Переизданный от Джеффри Штуцман, генеральный директор Trusted Internet
«Расширенное обнаружение и реагирование — это платформа, которая интегрирует, сопоставляет и контекстуализирует данные и оповещения от нескольких компонентов предотвращения, обнаружения и реагирования. XDR Это облачная технология, включающая в себя множество точечных решений и расширенную аналитику для сопоставления оповещений из различных источников с инцидентами, возникающими из-за слабых отдельных сигналов, что позволяет добиться более точного обнаружения. Она направлена на сокращение разрастания продуктов, усталости от оповещений, проблем с интеграцией и операционных расходов, и будет особенно привлекательна для команд по обеспечению безопасности, испытывающих трудности с управлением портфелем лучших в своем классе решений или получением выгоды от них. SIEM или решение SOAR». (Gartner)
Gartner также сообщает, что к концу 2023 года как минимум 30% EDR и SIEM Поставщики услуг будут утверждать, что предоставляют XDRнесмотря на отсутствие у них основных элементов XDR функциональность. Это абсолютно верно. На самом деле, Crowdstrike, SentinalOne, CyberReason а другие классифицировали свои решения для защиты конечных устройств как XDR.
Gartner также сделал несколько прогнозов.
- К концу 2027 года, XDR Эта технология будет использоваться до 40% организаций-конечных пользователей для сокращения числа поставщиков решений в области безопасности, по сравнению с менее чем 5% сегодня.
- К концу 2027 года, XDR Кроме того, SASE будет использоваться до 50% организаций-конечных пользователей для сокращения числа поставщиков решений в области безопасности, по сравнению с менее чем 5% сегодня.
Я считаю, что Gartner ошибся. Я не верю, что прогнозы Gartner сбудутся. Вот почему.
- XDR На агента полагаться нельзя, и специалисты по безопасности это знают.. Они признают, что XDR Речь идёт не только о защите тех систем, на которых установлены EDR или агент. XDR Это выходит далеко за рамки этого.
- Полнота EDR как XDR отсутствует: Большинство систем мониторинга обнаружения и обнаружения вторжений (MDR) отслеживают работу межсетевых экранов и конечных устройств, а также потоки данных, аутентификацию и, возможно, ещё пару других параметров. Это правда. XDR Отслеживает каждую возможную точку данных, независимо от того, загружен ли агент или нет.
Компания Gartner считает, что XDR И SASE сократит количество технологий в организации, хотя, на мой взгляд, на самом деле она консолидирует и более точно отобразит картину, независимо от используемой технологии или ее количества, для получения наиболее полной и точной картины. XDR Это не сократит количество поставщиков, а, наоборот, увеличит их число, при этом каждый поставщик будет выбран как лучший в своем деле. Уйдут в прошлое времена, когда приходилось быть запертым в одном защищенном «саду».
Пять лет назад мы (Trusted Internet) выбрали свой технологический стек из пятерки лучших лабораторий NSS Labs — межсетевые экраны FortiGate, FortiClient и Sophos на конечной точке, а затем выбрали другие, исходя из собственных требований; Minerva’s Armor, Sophos Intercept X и другие, которые дополняют наш набор технологий и модель доставки. У нас была предписанная инфраструктура, но не все хотели удалять свои новейшие межсетевые экраны Cisco Firepower. А как насчет тех, у кого есть Пало-Альто? Для компании с несколькими технологиями корреляция становится практически невозможной. Представьте себе наше положение как ППГЧ. Каждая компания во многом уникальна, и у каждой из них есть свои требования к корреляции. В результате нам пришлось перенести их в наше собственное озеро данных, где мы выполняем корреляционный анализ уровней 2 и 3 путем ручного поиска угроз. Мы вынуждены попытаться сопоставить их все (вручную).
Сегодня мы предлагаем несколько XDR Варианты: Stellar, Sophos, Fortinet, и вскоре, возможно, появится второй вариант. ОткрытоXDRТеперь мы можем использовать сотни интеграций с поставщиками и точек данных для выявления, отслеживания и сопоставления аномалий. Вместо того чтобы часами извлекать и анализировать PCAP-файлы, Each позволяет нам подключать сотни точек данных в масштабах предприятия — не только журналы безопасности, но и любые другие журналы. Даже физические журналы безопасности можно подключить к Open.XDRКорреляция возможна, если данные можно интегрировать в озеро данных. И всё это делается в одном открытом окне.XDR Окошко управления. Аналитики обучают машину распознавать модели поведения примерно в течение первого месяца, чтобы убедиться в точности обучения, прежде чем ИИ поможет нормализовать работу системы.
XDR Это не приведет к сокращению числа поставщиков.
XDR Это позволит расширить поле деятельности и подключить столько поставщиков, сколько вы захотите, — все они будут лучшими в своем классе, выполняя сложные аналитические задачи и обеспечивая автоматизированное реагирование.
