竞争加剧，EDR和MDR厂商开始并购整合

在Forrester 公司副总裁兼首席分析师Jeff Pollard看来，网络安全历来被划分为两类：一类是制造防火墙和防病毒软件等安全产品的厂商，另一类是代表企业管理安全的服务提供商。这促使 CrowdStrike 等公司开始自行提供管理服务，而不再依赖第三方。

"产品厂商说，"我们为什么要把这些钱送出去？’"Pollard 告诉媒体。"服务供应商说："嗯，看来我们需要自己的东西了，因为他们不再是我们的合作伙伴，也不会与我们竞争了。"这就是行业走到今天的真正原因"。

他说，因此，以往专注于管理其他公司技术的MDR 供应商认识到需要开发自己的知识产权以保持竞争力。Pollard 说，随着越来越多的 MSSP、端点安全厂商和事件响应公司进入 MDR 市场，厂商们越来越多地将并购作为生存和扩张的手段。

Pollard 说："对于一个成功的市场来说，竞争非常激烈，就意味着并购会发生，因为你需要整合。"

本月早些时候，端点安全厂商Sophos以8.59亿美元的价格收购了MDR提供商Secureworks，以增强其威胁情报、检测和响应能力，这是Sophos四十年历史上最大的一次收购，并拉开了并购狂潮的序幕。交易完成几天后，Sophos裁员6%，理由是希望精简重复的角色，并取消与Secureworks上市有关的职位。

Sophos首席执行官乔-利维（Joe Levy）告诉媒体："想想真正有效和高效的MDR需要哪些组件。"你需要拥有一个出色的XDR 平台，因此，能够拥有技术和该技术的路线图，这是独立服务提供商和独立技术提供商之间的分拆模式所不具备的。"

同一天，MDR提供商Arctic Wolf以1.6亿美元的价格从黑莓手中收购了陷入困境的Cylance端点安全业务，从以服务为基础的战略转变为以产品为中心的战略。11 月，陷入困境的 EDR 提供商 Cybereason 和 MDR 提供商 Trustwave 宣布计划联手打造一家更强大的托管安全提供商，提供更强大的服务能力。

"越来越多的客户说，"嘿，我从Arctic Wolf公司的安全运营中获得了很多。我很想利用Arctic Wolf的技术进行预防、端点检测和响应，同时结合你们在整体安全运营方面为我做的一切"，"Arctic Wolf首席执行官尼克-施耐德（Nick Schneider）告诉媒体。

独立的EDR、MDR已不再符合时代要求

传统上，企业依靠托管安全服务进行日志监控和基本警报。MDR 则更进一步，提供实时威胁检测、调查和响应。与此同时，厂商逐渐意识到，仅通过 EDR 来实现端点可见性是不够的，于是出现了 XDR，它集成了来自云、网络和身份系统等多个层面的信号。

Levy 说："要想真正高效地操作这类平台，学习相关技能非常复杂，而要做到 24/7/365 全天候操作则更具挑战性。"大多数组织根本不具备运行全球SOC的能力。"

Levy 说，虽然 XDR 扩展了检测功能，但它也带来了操作上的复杂性，因为大多数公司缺乏全天候管理复杂安全平台的专业知识和资源，这导致了 MDR 作为一种全面管理的安全服务的兴起。Schneider说，真正的MDR应该超越端点，包括跨云环境、网络和身份系统的威胁检测。

"一旦合作伙伴参与进来，并真正看到托管 EDR 的价值，对话就会立即转向"你们能为我的防火墙做同样的事情吗？你们能为我的 NDR 解决方案做同样的事情吗？你能为我的身份解决方案做同样的事情吗？"WatchGuard 首席产品官 Andrew Young 告诉 媒体。"因此，他们越来越多地寻求外包。"

Levy 说，由于托管安全解决方案已经超越了端点保护的范畴，覆盖了整个 IT 基础架构，因此客户希望有一家厂商能够同时提供 EDR 技术和 MDR 服务，而不是同时处理多个合同和支持团队。随着网络威胁的快速发展，企业需要一种不仅能检测攻击，还能主动管理和应对攻击的解决方案。

Levy 说："它为客户和合作伙伴提供了一个明确的责任主体，这对用户非常非常有益，而不是最终陷入责任或所有权不确定的局面。"

