信息化觀察網(wǎng)

在《關(guān)于XDR，你必須了解的十件事》一文中，我們給XDR（擴(kuò)展檢測(cè)與響應(yīng)）的定義是：

XDR是一種涵蓋混合IT架構(gòu)的安全產(chǎn)品集成套件，負(fù)責(zé)威脅預(yù)防、檢測(cè)和響應(yīng)的互操作和協(xié)調(diào)。XDR將控制點(diǎn)、安全遙測(cè)、分析和操作統(tǒng)一到一個(gè)企業(yè)安全系統(tǒng)中，提高中小型企業(yè)和部分行業(yè)用戶威脅檢測(cè)和響應(yīng)的速度。

從某種角度來看，XDR就是“窮人”的SOC運(yùn)營(yíng)套件。

聽起來是很不錯(cuò)的想法，但是XDR能在競(jìng)爭(zhēng)激烈的網(wǎng)絡(luò)安全市場(chǎng)開辟出一片新戰(zhàn)場(chǎng)嗎？根據(jù)ESG的研究，市場(chǎng)對(duì)XDR的需求是明確的：

·76％的安全專業(yè)人員說，如今的威脅檢測(cè)和響應(yīng)要比兩年前困難得多。因?yàn)榫W(wǎng)絡(luò)威脅的數(shù)量、復(fù)雜性，網(wǎng)絡(luò)安全工作負(fù)載的增加以及攻擊面的增長(zhǎng)。網(wǎng)絡(luò)專業(yè)人員還經(jīng)常抱怨他們?nèi)匀灰揽渴謩?dòng)流程和大量的點(diǎn)工具來進(jìn)行威脅檢測(cè)和響應(yīng)。

·為了解決這些問題，82％的組織正在構(gòu)建將多個(gè)產(chǎn)品集成在一起的安全技術(shù)體系結(jié)構(gòu)。此外，有77％的公司正在積極整合（精簡(jiǎn)）與其開展業(yè)務(wù)的安全技術(shù)供應(yīng)商的數(shù)量。

·80％的企業(yè)表示，他們會(huì)愿意將大部分安全技術(shù)預(yù)算交給一家企業(yè)級(jí)網(wǎng)絡(luò)安全技術(shù)供應(yīng)商，前提是該公司擁有滿足其要求的所有技術(shù)產(chǎn)品組合。

從理論上講，XDR可以解決這些問題，并且可以像定制西裝一樣滿足威脅檢測(cè)和響應(yīng)需求。你可以將XDR視為一種現(xiàn)代的“即插即用”的SOC，具備集成控件、標(biāo)準(zhǔn)化遙測(cè)、提供高級(jí)分析并自動(dòng)執(zhí)行響應(yīng)。用術(shù)語(yǔ)來說，XDR能夠符合安全操作和分析平臺(tái)架構(gòu)（SOAPA）的要求。

像Broadcom（Symantec）、Check Point、Cisco、FireEye、McAfee、Microsoft、Palo Alto Networks、趨勢(shì)科技和VMware這樣的重量級(jí)企業(yè)，都在加緊將安全控制融合在一起，以提供某種形式的XDR。同樣，對(duì)于像CrowdStrike、Cybereason和SentinelOne之類的EDR廠商，它們從端點(diǎn)開始并與其他伙伴合作滲透XDR市場(chǎng)。

從理論上講，XDR是一個(gè)“對(duì)的產(chǎn)品”，隨著時(shí)間的推移可能會(huì)成功。但是對(duì)于企業(yè)用戶和廠商來說，在跳上XDR的花車前，還需要清楚XDR面臨的三大挑戰(zhàn)：

01

部署挑戰(zhàn)

