A végpontészlelés és válaszadás (EDR) a kiberbiztonság alapvető eleme. A Az EDR piac továbbra is lenyűgöző ütemben növekszik20-ig az előrejelzések szerint az összetett éves növekedési ráta meghaladja a 2027%-ot. Ezenkívül az EDR vezető CrowdStrike és SentinelOne legújabb ARR növekedési rátája 59%, illetve 122%.
Ugyanakkor a biztonsági szakemberek felismerik, hogy a végpont-észlelés önmagában nem elegendő. A valódi végpontok közötti láthatóság megköveteli az összes eszköz, szerver, tároló, felhőplatform és hálózati adatfolyam elszámolását. Olyan események, mint a Black Basta ransomware A támadások hangosan és egyértelműen rávilágítottak arra, hogy a szervezeteknek folyamatosan figyelniük kell, mi történik a hálózaton.
Az EDR láthatóság és védelem korlátozott hatóköre mellett működési kihívások is vannak. Az eszközök elterjedtsége és összetettsége megnehezíti az EDR méretezését, és növeli az emberi hibák esélyét, amelyek biztonsági hibákhoz vezethetnek.
A kiterjesztett észlelés és reagálás (XDR) és a felügyelt észlelés és válaszadás (MDR) egyre inkább holisztikusabb megoldásként jelennek meg a biztonságtudatos szervezetek számára. Az XDR kiterjeszti az EDR képességeit azáltal, hogy rálátást biztosít a vállalati hálózat más támadási vektoraira, a gyorsan növekvő felhő-erőforrásokra, érzékeny identitásokra és nem kezelt adatokra. Az XDR lehetővé teszi az SOC-k számára a fenyegetések észlelését, proaktív vadászatát és a kifinomult fenyegetések kezelését egy központi felhasználói felületről.
Az MDR – amely magában foglal egy harmadik felet, amely fenyegetéskeresést, riasztási besorolást és incidensre adott választ biztosít – olyan szervezetek számára hasznos, amelyek nem rendelkeznek dedikált biztonsági műveleti központtal (SOC), illetve nem rendelkeznek elegendő házon belüli kiberbiztonsági szakértelemmel. Azáltal, hogy XDR-szerű funkcionalitást biztosítanak, miközben csökkentik a működési összetettséget, az MDR-platformok segíthetnek ezeknek a szervezeteknek, hogy gyorsan drasztikusan javítsák biztonsági helyzetüket.
Mind az MDR, mind az XDR biztosítja azokat a holisztikus fenyegetésészlelési és válaszadási képességeket, amelyekből az EDR hiányzik, és arra számíthatunk, hogy az elkövetkező években egyre több szervezet alkalmazza az MDR-t vagy az XDR-t a csak EDR helyett. Ez jó hír az XDR/MDR piac kulcsfontosságú szereplőinek, mint például a Cisco, a Microsoft, a CrowdStrike, a SentinelOne és a Cybereason.
Az XDR-n túl
Ami még az EDR-ről XDR/MDR-re való evolúciónál is érdekesebb, az a funkcionalitás általános konszolidációja, amelyet az XDR/MDR és más biztonsági eszközök esetében tapasztalunk. Például a hálózati biztonsági adatok összesítésével az XDR-ek hatékonyan versenyeznek a meglévő biztonsági információ- és eseménykezelő (SIEM) eszközökkel.
Egyre népszerűbb ez az „összevont naplózás” trend, ahol az adatokat összesítő eszköz is elemzi. Lehet, hogy ez rossz hír a régi SIEM-ek számára, de ez egy lehetőség azoknak a szállítóknak, akik meg tudják oldani. A felhő-, hálózat- és végpontadatok összesítését és elemzését egyetlen platformon hajtják végre, ezek a következő generációs eszközök előkészítik az utat az EDR utáni élethez az idei és az azt követő évek számára.
Az Uptycs egységes XDR és CNAPP platformja kiváló példa és inspiráció arra vonatkozóan, hogy merre várható az XDR piac. A Windows, a macOS és a Linux végpontok csak egy részét képezik a rejtvénynek. Ami korábban több különálló eszközt igényelt az EDR-hez, a felhőalapú biztonsági helyzetkezeléshez (CSPM), a felhő infrastruktúra jogosultságkezeléséhez (CIEM), az eszközkezeléshez és a megfelelőséghez, az mind kezelhető egyetlen adatmodellel.
Az elkövetkező években arra számíthatunk, hogy egyre több gyártó próbálja meg egyesíteni a funkcionalitást XDR-szerű eszközökben és MDR-szolgáltatásokban. Bár az integrációk nem szűnnek meg egyhamar, azok a megoldások, amelyek a legjobban korlátozzák az eszközök terjedését a funkcionalitás korlátozása nélkül, jó helyzetben lesznek ahhoz, hogy piacvezetővé váljanak a 2020-as évek közepén.