Pollard 说，虽然 MDR 市场出现了大幅增长，但也非常拥挤，有 150 多家供应商声称提供某种形式的托管安全服务。但据Pollard 称，这些公司中只有 50 到 75 家拥有重要的业务足迹。

"这是一个极为分散的市场。整合的时机绝对成熟。一些公司绝对需要联合起来，"Pollard 说。"事实上，我要说的是，这正是目前许多 MDR 公司规模较小的原因，因为它们都在相互竞争。

目前，微软和 CrowdStrike 已控制了这一价值 126 亿美元的市场近 44%的份额，两家公司的增长速度远远高于整个市场。最大的挑战之一来自于微软在其企业软件中提供了内置安全工具，这使得独立安全厂商难以证明其成本的合理性。

许多企业之所以选择微软的安全解决方案，只是因为它们已经包含在企业许可协议中，Pollard说，这使得独立厂商几乎没有脱颖而出的空间。与此同时，Pollard表示，CrowdStrike 在端点安全领域的主导地位使得小厂商很难突破重围，尤其是在企业市场。

Pollard说："如果你是一个端点厂商，而你的目标市场与CrowdStrike或微软的目标市场相同，那么要把它们赶出去真的很难。"Pollard说："当你看到其中的每一个时，你必须坐在那里说，"好吧，我们可以继续打这场漂亮仗。或者如果有机会退出，我们就去争取""。

企业如何将 MDR 和 EDR 技术结合起来

许多 MDR 提供商仍然依赖第三方 EDR 解决方案，Young 说，由于厂商之间的数据共享效率低下，这可能导致威胁检测和响应的延迟。同时拥有 EDR 和 MDR 技术的公司可以优化遥测技术、简化安全工作流程并缩短响应时间，Young 说这使得收购比继续依赖合作关系更有吸引力。

Young 说："如果是第三方供应商，第三方负责要收集遥测数据，而 MDR 供应商也要负责收集遥测数据。因此，当你管理一个开放的环境时，本来就会有更高的成本。其中很大一部分是存储和处理、所有建模和机器学习，如果是两家供应商，你就无法以同样的方式进行优化。"

Levy 说，当 MDR 提供商收购端点安全解决方案时，必须在数据关联、自动化和分析方面投入大量资金，以确保合并后的产品能够提供有意义的安全成果。公司如果不能正确整合新收购的技术，最终可能会得到一个支离破碎的安全解决方案，最终损害他们想要提供的价值。

Levy 说："当你看到像 Sophos 这样的厂商提供 MDR 时，你将获得该平台的最佳专家操作。你将在底层技术的发展与专业技术和操作效率之间获得非常紧密的反馈回路。"

Schneider 预测，随着市场向包含端点、云、身份和网络安全的平台转变，独立的 EDR厂商的重要性可能会降低。Schneider认为，随着云安全和身份安全成为下一个重点领域，未能将业务扩展到端点检测之外的 MDR 供应商将很难保持竞争力。

Gartner 副总裁兼团队经理 Travis Lee 预计，下一阶段的 MDR 将纳入先发制人的安全措施，如欺骗技术和攻击面混淆，以在攻击发生前预测和预防攻击。Lee 表示，在这种不断变化的形势下，能够提供具有人工智能驱动的自动化整体安全解决方案的供应商将占得先机。

Lee告诉媒体："据预测，在未来几年中，我们将更加倾向于采取先发制人的行动，这些行动将围绕网络和IT环境的混淆技术，以及实际应用的欺骗技术，这些技术将利用人工智能能力，实施自主欺骗手段，使得攻击者更难辨别信息的真伪。"

企业在网络安全投资中越来越优先考虑简单性和效率，并正在寻找能在所有攻击面提供全面保护的集成解决方案。Levy 说，客户不再希望购买单独的工具来满足每一种安全需求，他们更倾向于采用统一的方法，在单一平台内管理检测、响应和预防。

Schneider说："那些不具备这种能力、工具和平台的人，将很难成功。客户希望能够与一家能够帮助他们更全面地开展安全运营的供应商合作，而不是各自为政。"

原文链接：

https://www.bankinfosecurity.com/mdr-edr-markets-see-wave-ma-as-competition-intensifies-a-27579

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。