的方案更加出色。
哪种类型的企业和组织最适合XDR?
对XDR需求最强烈的客户是中型企业和小型企业,这些企业没有足够的网络安全人才或技能来推出自己的集成架构。此外,一些行业用户也有类似需求,例如:高等教育、医疗保健、地方政府等。当然,这并不意味着XDR不会吸引大型企业,但是对于拥有大量分散的安全控制和操作技术的企业和组织来说,XDR部署路径将更加困难。企业CISO跳进XDR这个“大坑”之前,需要进行更加深入的调研和咨询论证。
XDR是否会与EDR和MDR产品竞争?
在与端点检测和响应(EDR)直接竞争的项目中,XDR供应商需要说服甲方,即EDR只是更大、完全集成的XDR解决方案的一部分。当您可以购买整台机器时,为什么还要去单独购买一个齿轮呢?至于在成本上有优势的托管检测和响应(MDR),XDR供应商有时会与其正面竞争,XDR的卖点是能够让客户获得最佳技术和量身定制的托管服务。
XDR是“全家桶”专有方案吗?
每个XDR供应商都将试图说服客户在XDR安全基础结构中整合自家组件结合在一起。但是,安全行业极为不同,因此XDR供应商将必须支持某种程度的开放性:支持将包括开放源代码消息总线集成,开放API,合作伙伴生态系统,行业标准等。某些类型的开源XDR解决方案可能会涉及ELK堆栈,但目前还没有特别值得留意的进展。
XDR是否会与安全运营技术(例如安全信息和事件管理(SIEM)、SOAR和威胁情报平台(TIP))竞争?
这其实就是XDR的终极愿景,但是到目前为止,还没有XDR解决方案具有在大型企业安全运营中心(SOC)中发挥作用的规模或功能。这并不是说XDR将来不会增加规模和功能,但是目前这还不是一个紧迫的问题。在可预见的将来,XDR解决方案必须能够SOC系统进行互操作,而那些能够提高SOC效率的XDR供应商将是最成功的。值得注意的是,XDR可能非常适合1级SOC分析人员的监控性质的安全警报分类。如果XDR解决方案可以兑现高级分析和简单易用的承诺,那就更容易受到此类分析人员的欢迎。
如今,哪些国外供应商正在营销/销售XDR解决方案?
XDR市场不断有新玩家加入,最终任何主流安全厂商都不会作壁上观。就国外厂商而言,目前我们能看到的名单包括Broadcom(Symantec)、思科、FireEye、McAfee、微软、Palo Alto Networks、Stellar Cyber、趋势科技和VMware。此外,值得注意的是EDR厂商们(CrowdStrike、Cybereason、SentinelOne等)将来也可能会涉足XDR市场,从端点延伸到其他控件。
除了上述十个问题,关于XDR的疑问还有很多,例如XDR是否会像用户和实体行为分析(UEBA)那样包含在SOC 中?XDR是否会颠覆当下的网络安全技术市场?中国有哪些厂商在XDR领域领跑?欢迎读者们留言表达你们的观点。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】