當(dāng)今的安全技術(shù)基礎(chǔ)設(shè)施大多是各種各樣的“同類最佳”點(diǎn)工具。例如，許多企業(yè)和組織使用多個(gè)端點(diǎn)安全軟件產(chǎn)品、防火墻、IDP等等。這些“萬(wàn)國(guó)工具”千差萬(wàn)別，使用不同的預(yù)算購(gòu)買，并且由不同的個(gè)人和團(tuán)隊(duì)操作。XDR的終極價(jià)值主張是用一整套集成的專有產(chǎn)品套件代替工具大雜燴。但幾乎沒有企業(yè)愿意通過一次“刪除和替換”所有安全工具而跳入XDR的“大坑”。因此，XDR供應(yīng)商需要使CISO相信XDR的戰(zhàn)略優(yōu)勢(shì)，然后與他們合作進(jìn)行分階段的部署項(xiàng)目。XDR供應(yīng)商還必須說服安全人員為了網(wǎng)絡(luò)安全技術(shù)的和諧愿景，放棄他們眼下最喜歡的點(diǎn)工具。

所有這些表明，XDR供應(yīng)商必須從交易銷售轉(zhuǎn)變?yōu)閼?zhàn)略銷售。他們需要通過提供與行業(yè)解決方案、企業(yè)安全體系結(jié)構(gòu)和軟件定制有關(guān)的知識(shí)和技能來支持客戶。事實(shí)上，XDR對(duì)于企業(yè)客戶和安全廠商來說都是一次重大的文化變革！

02

SOC的挑戰(zhàn)

XDR假定其目標(biāo)客戶要么沒有SOC技術(shù)（即SIEM、SOAR、威脅情報(bào)平臺(tái)等），要么這些系統(tǒng)已經(jīng)可以替換。對(duì)于沒有SOC積累和包袱的中型市場(chǎng)和小型企業(yè)而言，這不是個(gè)問題，但對(duì)于大型企業(yè)而言，就是個(gè)大問題。實(shí)際上，許多大型企業(yè)和組織不僅在SOC技術(shù)、自定義服務(wù)和員工培訓(xùn)上花費(fèi)了上千萬(wàn)元，而且還擁有完全獨(dú)立的SOC技術(shù)集成項(xiàng)目，這些項(xiàng)目與諸如終端安全軟件和防火墻之類的基礎(chǔ)安全控件無關(guān)。

對(duì)于此類客戶，XDR供應(yīng)商將不得不解決如何互操作和增強(qiáng)現(xiàn)有SOC技術(shù)和流程的問題，而不是試圖“顛覆”SOC。對(duì)于構(gòu)成XDR市場(chǎng)主體的大部分安全控制供應(yīng)商來說，SOC并不是一塊好啃的骨頭。

03

MDR/MSSP的挑戰(zhàn)

隨著威脅檢測(cè)和響應(yīng)變得越來越困難，許多企業(yè)需要幫助，但不一定是通過直接購(gòu)買技術(shù)產(chǎn)品。ESG的研究表明，目前有51％的企業(yè)使用托管的檢測(cè)和響應(yīng)（MDR）服務(wù)，而27％的組織正在積極采用MDR服務(wù)。一些企業(yè)將MDR服務(wù)提供商看作是接管一切的外包商，也有一些企業(yè)在MDR服務(wù)基礎(chǔ)上去增強(qiáng)自身的安全團(tuán)隊(duì)和技能無論哪種方式，MDR提供者都將影響或承擔(dān)威脅檢測(cè)和響應(yīng)技術(shù)決策。

顯然，XDR供應(yīng)商需要通過提供本地托管服務(wù)或使用已有的MDR/MSSP服務(wù)進(jìn)行響應(yīng)。

面對(duì)上述三大挑戰(zhàn)，XDR供應(yīng)商要想在市場(chǎng)競(jìng)爭(zhēng)中脫穎而出需要重點(diǎn)關(guān)注以下四個(gè)方面：

·一個(gè)開放的體系結(jié)構(gòu)，可以與現(xiàn)有的安全控件進(jìn)行互操作。

·強(qiáng)大的項(xiàng)目管理、安全架構(gòu)和部署服務(wù)。

·可管理服務(wù)。

·可以立即提高現(xiàn)有SOC技術(shù)和流程效率的解決方案。

任何XDR供應(yīng)商如果能在以上四個(gè)方面表現(xiàn)出色，將有很大幾率成為XDR市場(chǎng)的下一代領(lǐng)導(dǎo)者。