端点产品与平台之争落下帷幕:平台胜出。

今年2月底,全球顶级安全会议RSA在其常规举办地美国旧金山莫斯康中心(Moscone Center)顺利举行。因为威瑞森、AT&T和IBM退出,此前曾有猜测认为这次大会可能取消。但大会仍然如期举行,4万多位安全界人士汇聚一堂,探讨网络安全世界新趋势。

这次大会上,安全平台的概念终于深入人心。一直以来,安全买家分门别类地评估产品,比较防火墙供应商A与防火墙供应商B孰优孰劣,对比端点检测与响应(EDR)供应商C和EDR供应商D谁强谁弱。理论上讲,这么做是行得通的,因为安全防御的各个方面都采用“同类最佳”产品,应该能提供最好的防护。

但实际上,这么做引发了很多问题,最大的问题就是安全工具泛滥。有人说公司企业采纳的安全供应商数量平均超过30家。思科的调查研究显示这个数据是70+。无论是30+还是70+,都太多了。一家企业选用这么多安全供应商,光是保持策略一致都几乎不可能。

曾经有安全工程师想在流量出口点和入口点分别采用不同的防火墙供应商。从概念上讲,这有点道理,因为似乎可以规避各种供应商特定的问题。但实际操作下来,这位安全工程师光是保持策略一致就烦不胜烦,最后不得不回归单一供应商模式。这还只是应付两家供应商;想想30或70多家供应商带来的麻烦,头更疼了。

安全平台/XDR视角更广、检测更快

为解决这个问题,安全平台应运而生。安全平台不是在微观上关联来自端点产品的数据,而是从宏观上收集和关联整个环境中的数据。这种方法称为扩展检测与响应(XDR),是EDR的进化版。事实上,EDR完美凸显了非平台方法的问题。EDR解决方案擅长查找端点上的问题,但问题鲜少局限于端点。EDR看不到问题的根源,但XDR可以。

Palo Alto Networks一直积极推进XDR概念,Stellar Cyber、趋势科技等供应商也欣然接受了这个术语。此外,飞塔Security Fabric和思科SecureX平台本质上是XDR解决方案,只是各自的消息传递自成一体。

从端点产品到平台/XDR的转变应改变客户评估和选择安全供应商的方式。接纳XDR的一位CISO表示,各个位置选用同类最佳产品未必能带来一流的安全。实际上,情况正好相反,供应商太多,反而发现不了漏洞。

Gartner需重新构思安全魔力象限

供应商太多突出了安全行业的问题。比如分析师创建的那些往往非常孤立的决策工具。不是对Gartner研究公司吹毛求疵,而是业界誉为决策工具“黄金标准”的Gartner魔力象限(MQ)看世界的方式太狭隘了。端点防护平台(EPP)、安全Web网关、网络防火墙、SIEM等都有各自的魔力象限。在评估特定市场方面,每个魔力象限的表现都很好,但这无法帮助客户转向某个平台。

例如,思科系统、Palo Alto Networks和飞塔全都出现在Gartner EPP的左下象限(细分市场参与者),而Crowdstrike这样的供应商则在右上象限(领导者)。但这并不能说明问题全貌。思科系统、Palo Alto Networks和飞塔这三家供应商使用EPP数据和网络数据,其平台可见性更高、防护更全面。Crowdstrike也是很好的供应商,但并不关联出自其他来源的数据。像Gartner这样的分析公司应改变评估标准,向前看,更加贴合符合安全发展的方向。

云、网络和端点是XDR的支柱

从评估者的角度来看,任何供应商都不太可能覆盖整个安全环境。安全平台/XDR解决方案的三个"必备"支柱是云、网络和端点。附着在此支柱上的任何附加功能都可令平台变得更加强大。供应商还应制定合作伙伴计划,以便集成第三方,从现有工具收集数据。应该利用人工智能(AI)引擎分析数据,并自动关联不同来源的数据。前文提到的Stellar Cyber是诞生于AI时代的安全供应商,围绕XDR概念设计产品。

未来几年,平台方法在安全行业的应用将更加兴盛。平台方法可加快客户找出威胁的速度,更重要的是,能帮客户快速确定威胁源并修复漏洞。RSA 2020是安全行业发展的分水岭,因为在这次会议上,安全平台真正获得了业界瞩目。

关键词:安全平台;XDR;RSA 2020

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。