Grand View Research数据显示,2020年全球XDR市场规模达5.05亿美元,2021-2028年XDR将以19.9%的复合增长率高速扩大。
根据Gartner的预计,到2027年,全球将有高达40%的最终用户/组织使用XDR来减少他们现有安全供应商数量。
FreeBuf咨询观察到,虽然国内XDR市场还处在萌芽阶段,但这片极具潜力的蓝海已经出现了不少国内厂商的身影。不同于国外热衷抢占定义和概念的市场,在国内厂商的不懈努力下,国产XDR产品的体系化、成熟度和解决方案上也有独到之处。
秉持博采众长的态度,FreeBuf咨询调研了Palo Alto、VMware、CrowdStrike等国外安全厂商,以及国内代表厂商深信服科技等,发布了《全球洞察:新生力量XDR技术发展现状及应用研究报告》,以期为国内安全市场提供参考。点击【阅读原文】,即可获取完整版XDR技术发展研究报告。
下面,FreeBuf小蜜蜂将为大家介绍《全球洞察:新生力量XDR技术发展现状及应用研究报告》的三大看点。
-
XDR技术代表着一种融合趋势,推动传统安全工具迭代整合
-
XDR技术将朝着智能、开放的方向应用与发展
-
国内代表厂商深信服以XDR技术为核心构建安全运营新范式,向“智能驾驶”时代迈进
1.国内XDR部署方式选择更加多样
在Gartner的定义中,SaaS化的部署与交付模式是构成XDR的必要条件之一。
小蜜蜂:当前我国业界普遍讨论的XDR具有一个更宽泛的定义,即允许XDR解决方案以本地的形式部署。在我国,很多企业的数据存储、基础安全设备部署等均未做到全面上云,这使得XDR解决方案尚难以在我国通过SaaS化的部署与交付模式实现大规模落地,需结合本地的部署形式满足我国关键安全设施建设现状。
随着XDR技术的持续演进,我国网络安全厂商不断优化XDR技术产品类型,根据企业/组织实际落地痛点探索XDR相关产品的部署方式。
例如2022年深信服在国内率先推出SaaS化XDR,在发挥XDR技术价值的基础之上,进一步要考虑XDR在客户现场部署的便捷性,以及对客户的使用成本问题。深信服SaaS化 XDR以“平台+组件+服务”构建整体解决方案,满足用户深度检测、精准响应、持续生长的安全需求。考虑到行业客户与大型央国企客户存在的网络隔离、数据管控的现状,深信服在2023年进一步推出了本地化分布式部署的形态,客户可根据不同细分场景的需求,按需选择交付模式。
FreeBuf咨询认为,本地化的解决方案主要以适配我国当前网络安全环境为目的,而从长期来看,云安全架构具有灵活、可扩展、易部署的特点,也更容易汇聚海量数据进行联动分析,与XDR统一、深度集成、多源智能分析的内核存在高度一致。随着企业数据逐步上云,云应用与云安全在我国的逐步普及,我国XDR部署与交付形态也将逐步与国际市场趋同,向云地结合、云原生的架构发展。
2. 打造Open XDR以期达到理想安全效果
小蜜蜂:各提供商积极合作,探索XDR数据共享与交换模式
实现不同安全工具间的深度集成与数据关联是XDR最核心的目标之一。若要达成这一宗旨,各安全厂商之间逐步形成针对数据格式、事件调查、API与互操协议的通用方法与标准至关重要。只有当跨技术、跨厂商的安全设备、数据与事件之间能够通过标准化的协议完成共享与交换,企业才能真正通过XDR完成联防联控。
在全球范围内,各类安全厂商纷纷展开合作,共同制订相关标准与互操协议。而我国网络安全厂商尚未对XDR标准达成共识,不同供应商间采用的数据格式、API标准仍相对独立。过去,XDR技术最被人所诟病的就在于其配套安全组件的原生性,必须要有与平台同供应商的组件做数据采集、接入,才能达到理想的安全效果。
深信服认为,开放性是国内XDR方案广泛落地的一个关键能力,面对现实情况,深信服也一直致力于扫清标准化合作的障碍,打造国内首个全面、完整的Open XDR方案。
小蜜蜂:若要使得XDR未来在我国得到大规模落地与应用,供应商需通过不断协商、探索以搭建通用框架。
3. XDR 推动EDR/NDR/SIEM/SOAR等安全工具迭代整合
小蜜蜂:XDR是一种融合趋势,与现有安全市场EDR、NDR、SIEM与SOAR等解决方案存在诸多功能的重叠,在为现有EDR/SIEM供应商提供竞争压力的同时,推动供应商对其产品进行更新换代,优化现有安全产品框架。
XDR与SIEM/SOAR的核心区别在于其产品具备更强大的开箱即用安全分析能力,而不依托于专业人员做威胁建模,这使得它能够更有效关联安全事件与警报,提供集中式的检测与自动化响应。
从EDR/NDR到SIEM/SOAR再到XDR,网络安全威胁检测与响应技术持续发展,从早期割裂、孤立的安全设备朝着统一的、体系化的安全运营方向演进,将原始数据、安全数据进行自动化关联分析,进一步强化威胁检测与响应,提升安全运营效率。
