Eindpuntdetectie en -respons (EDR) is een belangrijk onderdeel van cyberbeveiliging. De De EDR-markt groeit nog steeds in een indrukwekkend tempo, met een samengesteld jaarlijks groeipercentage dat naar verwachting tot 20 de 2027% zal overschrijden. Bovendien bedragen de laatste ARR-groeipercentages van EDR-leiders CrowdStrike en SentinelOne respectievelijk 59% en 122%.
Tegelijkertijd realiseren beveiligingsprofessionals zich echter dat eindpuntdetectie alleen niet voldoende is. Echte end-to-end zichtbaarheid vereist boekhouding van alle apparaten, servers, containers, cloudplatforms en netwerkgegevensstromen. Incidenten als de Black Basta-ransomware Aanvallen hebben luid en duidelijk gemaakt dat organisaties voortdurend in de gaten moeten houden wat er op het netwerk gebeurt.
Naast de beperkte reikwijdte van EDR-zichtbaarheid en -bescherming zijn er operationele uitdagingen. De wildgroei aan tools en de complexiteit maken het moeilijk voor EDR om op te schalen en vergroten de kans op menselijke fouten die tot veiligheidstoezicht kunnen leiden.
Uitgebreide detectie en respons (XDR) en beheerde detectie en respons (MDR) komen snel in opkomst als meer holistische oplossingen voor beveiligingsbewuste organisaties. XDR breidt de mogelijkheden van EDR uit door inzicht te bieden in andere aanvalsvectoren op het bedrijfsnetwerk, snelgroeiende cloudbronnen, gevoelige identiteiten en onbeheerde gegevens. Met XDR kunnen SOC's bedreigingen detecteren, proactief opsporen en geavanceerde bedreigingen beheersen vanuit een gecentraliseerde gebruikersinterface.
MDR (waarbij een derde partij betrokken is die zorgt voor het opsporen van bedreigingen, het beoordelen van waarschuwingen en het reageren op incidenten) is nuttig voor organisaties die niet over een speciaal Security Operations Center (SOC) of voldoende interne cybersecurity-expertise beschikken. Door XDR-achtige functionaliteit te bieden en tegelijkertijd de operationele complexiteit te verminderen, kunnen MDR-platforms deze organisaties helpen hun beveiligingshouding snel drastisch te verbeteren.
MDR en XDR bieden beide de holistische detectie- en responsmogelijkheden voor bedreigingen die EDR ontbeert, en we kunnen verwachten dat de komende jaren steeds meer organisaties MDR of XDR zullen adopteren in plaats van alleen EDR. Dat is goed nieuws voor belangrijke spelers op de XDR/MDR-markt, zoals Cisco, Microsoft, CrowdStrike, SentinelOne en Cybereason.
Verder dan XDR
Wat nog interessanter is dan de evolutie van EDR naar XDR/MDR, is de algemene consolidatie van functionaliteit die we zien bij XDR/MDR en andere beveiligingstools. Door bijvoorbeeld netwerkbeveiligingsgegevens samen te voegen, concurreren XDR's effectief met bestaande tools voor beveiligingsinformatie en gebeurtenisbeheer (SIEM).
Deze “federatieve logging”-trend, waarbij de tool die de gegevens verzamelt, deze ook analyseert, wordt steeds populairder. Dat is misschien slecht nieuws voor oudere SIEM's, maar het is een kans voor leveranciers die het goed kunnen doen. Door de aggregatie en analyse van cloud-, netwerk- en eindpuntgegevens op één platform uit te voeren, maken deze tools van de volgende generatie de weg vrij voor het leven na EDR voor wat er overblijft van dit jaar en daarna.
Het verenigde XDR- en CNAPP-platform van Uptycs is een goed voorbeeld en inspiratie van waar we van de XDR-markt kunnen verwachten. Windows-, macOS- en Linux-eindpunten vormen slechts een stukje van de puzzel. Waar vroeger meerdere afzonderlijke tools nodig waren voor EDR, cloud security postuur management (CSPM), cloud infrastructure entitlement management (CIEM), asset management en compliance, kan allemaal worden beheerd met één datamodel.
In de komende jaren kunnen we verwachten dat meer leveranciers zullen proberen de functionaliteit te consolideren in XDR-achtige tools en MDR-services. Hoewel integraties niet snel zullen verdwijnen, zullen de oplossingen die de wildgroei aan tools het beste kunnen beperken zonder de functionaliteit te beperken, goed gepositioneerd zijn om halverwege de jaren twintig marktleider te worden.
