据研究机构 Forrester 称,扩展检测和响应 (XDR) 市场目前还处于早期阶段,现有的 XDR 产品成熟度各有不同。成熟的 XDR 供应商结合了其产品组合中的最佳元素,以简化事件响应并构建有针对性的高效检测机制。相比之下,不太成熟的供应商则使用 XDR 作为其产品组合的统一层,对用户和组织几乎没有增加价值。
而介于两者之间的供应商拥有新兴的、原生的和混合的 XDR 功能,但仍处于早期阶段,并且大多数强调的是端点检测和响应 (EDR) 功能。
本文介绍了2022 年值得关注的 10 家最热门 XDR 安全公司。
Bitdefender
Bitdefender GravityZone Ultra 将保护与扩展端点检测和响应 (XEDR) 相结合,帮助组织在威胁生命周期中保护端点基础设施,如工作站、服务器和容器。跨端点事件关联将 EDR 的粒度和丰富的安全上下文与 XDR 的基础设施分析结合在一起
通过对端点和用户产生的风险进行风险分析并在本地强化创新,Bitdefender 最大限度地减少了端点攻击面,使攻击者更难渗透。Bitdefender 表示,其风险分析引擎持续评估端点安全配置错误和用户行为,提供易于理解的安全态势增强优先级列表。
Bitdefender 的新 EDR 将 EDR 分析和事件关联功能扩展到单个端点的边界之外,以帮助组织更有效地处理涉及多个端点的复杂网络攻击。XEDR 提供了企业级别的威胁可视化,便于企业集中调查并更有效地做出响应。
CrowdStrike
CrowdStrike Falcon XDR 以端点保护为核心,综合多域遥测技术,为安全团队提供一个统一的、以威胁为中心的命令控制台。Falcon XDR 通过整合的多平台遥测技术将 EDR 提升到一个新的水平,极大地提高了威胁相关性,并提高了应对复杂攻击的响应速度。
该产品通过将以前孤立的、断开连接的数据转换为强大的、跨平台的攻击指标、洞察力和警报,加快了威胁分析和追踪的速度。Falcon XDR 还将洞察力转化为行动,授权安全团队设计和自动化多阶段、多平台的响应工作流,以进行全栈式修复。
CrowdStrike 的专用 XDR 集成和开放的数据模式简化了遥测数据的采集、解析和映射,在整个环境中提供完全的可见性。此外,高级 Falcon XDR 分析可自动检测隐形威胁,无需安全团队编写、调整和维护检测规则。
Cybereason
Cybereason XDR 平台能够避免传统的无休止的警报,而是在恶意操作发生之前就识别、揭露和终止它们。AI驱动的Cybereason XDR平台使用一个代理、一个控制台和一个团队来保护所有端点。
Cybereason XDR 跟踪、可视化和结束恶意操作,从根源中获取完整的攻击链,涵盖每个受影响的端点、设备、用户身份、应用程序和云部署。该平台比攻击者更快地分析、适应和移动,能够在几分钟内消除威胁。
该平台利用整个生态系统中的自动化和单击修复来终止攻击,并大大减少了人工调查的需求。Cybereason XDR 提供端点保护、扩展的攻击面保护、安全操作优化以及状态和事件管理,以更快地识别和结束攻击。
Elastic
Elastic Limitless XDR 可以在几秒钟内轻松搜索、可视化和分析组织的所有云、用户、端点和网络数据,并通过集成、插件和自定义连接器添加新数据。得益于 Elastic 使 AWS S3、Microsoft Azure Storage 和 Google Cloud Storage 等低成本对象存储完全可搜索,组织可以在几分钟内浏览多年的历史数据。
Limitless XDR 通过基于主机的行为分析和跨环境机器学习来阻止高级威胁,以防止操作系统上的恶意软件和勒索软件。该平台使用 Elastic 安全研究人员开发的与 MITRE ATT&CK 一致的规则自动检测,并通过利用全球 Elastic 社区的贡献来提高程序成熟度。
使用 Elastic Limitless XDR 的组织可以通过在一个直观的用户界面中将所有相关数据关联起来,快速掌握攻击情况。该产品还可以通过灵活的 UI、内置案例管理和不断增长的外部自动化设备无缝访问内外部上下文并快速响应。
微软
Microsoft 365 Defender 是一个 XDR 平台,可自动收集、关联和分析来自整个组织的 Microsoft 环境的信号、威胁和警报数据,包括端点、电子邮件、应用程序和身份。Microsoft 365 Defender 利用广泛的人工智能和自动化来自动阻止攻击并将受影响的资产修复到安全状态。
Microsoft 365 Defender 是一个基于云的、统一的、入侵前后的企业防御套件,可通过端点、身份、应用程序、电子邮件、协作应用程序及其所有数据协调预防、检测、调查和响应。Defender for Office 365 对电子邮件附件进行了测试,使用户不能操作带有有害附件的电子邮件,或者根本无法收到邮件。
