Endpoint detection and response (EDR) er en fast bestanddel af cybersikkerhed. Det EDR-markedet vokser stadig med en imponerende hastighed, med en sammensat årlig vækstrate, der forventes at overstige 20 % til og med 2027. Derudover er EDR-lederne CrowdStrike og SentinelOnes seneste ARR-vækstrater på henholdsvis 59 % og 122 %.
Men samtidig indser sikkerhedsprofessionelle, at slutpunktsdetektion alene ikke er nok. Ægte ende-til-ende-synlighed kræver, at der tages højde for alle enheder, servere, containere, cloud-platforme og netværksdatastrømme. Hændelser som Sort Basta ransomware angreb har gjort det klart, at organisationer konstant skal holde øje med, hvad der sker på netværket.
Ud over det begrænsede omfang af EDR synlighed og beskyttelse er der operationelle udfordringer. Værktøjsspredning og kompleksitet gør det vanskeligt for EDR at skalere og øger chancerne for menneskelige fejl, der kan føre til sikkerhedsforglemmelser.
Extended detection and response (XDR) og managed detection and response (MDR) dukker hurtigt op som mere holistiske løsninger til sikkerhedsbevidste organisationer. XDR udvider EDR's muligheder ved at give synlighed til andre angrebsvektorer på virksomhedens netværk, hurtigt voksende cloud-ressourcer, følsomme identiteter og ikke-administrerede data. XDR gør det muligt for SOC'er at opdage, proaktivt jage efter trusler og indeholde sofistikerede trusler fra en centraliseret brugergrænseflade.
MDR – som involverer en tredjepart, der leverer trusselsjagt, alarmtriaging og hændelsesrespons – er nyttigt for organisationer, der ikke har et dedikeret sikkerhedsoperationscenter (SOC) eller tilstrækkelig intern cybersikkerhedsekspertise. Ved at levere XDR-lignende funktionalitet og samtidig aflaste den operationelle kompleksitet, kan MDR-platforme hjælpe disse organisationer med at forbedre deres sikkerhedsposition drastisk hurtigt.
MDR og XDR leverer begge de holistiske trusselsdetektions- og reaktionsmuligheder, som EDR mangler, og vi kan forvente at se flere og flere organisationer vedtage MDR eller XDR i stedet for EDR-only i de kommende år. Det er gode nyheder for nøglespillere på XDR/MDR-markedet, som Cisco, Microsoft, CrowdStrike, SentinelOne og Cybereason.
Ud over XDR
Hvad der er endnu mere interessant end udviklingen fra EDR til XDR/MDR, er den generelle konsolidering af funktionalitet, vi ser med XDR/MDR og andre sikkerhedsværktøjer. For eksempel ved at aggregere netværkssikkerhedsdata konkurrerer XDR'er effektivt med eksisterende værktøjer til sikkerhedsinformation og hændelsesstyring (SIEM).
Denne trend med "fødereret logning", hvor værktøjet, der samler dataene, også analyserer dem, bliver mere populær. Det kan være dårlige nyheder for ældre SIEM'er, men det er en mulighed for leverandører, der kan få det rigtigt. Ved at udføre aggregering og analyse af cloud-, netværks- og slutpunktdata på en enkelt platform baner disse næste generations værktøjer vejen for livet efter EDR for det, der er tilbage af dette år og fremover.
Uptycs' forenede XDR- og CNAPP-platform er et glimrende eksempel og inspiration på, hvor vi kan forvente, at XDR-markedet vil hen. Windows-, macOS- og Linux-endepunkter er kun en brik i puslespillet. Hvad der plejede at tage flere diskrete værktøjer til EDR, cloud security posture management (CSPM), cloud infrastructure entitlement management (CIEM), asset management og compliance kan alle styres med én datamodel.
I de kommende år kan vi forvente at se flere leverandører forsøge at konsolidere funktionalitet i XDR-lignende værktøjer og MDR-tjenester. Selvom integrationer ikke forsvinder lige foreløbigt, vil de løsninger, der gør det bedste stykke arbejde med at begrænse værktøjsspredning uden at begrænse funktionalitet, være godt positioneret til at blive markedsledere i midten af 2020'erne.
