Виявлення кінцевих точок і реагування (EDR) є основним елементом кібербезпеки. The Ринок EDR все ще зростає вражаючими темпами, із сукупним річним темпом зростання, який, за прогнозами, перевищить 20% до 2027 року. Крім того, останні темпи зростання ARR лідерів EDR CrowdStrike і SentinelOne становлять 59% і 122% відповідно.
Однак у той же час спеціалісти з безпеки розуміють, що виявлення кінцевої точки недостатньо. Справжня наскрізна видимість вимагає обліку всіх пристроїв, серверів, контейнерів, хмарних платформ і мережевих потоків даних. Подібні випадки Програма-вимагач Black Basta атаки чітко і ясно показали, що організації повинні постійно стежити за тим, що відбувається в мережі.
На додаток до обмеженого обсягу видимості та захисту EDR, існують робочі проблеми. Розповсюдження та складність інструментів ускладнюють масштабування EDR і збільшують ймовірність людської помилки, яка може призвести до помилок у безпеці.
Розширене виявлення та реагування (XDR) і кероване виявлення та реагування (MDR) швидко з’являються як більш цілісні рішення для організацій, які піклуються про безпеку. XDR розширює можливості EDR, забезпечуючи видимість інших векторів атак у корпоративній мережі, хмарних ресурсів, що швидко зростають, конфіденційних ідентифікаційних даних і некерованих даних. XDR дозволяє SOC виявляти, проактивно шукати загрози та стримувати складні загрози через централізований інтерфейс користувача.
MDR, який передбачає пошук загроз, сортування попереджень і реагування на інциденти, є корисним для організацій, які не мають спеціального центру безпеки (SOC) або достатнього внутрішнього досвіду з кібербезпеки. Забезпечуючи функціональні можливості, подібні до XDR, одночасно розвантажуючи операційну складність, платформи MDR можуть допомогти цим організаціям швидко покращити рівень безпеки.
MDR і XDR забезпечують цілісне виявлення загроз і можливості реагування, яких не вистачає EDR, і ми можемо очікувати, що в найближчі роки все більше і більше організацій приймуть MDR або XDR замість EDR-only. Це гарна новина для ключових гравців на ринку XDR/MDR, таких як Cisco, Microsoft, CrowdStrike, SentinelOne і Cybereason.
Крім XDR
Що ще цікавіше, ніж еволюція від EDR до XDR/MDR, так це загальна консолідація функціональності, яку ми бачимо з XDR/MDR та іншими інструментами безпеки. Наприклад, агрегуючи дані про безпеку мережі, XDR ефективно конкурують з існуючими інструментами безпеки та управління подіями (SIEM).
Ця тенденція «об’єднаного журналювання», де інструмент, що збирає дані, також аналізує їх, стає все популярнішим. Це може бути поганою новиною для застарілих SIEM, але це можливість для постачальників, які можуть це зробити правильно. Здійснюючи агрегацію та аналіз хмарних, мережевих і кінцевих даних на одній платформі, ці інструменти наступного покоління прокладають шлях до життя після EDR для того, що залишиться від цього року та за його межами.
Уніфікована платформа Uptycs XDR і CNAPP є яскравим прикладом і натхненням того, куди ми можемо розраховувати на розвиток ринку XDR. Кінцеві точки Windows, macOS і Linux — лише одна частина головоломки. Те, що раніше потребувало кількох окремих інструментів для EDR, керування хмарною безпекою (CSPM), керування правами доступу до хмарної інфраструктури (CIEM), керування активами та відповідності, можна керувати за допомогою однієї моделі даних.
У найближчі роки ми можемо очікувати, що більше постачальників намагатимуться консолідувати функціональні можливості в XDR-подібні інструменти та служби MDR. Хоча інтеграція не припиниться найближчим часом, рішення, які найкраще справляються з обмеженням розповсюдження інструментів без обмеження функціональності, матимуть хороші можливості, щоб стати лідерами ринку в середині 2020-х років.
