在《关于XDR,你必须了解的十件事》一文中,我们给XDR(扩展检测与响应)的定义是:
XDR是一种涵盖混合IT架构的安全产品集成套件,负责威胁预防、检测和响应的互操作和协调。XDR将控制点、安全遥测、分析和操作统一到一个企业安全系统中,提高中小型企业和部分行业用户威胁检测和响应的速度。
从某种角度来看,XDR就是“穷人”的SOC运营套件。
听起来是很不错的想法,但是XDR能在竞争激烈的网络安全市场开辟出一片新战场吗?根据ESG的研究,市场对XDR的需求是明确的:
- 76%的安全专业人员说,如今的威胁检测和响应要比两年前困难得多。因为网络威胁的数量、复杂性,网络安全工作负载的增加以及攻击面的增长。网络专业人员还经常抱怨他们仍然依靠手动流程和大量的点工具来进行威胁检测和响应。
- 为了解决这些问题,82%的组织正在构建将多个产品集成在一起的安全技术体系结构。此外,有77%的公司正在积极整合(精简)与其开展业务的安全技术供应商的数量。
- 80%的企业表示,他们会愿意将大部分安全技术预算交给一家企业级网络安全技术供应商,前提是该公司拥有满足其要求的所有技术产品组合。
从理论上讲,XDR可以解决这些问题,并且可以像定制西装一样满足威胁检测和响应需求。你可以将XDR视为一种现代的“即插即用”的SOC,具备集成控件、标准化遥测、提供高级分析并自动执行响应。用术语来说,XDR能够符合安全操作和分析平台架构(SOAPA)的要求。
像Broadcom(Symantec)、Check Point、Cisco、FireEye、McAfee、Microsoft、Palo Alto Networks、趋势科技和VMware这样的重量级企业,都在加紧将安全控制融合在一起,以提供某种形式的XDR。同样,对于像CrowdStrike、Cybereason和SentinelOne之类的EDR厂商,它们从端点开始并与其他伙伴合作渗透XDR市场。
从理论上讲,XDR是一个“对的产品”,随着时间的推移可能会成功。但是对于企业用户和厂商来说,在跳上XDR的花车前,还需要清楚XDR面临的三大挑战:
1. 部署挑战
当今的安全技术基础设施大多是各种各样的“同类最佳”点工具。例如,许多企业和组织使用多个端点安全软件产品、防火墙、IDP等等。这些“万国工具”千差万别,使用不同的预算购买,并且由不同的个人和团队操作。XDR的终极价值主张是用一整套集成的专有产品套件代替工具大杂烩。但几乎没有企业愿意通过一次“删除和替换”所有安全工具而跳入XDR的“大坑”。因此,XDR供应商需要使CISO相信XDR的战略优势,然后与他们合作进行分阶段的部署项目。XDR供应商还必须说服安全人员为了网络安全技术的和谐愿景,放弃他们眼下最喜欢的点工具。
所有这些表明,XDR供应商必须从交易销售转变为战略销售。他们需要通过提供与行业解决方案、企业安全体系结构和软件定制有关的知识和技能来支持客户。事实上,XDR对于企业客户和安全厂商来说都是一次重大的文化变革!
2. SOC的挑战
XDR假定其目标客户要么没有SOC技术(即SIEM、SOAR、威胁情报平台等),要么这些系统已经可以替换。对于没有SOC积累和包袱的中型市场和小型企业而言,这不是个问题,但对于大型企业而言,就是个大问题。实际上,许多大型企业和组织不仅在SOC技术、自定义服务和员工培训上花费了上千万元,而且还拥有完全独立的SOC技术集成项目,这些项目与诸如终端安全软件和防火墙之类的基础安全控件无关。
对于此类客户,XDR供应商将不得不解决如何互操作和增强现有SOC技术和流程的问题,而不是试图“颠覆”SOC。对于构成XDR市场主体的大部分安全控制供应商来说,SOC并不是一块好啃的骨头。
3. MDR/MSSP的挑战
随着威胁检测和响应变得越来越困难,许多企业需要帮助,但不一定是通过直接购买技术产品。ESG的研究表明,目前有51%的企业使用托管的检测和响应(MDR)服务,而27%的组织正在积极采用MDR服务。一些企业将MDR服务提供商看作是接管一切的外包商,也有一些企业在MDR服务基础上去增强自身的安全团队和技能无论哪种方式,MDR提供者都将影响或承担威胁检测和响应技术决策。
显然,XDR供应商需要通过提供本地托管服务或使用已有的MDR/MSSP服务进行响应。
面对上述三大挑战,XDR供应商要想在市场竞争中脱颖而出需要重点关注以下四个方面:
- 一个开放的体系结构,可以与现有的安全控件进行互操作。
- 强大的项目管理、安全架构和部署服务。
- 可管理服务。
- 可以立即提高现有SOC技术和流程效率的解决方案。
任何XDR供应商如果能在以上四个方面表现出色,将有很大几率成为XDR市场的下一代领导者。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】