近两年,IT生态圈一直在讨论大热的安全平台- XDR,但仍然存在一个基本问题:我们究竟在谈论什么?
根据 ESG 研究,62% 的安全专业人士声称对 XDR 这个术语“非常熟悉”,高于 2020 年的 24%。但仍有 29% 的人只是有点熟悉、不是很熟悉,或者一点也不熟悉 XDR。
因此,尽管XDR在RSA 大会上大放异彩,但近五分之一的安全专业人员尚未搞清楚它的真正内涵。
如今,大多数(62%)自称“非常熟悉”XDR 的人表示,XDR 是端点检测和响应 (EDR) 技术的扩展,21% 的人认为 XDR 是来自单一技术供货商的产品套件,并且16% 的人声称 XDR 是一种集成的异构安全技术架构。
在那些声称对 XDR “非常熟悉”的人中,61% 的人认为 XDR 将补充现有的安全技术,而 37% 的人表示 XDR 将有助于将安全技术整合到一个通用平台中。
当我们审视对 XDR 只是“有些熟悉”的安全专业人士时,您会看到不同的画面:该群体中 58% 的人认为 XDR 将补充现有的安全技术,而 37% 的人表示 XDR 将有助于将安全技术整合为一个通用平台。
但关于将补充哪些技术、巩固哪些技术以及在什么时间范围内进行补充的问题仍然存在。
ESG 还发现, XDR 的定义和意见也随着公司/组织规模的变化而变化。
当要求在员工超过 10,000 人的组织中工作的安全专业人员定义 XDR 时,34% 的人说 XDR 是 EDR 技术的扩展,24% 的人认为 XDR 是来自单一技术供货商的产品套件,41% 的人声称XDR 是一种集成的、异构的安全技术架构。
也许较大的公司将 XDR 视为一种架构,因为他们已经拥有过多的工具和技术,并且不打算“推倒重来”现有投资。他们想要胶水,而不是溶剂。
“关注安全流程,而不是 XDR 定义”。业界也有一部分观点认为,XDR 没有严格的定义: 正如他们在 1970 年代所说的那样,“因人而异。” 一些 XDR 产品从电子邮件安全技术收集数据,一些包含来自攻击面管理 (ASM) 等工具的网络风险遥测,一些围绕 EDR 技术构建,一些是 SIEM 的产物。
尽管存在行业争论和教条,但人们开始觉得 XDR 就是你所说的或想要的任何东西。是的,这令人困惑,而且会一直如此。与往常一样,安全专家必须通过定义他们的要求、做功课并遵循古老的建议“买者自负”来处理 XDR。
定义并不重要: 正如那句业界名言– “安全是一个过程,而不是一个产品。” 如果您相信这一点,那么围绕 XDR 定义的争论即会明晰。
ESG 研究表明,36% 的组织希望 XDR 扩展和增强跨混合 IT 的威胁检测,33% 的组织希望 XDR 提高安全警报的保真度和优先级,29% 的组织希望 XDR 充当中央安全运营中心, 25% 的人希望 XDR 有助于检测未知威胁。XDR 对话应该以如何满足这些要求开始和结束。
XDR 暴露了一个更深层次的问题: 高达 85% 的组织计划在未来 12 到 18 个月内增加他们在威胁检测和响应技术方面的支出。这意味着我们今天使用的工具和技术是不够的。
也许它们太难使用,也许它们无法扩展,也许它们太复杂。同样,供货商和用户应该根据这一现实来讨论 XDR。
尽管整个行业对 XDR 仍然狂热不已,但 CISO 却唱着不同的调子。当我们与 CISO 谈论威胁检测和响应时,他们将话题转向安全运营中心 (SOC) 现代化。XDR 能在这里发挥作用吗?是的,如果我们放弃学术争论,将 XDR 弄清楚它如何为 SOC 增加规模、智能、分析和自动化,其带给我们的惊喜或许会更具价值。