在2021年Forrester发布的关于XDR的定义性报告《Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR》中,我们预测了EDR已经过时,将被XDR所取代。这一天终于到来了:Forrester公司将不再发布《Forrester Wave™: Endpoint Detection And Response Providers》的报告。
Forrester Wave EDR 报告停止发布
从现在起,EDR将作为XDR市场的一部分进行评估,包括在本月发布的《The Extended Detection And Response Platforms Landscape, Q4 2023》最新展望报告中,以及将于2024年第二季度发布的《The Forrester Wave™: Extended Detection And Response Platforms》报告中。
我们之所以得出这样的结论,是因为 XDR 市场正在逐渐稳定下来。大多数假借 XDR之名的SIEM供应商(最终)已将其信息传递还原为SIEM/安全分析平台。EDR供应商开始增加额外的遥测功能,更多的XDR供应商增加了通用功能。重要的是,大型企业的从业人员现在将EDR和XDR称为同义词。
XDR市场默认包括EDR
XDR的首要核心用例是本地检测面:终端(即EDR)。所以,对XDR的任何评估都将包括以前对EDR进行的彻底评估。鉴于此,Forrester对XDR的定义如下:
The evolution of endpoint detection and response, which unifies security-relevant detections from the endpoint and other detection surfaces such as email, identity, and cloud. It is a cloud-native platform built on big data infrastructure that prioritizes analyst experience for high-quality detection, complete investigation, and fast and effective response.
终端检测与响应的演进,将来自终端和其他检测面(如电子邮件、身份和云)的安全相关检测统一起来。这是一个基于大数据基础架构的云原生平台,优先考虑分析师体验,以实现高质量的检测、完整的调查,以及快速而有效的响应。
避免重蹈SIEM的覆辙,是XDR供应商的驱动力
XDR市场仍在经历一系列成长的阵痛,一些供应商正在开发新产品,而更成熟的供应商则在努力解决数据摄取方面的常见问题。一些不太成熟的厂商为了迎头赶上,正在尽可能多地整合各种集成和功能,但在此过程中却牺牲了检测质量。安全专家有很多选择,因此有一些事情需要考虑:
XDR供应商正在从混合XDR方法转向原生XDR方法。混合XDR(与第三方供应商集成进行遥测检测)是一个极具挑战性的生态系统,需要维护,并与安全分析平台数据摄取相冲突。正因为如此,许多XDR供应商正在转向提供原生XDR产品,而不是混合产品,或者仅将混合XDR作为托管服务(如MDR)来提供。
成熟的XDR供应商正面临着来自安全专家的质疑,他们希望整合或限制数据移动。在两个地方存储两次数据并不受CISO的欢迎。这使得XDR供应商开始研究如何通过提供更多SIEM替代方案来简化产品(见下图)。
XDR供应商有机会避免过去的弊端,不盲从于安全分析平台的思维模式。这些弊端包括不了解正在开展工作的从业者,试图解决所有问题、而不是很好地解决关键挑战,以及提供过多的灵活性、而不是构建解决从业者问题的功能。XDR供应商必须始终专注于提供最佳的检测和响应质量,才能在这一市场取得成功。
原文链接:
https://www.forrester.com/blogs/edr-is-officially-out-and-xdr-still-wont-solve-your-siem-problems/
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