Defender for Endpoint 会检测可能被利用的设备和网络漏洞,而 Defender for Identity 会记录突然的帐户更改,例如权限提升或高风险横向移动。Microsoft Defender for Cloud Apps 能够注意到异常行为,例如异常下载、文件共享或邮件转发活动。
Palo Alto Networks
Palo Alto Networks Cortex XDR 收集和集成安全数据以阻止复杂的攻击,统一预防、检测、调查和响应,以提高安全性和运营效率。Cortex XDR 代理通过基于行为的保护来保护终端免受恶意软件、攻击和无文件攻击,使组织能够通过单个云交付代理阻止未知的威胁。
Cortex XDR 通过持续分析用户和端点行为来识别规避威胁,机器学习模型分析数据以发现针对托管和非托管设备的隐形攻击。该平台的代理提供完整的预防堆栈,为漏洞利用、恶意软件、勒索软件和无文件攻击提供保护。
Cortex XDR 还通过提供每个威胁的完整信息并自动揭示根源来加速调查。Cortex XDR 的智能警报分组和警报重复数据删除简化了分类并减少了安全操作每个阶段所需的经验,同时与执行点的紧密集成使网络安全工程师能够快速响应威胁。
SentinelOne
SentinelOne Singularity XDR 统一并扩展了整个企业的检测、调查和响应能力,为安全团队提供端到端的可见性、强大的分析和自动化响应。它使安全团队能够查看来自所有平台的不同安全解决方案收集的数据,包括端点、云工作负载、网络设备、电子邮件和身份。
客户可以将 SentinelOne Singularity XDR 平台扩展为一键式应用程序,帮助企业跨攻击面统一预防、检测和响应,以实现和拥抱XDR。借助 SentinelOne 的 Singularity Marketplace ,组织可以将任何安全应用程序和工具集成到一个单一的平台,而无需编码或编写脚本。
Singularity Marketplace 使安全团队能够集中在一个单一的管理平台上,以扩展检测和响应工作流程,以最大限度地减少分类和事件响应期间的上下文切换和干扰。它可以帮助了解共享的安全事件,而无需在自定义业务逻辑、代码和复杂配置上投入大量时间。
Trellix
Trellix XDR 与企业的端点、电子邮件、网络、云和其他安全产品组合无缝集成,并与第三方安全应用程序连接。这种连接性为组织提供智能威胁传感、分析和自动响应,并使业务能够在所有载体上检测安全事件和高级攻击。
该平台可以从跨用户组织的多个资产进行多矢量遥测,并将这些信息应用于阻止大规模攻击。Trellix XDR 允许企业通过阻止入站电子邮件、网络和端点攻击,从攻击检测转向威胁预防,从而可以预测和预防新出现的威胁、识别根源并做出响应。
Trellix XDR 将下一代安全性嵌入到组织的运营中,通过将增强的智能置于运营的核心,组织能够获得自动化流程并优先考虑其最关键的安全问题的能力。
Trend Micro
Trend Micro Vision One 是一个专门构建的威胁防御平台,它提供了 XDR 产品之外的附加价值和新优势,允许组织查看更多信息并更快地做出响应。Vision One 通过 XDR 功能收集并自动关联电子邮件、端点、服务器、云工作负载和网络中的数据,通过自动保护来防止大多数攻击。
原生传感器和保护点与 XDR 功能相结合,将跨层的威胁活动结合在一起,可以快速检测绕过防御的复杂攻击。
此外,Trend Micro Managed XDR 服务提供 24/7 警报监控和优先级排序、事件调查和威胁追踪,使客户能够缩短检测时间和响应时间。该服务通过专有技术为团队提供有效的警报监控、对高级威胁的深入调查和威胁追踪。
VMware
VMware Carbon Black Cloud 通过将跨域遥测和执行数据整合和关联到一个平台上,从而加速和简化大规模事件响应,为企业 XDR 采用奠定基础。VMware 客户和合作伙伴已经配备了支持 XDR 的架构,其中每个组件都共享一个通用数据集。
VMware Carbon Black Cloud 为分布在全球的团队提供了最快、最具成本效益的方式来获得 XDR 的好处,而不会增加复杂性。与其他供应商让他们的客户承担构建和维护 XDR 所需的数据湖的大量计算成本不同,VMware 客户和合作伙伴无需额外开销即可实现所有 XDR 优势。
通过统一跨 IT 和安全域及设备的检测和响应活动,VMware Carbon Black Cloud 为 XDR 提供了必要的基础,并将其进一步发展。VMware Carbon Black Cloud 充当 XDR-ready 基础架构,并为自动化、跨域、支持 XDR 的控件提供原生支持,从而提供内置的、以上下文为中心的统一安全性。
原文:https://www.crn.com/slide-shows/security/the-10-hottest-xdr-security-companies-to-watch-in-2022