例如深信服XDR产品基于高质量的数据,使用“E+N+X”的引擎与算法,将多源数据进行融合、分析、关联,实现攻击过程和路径的还原,对攻击意图进行威胁定性,实现海量安全告警到少量事件的聚合。通过XDR技术方案构建成具有攻击成功识别、威胁定性、自动化溯源、全网秒级调查、威胁狩猎、隐蔽威胁发现能力的安全运营中心。
1. XDR核心优势分析
小蜜蜂:XDR的核心优势便在于能够深度集成多源、跨IT架构的各类安全组件,打通各项安全数据与事件,并配合人工智能等前沿分析手段实现关联分析与自动化响应。具体来看,XDR的价值渗透企业安全运营流程中防御、检测与响应各个环节。
资料来源:FreeBuf咨询
2. 主流产品形态
XDR解决方案分为两种主要的产品形态:原生(Native)XDR与混合(Hybrid)XDR(又称为Open XDR)。
原生XDR指的是供应商通过XDR组件将供应商自身各类安全工具进行深度整合,关联来自云、网、端的所有安全数据和警报,以实现对整个攻击面的全面监控与自动化响应,从而形成一套完整的XDR解决方案。
而混合XDR提供的是一个开放式的中央管理平台,强调与第三方安全工具的集成,旨在为客户现有安全工具建立联结,提供后端分析与工作流引擎。对于混合XDR而言,遥测数据的收集、分析与响应均主要来源于第三方供应商。国内也有不少厂商属于混合XDR类型,例如深信服就是其中的代表之一,其XDR可对接自有安全组件,基于Open XDR的开放性支持对接第三方安全组件,实现针对威胁的深度融合分析与智能响应。
小蜜蜂:XDR解决方案将朝着智能化、自动化检测与响应方向持续迭代。
自动化与智能化程度是评估XDR能力的关键。一个成熟的XDR框架需能够通过自动化操作与强大的预验证功能来减少人工干预的安全警报。现阶段绝大多数XDR解决方案还停留在对于部分关键事件的简化与自动化响应,仍有大量的告警、事件处置依赖人工操作,对于多安全组件间的深度关联分析能力也较为薄弱,不断迭代优化产品的自动化、智能化能力以持续适配企业业务与安全环境的变化,是未来供应商的主要技术发展方向。
资料来源: FreeBuf咨询
小蜜蜂:云原生架构正逐渐崭露头角,逐步成为XDR的主流部署范式。
云原生架构高开放的内核与XDR解决方案的目标存在高度一致性。受制于合规、技术水平以及企业对于关键资产的敏感程度,云原生XDR在我国目前的落地应用相对较少。然而,从长期来看,伴随云应用在我国的进一步普及与上云大趋势,云原生架构互操性强、可扩展、易于部署的优势将逐步得以体现,成为XDR的主流部署模式。
小蜜蜂:需搭建互通标准以降低供应商锁定风险。
XDR在为用户提供一整套完整的安全运营解决方案的同时,也常常使得用户面临供应商锁定的风险。各供应商间加强合作,不断探索数据格式、事件调查、API间的互通标准是解决此类问题最好的方法。当跨厂商的安全组件与数据之间可通过标准化协议完成交换与共享,下游客户将具备一定的空间在XDR框架内搭配不同的安全组件,以减轻对于单个供应商的依赖。
深信服观点:安全运营新范式,向“智能驾驶”时代迈进
安全运营已经从过去以人为主、强依赖于人员能力精力要求的1.0方案逐步转向人机协同的安全运营2.0方案。基于XDR技术的安全运营方案2.0,以高质量的遥测数据为基础,通过XDR、SOAR、ASM、MDR等新技术与云端服务的协同,可有效解决当前安全工作面临的核心问题,同时叠加安全GPT技术应用,可实现安全运营“智能驾驶”,提升实战效果和运营效率。
值得强调的是,数据的核心不在于数量,而是质量。XDR技术通过持续获取高质量的一手遥测数据,利用丰富且详细的上下文信息进行情景检测,还原故事线,自动调查举证,实现少而精准的检测效果;通过分层分级的威胁运营,从海量研判处置工作中释放人力,并在安全GPT技术加持下,进一步降低用户使用门槛。
FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务,主要输出四个种类的咨询报告:行业研究报告、能力评估报告、产品研究报告以及甲方定制化报告。
FreeBuf咨询自成立以来, 已积累了500+ 甲方安全智库资源,为行业研究报告、企业咨询服务提供指导。访谈上百位行业大咖,为业界输出真实、丰富的安全管理价值与实践经验,具备超过80万+ 精准用户,直接触达CSO、企业安全专家、投资人等专业人群。
如有疑问,请联系 FreeBuf 咨询 杨先生;
原文始发于微信公众号(FreeBuf):XDR技术发展研究报告三大看点 | FreeBuf 全球洞察
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论