“窮人”的SOC?XDR面臨三大挑戰
責編:gltian |2020-08-11 11:04:22在《關于XDR,你必須了解的十件事》一文中,我們給XDR(擴展檢測與響應)的定義是:
XDR是一種涵蓋混合IT架構的安全產品集成套件,負責威脅預防、檢測和響應的互操作和協調。XDR將控制點、安全遙測、分析和操作統一到一個企業安全系統中,提高中小型企業和部分行業用戶威脅檢測和響應的速度。
從某種角度來看,XDR就是“窮人”的SOC運營套件。
聽起來是很不錯的想法,但是XDR能在競爭激烈的網絡安全市場開辟出一片新戰場嗎?根據ESG的研究,市場對XDR的需求是明確的:
- 76%的安全專業人員說,如今的威脅檢測和響應要比兩年前困難得多。因為網絡威脅的數量、復雜性,網絡安全工作負載的增加以及攻擊面的增長。網絡專業人員還經常抱怨他們仍然依靠手動流程和大量的點工具來進行威脅檢測和響應。
- 為了解決這些問題,82%的組織正在構建將多個產品集成在一起的安全技術體系結構。此外,有77%的公司正在積極整合(精簡)與其開展業務的安全技術供應商的數量。
- 80%的企業表示,他們會愿意將大部分安全技術預算交給一家企業級網絡安全技術供應商,前提是該公司擁有滿足其要求的所有技術產品組合。
從理論上講,XDR可以解決這些問題,并且可以像定制西裝一樣滿足威脅檢測和響應需求。你可以將XDR視為一種現代的“即插即用”的SOC,具備集成控件、標準化遙測、提供高級分析并自動執行響應。用術語來說,XDR能夠符合安全操作和分析平臺架構(SOAPA)的要求。
像Broadcom(Symantec)、Check Point、Cisco、FireEye、McAfee、Microsoft、Palo Alto Networks、趨勢科技和VMware這樣的重量級企業,都在加緊將安全控制融合在一起,以提供某種形式的XDR。同樣,對于像CrowdStrike、Cybereason和SentinelOne之類的EDR廠商,它們從端點開始并與其他伙伴合作滲透XDR市場。
從理論上講,XDR是一個“對的產品”,隨著時間的推移可能會成功。但是對于企業用戶和廠商來說,在跳上XDR的花車前,還需要清楚XDR面臨的三大挑戰:
01、部署挑戰
當今的安全技術基礎設施大多是各種各樣的“同類最佳”點工具。例如,許多企業和組織使用多個端點安全軟件產品、防火墻、IDP等等。這些“萬國工具”千差萬別,使用不同的預算購買,并且由不同的個人和團隊操作。XDR的終極價值主張是用一整套集成的專有產品套件代替工具大雜燴。但幾乎沒有企業愿意通過一次“刪除和替換”所有安全工具而跳入XDR的“大坑”。因此,XDR供應商需要使CISO相信XDR的戰略優勢,然后與他們合作進行分階段的部署項目。XDR供應商還必須說服安全人員為了網絡安全技術的和諧愿景,放棄他們眼下最喜歡的點工具。
所有這些表明,XDR供應商必須從交易銷售轉變為戰略銷售。他們需要通過提供與行業解決方案、企業安全體系結構和軟件定制有關的知識和技能來支持客戶。事實上,XDR對于企業客戶和安全廠商來說都是一次重大的文化變革!
02、SOC的挑戰
XDR假定其目標客戶要么沒有SOC技術(即SIEM、SOAR、威脅情報平臺等),要么這些系統已經可以替換。對于沒有SOC積累和包袱的中型市場和小型企業而言,這不是個問題,但對于大型企業而言,就是個大問題。實際上,許多大型企業和組織不僅在SOC技術、自定義服務和員工培訓上花費了上千萬元,而且還擁有完全獨立的SOC技術集成項目,這些項目與諸如終端安全軟件和防火墻之類的基礎安全控件無關。
對于此類客戶,XDR供應商將不得不解決如何互操作和增強現有SOC技術和流程的問題,而不是試圖“顛覆”SOC。對于構成XDR市場主體的大部分安全控制供應商來說,SOC并不是一塊好啃的骨頭。
03、MDR/MSSP的挑戰
隨著威脅檢測和響應變得越來越困難,許多企業需要幫助,但不一定是通過直接購買技術產品。ESG的研究表明,目前有51%的企業使用托管的檢測和響應(MDR)服務,而27%的組織正在積極采用MDR服務。一些企業將MDR服務提供商看作是接管一切的外包商,也有一些企業在MDR服務基礎上去增強自身的安全團隊和技能無論哪種方式,MDR提供者都將影響或承擔威脅檢測和響應技術決策。
顯然,XDR供應商需要通過提供本地托管服務或使用已有的MDR/MSSP服務進行響應。
面對上述三大挑戰,XDR供應商要想在市場競爭中脫穎而出需要重點關注以下四個方面:
- 一個開放的體系結構,可以與現有的安全控件進行互操作。
- 強大的項目管理、安全架構和部署服務。
- 可管理服務。
- 可以立即提高現有SOC技術和流程效率的解決方案。
任何XDR供應商如果能在以上四個方面表現出色,將有很大幾率成為XDR市場的下一代領導者。