XDR: Объяснение Native vs. Open


С появлением расширенного обнаружения и реагирования (XDR) потребность аналитика по безопасности в одном полном, контекстуальном представлении об угрозах в масштабе предприятия становится менее фантастической и более реальной.

XDR обещает более быстрый и эффективный способ объединения данных из ряда инструментов безопасности, обнаружения изощренных атак и автоматизации ответных действий для защиты растущего числа активов в пределах традиционного сетевого периметра и за его пределами.

И поставщики работают над расширением своих предложений по обнаружению угроз и реагированию на них, чтобы выполнить это обещание. Они делают это либо путем приобретения других поставщиков или технологий для добавления возможностей и продвижения к платформам XDR от одного поставщика или собственным, либо путем предложения открытых платформ и партнерства для их интеграции.

Мы видели — и, вероятно, продолжим видеть — значительную активность в области слияний и поглощений, поскольку поставщики работают над созданием собственных решений XDR. В 2021 году XDR привел к многочисленным слияниям и поглощениям. Известные сделки включают июльскую покупку Cybereason компании empo, занимающейся аналитикой безопасности; Приобретение компанией Logpoint в третьем квартале компании SecBI для обеспечения безопасности и автоматизированного реагирования (SOAR) и технологий XDR; и совсем недавно IBM объявила о своих планах по приобретению поставщика средств защиты конечных точек ReaQta.

Однако, как я упоминал ранее, не все поставщики предпочитают приобретать свои возможности XDR. Многие выбирают независимый от поставщиков подход и полагаются на интеграцию с инструментами безопасности от разных поставщиков для предоставления своих решений. Давайте рассмотрим оба подхода.

Собственный XDR

Собственные решения XDR предлагают унифицированный набор инструментов безопасности от одного поставщика на платформе централизованного управления, что теоретически означает, что специалистам по безопасности не нужно внедрять и управлять интеграциями с технологиями других поставщиков. Этот подход, ориентированный на конкретного поставщика, имеет свои преимущества:

  • Единая централизованная платформа управления для управления всеми процессами обнаружения угроз и аналитики.
  • Нет необходимости покупать, интегрировать и обновлять технологии у других поставщиков
  • Лишние инструменты можно удалить
  • Платформа «под ключ» с готовой интеграцией для более быстрого развертывания и обеспечения безопасности

Но некоторые подводные камни сопровождают эти преимущества; в первую очередь требование значительной зависимости от одного поставщика. Клиент, выбравший собственное решение XDR, должен будет заменить свои существующие инструменты инструментами из пакета провайдера, что обычно является дорогостоящим и сложным мероприятием. Кроме того, клиент, предпочитающий простоту универсального подхода, может столкнуться с пробелами в обнаружении угроз и реагировании на них, поскольку маловероятно, что у одного поставщика есть широкие возможности обеспечения безопасности во всех областях. Выбор этого подхода может потребовать жертвовать эффективностью, если не все продукты в наборе поставщика являются лучшими в своем классе. Также обратите внимание, что любое приобретение возможностей XDR требует полной интеграции платформ, что требует времени, а в некоторых случаях может никогда не произойти.

Обратная сторона

  • Привязка к поставщику
  • Необходимость замены существующих инструментов безопасности
  • Отсутствие сторонних возможностей интеграции
  • Ненастраиваемое решение
  • Неполные интеграции
  • Возможные пробелы в защите

Открыть XDR

В то время как собственные решения XDR требуют, чтобы клиенты приобретали у них все компоненты своего предложения XDR, открытые решения предназначены для работы с продуктами безопасности от других поставщиков. Базовая платформа XDR предоставляет центральную консоль управления, которая использует сторонние интеграции, что означает, что клиенты могут сохранить имеющиеся у них инструменты, а также могут добавлять или удалять инструменты в соответствии со своими будущими потребностями.

Преимущества этого независимого от поставщика подхода включают:

  • Избегайте привязки к поставщику
  • Интеграция с лучшими в своем классе инструментами
  • Не нужно рвать и заменять
  • Гибкость замены или замены технологий

Клиенты, рассматривающие открытое решение XDR, должны иметь в виду, что некоторые решения будут предлагать больше сторонних интеграций, чем другие, и даже самые полные открытые решения не могут интегрировать все инструменты, доступные на рынке. Кроме того, интеграция может быть сложной.

