Endpoint detection and response (EDR) är en bas för cybersäkerhet. De EDR-marknaden växer fortfarande i en imponerande takt, med en sammansatt årlig tillväxttakt som beräknas överstiga 20 % fram till 2027. Dessutom ligger EDR-ledarna CrowdStrike och SentinelOnes senaste ARR-tillväxt på 59 % respektive 122 %.
Men samtidigt inser säkerhetsexperter att det inte räcker med enbart endpointdetektion. Verklig synlighet från slut till ände kräver redovisning av alla enheter, servrar, behållare, molnplattformar och nätverksdataflöden. Incidenter som Svart Basta ransomware attacker har gjort poängen högt och tydligt att organisationer ständigt måste titta på vad som händer på nätverket.
Utöver den begränsade omfattningen av EDR-synlighet och -skydd finns det operativa utmaningar. Verktygsspridning och komplexitet gör det svårt för EDR att skala och ökar risken för mänskliga fel som kan leda till säkerhetsförbiser.
Extended detection and response (XDR) och managed detection and response (MDR) dyker snabbt upp som mer holistiska lösningar för säkerhetsmedvetna organisationer. XDR utökar funktionerna hos EDR genom att ge insyn i andra attackvektorer på företagsnätverket, snabbt växande molnresurser, känsliga identiteter och ohanterad data. XDR gör det möjligt för SOC att upptäcka, proaktivt jaga efter hot och innehålla sofistikerade hot från ett centraliserat användargränssnitt.
MDR – som involverar en tredje part som tillhandahåller hotjakt, larmtriaging och incidentrespons – är användbart för organisationer som inte har ett dedikerat säkerhetsoperationscenter (SOC) eller tillräcklig intern expertis inom cybersäkerhet. Genom att tillhandahålla XDR-liknande funktionalitet samtidigt som den operativa komplexiteten avlastas, kan MDR-plattformar hjälpa dessa organisationer att drastiskt förbättra sin säkerhetsställning snabbt.
MDR och XDR ger båda de holistiska hotdetektions- och svarsmöjligheter som EDR saknar, och vi kan förvänta oss att se fler och fler organisationer anta MDR eller XDR istället för endast EDR under de kommande åren. Det är goda nyheter för nyckelspelare på XDR/MDR-marknaden, som Cisco, Microsoft, CrowdStrike, SentinelOne och Cybereason.
Bortom XDR
Vad som är ännu mer intressant än utvecklingen från EDR till XDR/MDR är den allmänna konsolideringen av funktionalitet vi ser med XDR/MDR och andra säkerhetsverktyg. Till exempel, genom att aggregera nätverkssäkerhetsdata, konkurrerar XDR:er effektivt med befintliga verktyg för säkerhetsinformation och händelsehantering (SIEM).
Denna trend med "federerad loggning", där verktyget som samlar data också analyserar det, blir mer populär. Det kan vara dåliga nyheter för äldre SIEM, men det är en möjlighet för leverantörer som kan få det rätt. Genom att sammanställa och analysera moln-, nätverks- och slutpunktsdata i en enda plattform banar dessa nästa generations verktyg vägen för livet efter EDR för det som återstår av detta år och därefter.
Uptycs enhetliga XDR- och CNAPP-plattform är ett utmärkt exempel och inspiration på var vi kan förvänta oss att XDR-marknaden kommer att gå. Windows-, macOS- och Linux-slutpunkter är bara en pusselbit. Det som brukade ta flera diskreta verktyg för EDR, hantering av molnsäkerhetsställning (CSPM), hantering av berättigande till molninfrastruktur (CIEM), tillgångshantering och efterlevnad kan alla hanteras med en datamodell.
Under de kommande åren kan vi förvänta oss att se fler leverantörer försöka konsolidera funktionalitet i XDR-liknande verktyg och MDR-tjänster. Även om integrationer inte kommer att försvinna när som helst snart, kommer de lösningar som gör det bästa jobbet att begränsa verktygsspridningen utan att begränsa funktionaliteten vara väl positionerade för att bli marknadsledare i mitten av 2020-talet.