Обратная сторона

  • У поставщика может не быть большой экосистемы для интеграции
  • Интеграции могут быть сложными для создания
  • Интеграция не всегда проходит гладко

Лучший подход для вашего бизнеса

Какой подход лучше всего подойдет для вашего бизнеса? Если вы развертываете инструменты от нескольких поставщиков, вам, вероятно, лучше выбрать открытую платформу или работать с поставщиком управляемых услуг безопасности, чтобы использовать эти инвестиции. Если вы склоняетесь к нативному подходу, готовы ли вы вырвать и заменить то, что у вас есть в вашем стеке технологий, чтобы закрепиться за одним предпочтительным поставщиком безопасности? Хотя простота этого подхода привлекательна, она может помешать вам развертывать более инновационные решения по мере их появления на рынке.

Также важно понимать, как опыт поставщика XDR может помочь вам в достижении целей вашей организации. Если, например, ваша организация работает в строго регулируемой отрасли со строгими требованиями к отчетности и соответствию требованиям, например, в сфере здравоохранения или финансовых услуг, то поставщик XDR с платформой управления информацией и событиями безопасности (SIEM) будет иметь возможности глубокой аналитики и лучшие сбор журналов данных и возможности долгосрочного хранения данных, которые вам нужны.

С другой стороны, поставщики XDR, занимающиеся обнаружением и реагированием на конечных точках (EDR), скорее всего, будут слабее в аналитике, но сильнее в обеспечении действенного реагирования на конечной точке. Организации с большим количеством конечных точек, которые необходимо отслеживать и потенциально восстанавливать в случае атаки, захотят сотрудничать с этими поставщиками.

Позаботьтесь о просмотрите дорожные карты поставщиков для интеграции, включая масштаб и объем. Независимо от того, использует ли поставщик XDR через приобретение или партнерство, ключевым фактором является интеграция. Если планируется интеграция, как поставщик намеревается ее осуществить? Как я уже отмечал ранее, даже если поставщик приобрел другие технологии и теперь позиционирует свою платформу как нативную, платформа не будет по-настоящему нативной до тех пор, пока инженеры поставщика не полностью интегрируют новую технологию в платформу, а сшивание различных технологий воедино невозможно. тривиальная задача.

вызывать

Управление комплексным решением

Gartner определила XDR как ведущую тенденцию в области безопасности, отметив в своем Рыночном руководстве по расширенному обнаружению и реагированию на 2021 год, что к концу 2027 года эту технологию будут использовать до 40% организаций конечных пользователей. А в отчете researchandmarkets.com за 2021 год прогнозируется, что к 2028 году объем мирового рынка XDR достигнет 2,06 млрд долларов США, увеличившись в среднем на 19,9% в период с 2021 по 2028 год.

XDR — это будущее обнаружения угроз и реагирования на них, но эти решения также сложны и могут быть сложными для развертывания. Независимо от того, выбираете ли вы решение от одного поставщика или открытую платформу, вам потребуются специалисты по безопасности с обучением, знаниями и опытом для развертывания решения и управления им. Если это не внутренние возможности, вам может понадобиться партнер, чтобы помочь вам.

Оценивая различные подходы, подумайте, будет ли полезно для вашей организации сотрудничество с поставщиком управляемых услуг безопасности (MSSP) или поставщиком управляемого обнаружения и реагирования (MDR). MSSP может помочь вам задать правильные вопросы, выявить пробелы в безопасности и проработать план перехода от существующего стека технологий к внедрению XDR.

Если ваша организация имеет возможности для повседневного управления решением собственными силами и поэтому не планирует работать с поставщиком MSSP или MDR, рассмотрите возможность использования опыта консультанта или инвестирования в услугу поддержки продукта. , чтобы ваша команда безопасности имела доступ к оперативной поддержке при устранении неполадок, таких как, например, развертывание или настройка.

Управляемые услуги мирового уровня

Являясь одним из ведущих мировых поставщиков услуг по обеспечению безопасности, включая профессиональные услуги, консалтинг и управляемые услуги, AT&T Cybersecurity нанимает высококвалифицированных и сертифицированных в отрасли специалистов для предоставления услуг с высоким уровнем взаимодействия, включая адаптацию платформы, первоначальную настройку политик, обучение и устранение неполадок. по мере необходимости. AT&T Controlled XDR использует эти услуги, чтобы помочь организациям быстрее обнаруживать угрозы и реагировать на них.

https://cyberxhack.org/