Phát hiện và phản hồi điểm cuối (EDR) là một yếu tố quan trọng trong an ninh mạng. Các Thị trường EDR vẫn tăng trưởng với tốc độ ấn tượng, với tốc độ tăng trưởng kép hàng năm dự kiến vượt quá 20% cho đến năm 2027. Ngoài ra, tốc độ tăng trưởng ARR mới nhất của các công ty dẫn đầu EDR là CrowdStrike và SentinelOne lần lượt ở mức 59% và 122%.
Tuy nhiên, đồng thời, các chuyên gia bảo mật đang nhận ra rằng chỉ phát hiện điểm cuối là không đủ. Khả năng hiển thị từ đầu đến cuối thực sự yêu cầu tính toán tất cả các thiết bị, máy chủ, bộ chứa, nền tảng đám mây và luồng dữ liệu mạng. Những sự cố như Phần mềm tống tiền Black Basta các cuộc tấn công đã nêu rõ quan điểm rằng các tổ chức cần phải liên tục theo dõi những gì đang xảy ra trên mạng.
Ngoài phạm vi hạn chế về khả năng hiển thị và bảo vệ EDR, còn có những thách thức trong hoạt động. Sự phức tạp và ngổn ngang của công cụ khiến EDR khó mở rộng quy mô và tăng nguy cơ xảy ra lỗi của con người, dẫn đến sơ suất về bảo mật.
Phát hiện và phản hồi mở rộng (XDR) cũng như phát hiện và phản hồi được quản lý (MDR) đang nhanh chóng nổi lên như những giải pháp toàn diện hơn cho các tổ chức quan tâm đến bảo mật. XDR mở rộng khả năng của EDR bằng cách cung cấp khả năng hiển thị các vectơ tấn công khác trên mạng công ty, tài nguyên đám mây đang phát triển nhanh chóng, danh tính nhạy cảm và dữ liệu không được quản lý. XDR cho phép SOC phát hiện, chủ động săn lùng các mối đe dọa và ngăn chặn các mối đe dọa tinh vi từ giao diện người dùng tập trung.
MDR — liên quan đến bên thứ ba cung cấp dịch vụ tìm kiếm mối đe dọa, phân loại cảnh báo và ứng phó sự cố — rất hữu ích cho các tổ chức không có trung tâm điều hành bảo mật chuyên dụng (SOC) hoặc có đủ kiến thức chuyên môn về an ninh mạng nội bộ. Bằng cách cung cấp chức năng giống XDR trong khi giảm tải độ phức tạp trong vận hành, nền tảng MDR có thể giúp các tổ chức này cải thiện đáng kể tình trạng bảo mật của họ một cách nhanh chóng.
MDR và XDR đều cung cấp khả năng ứng phó và phát hiện mối đe dọa toàn diện mà EDR còn thiếu và chúng ta có thể mong đợi sẽ thấy ngày càng nhiều tổ chức áp dụng MDR hoặc XDR thay vì chỉ sử dụng EDR trong những năm tới. Đó là tin tốt cho những người chơi chủ chốt trong thị trường XDR/MDR, như Cisco, Microsoft, CrowdStrike, SentinelOne và Cyberory.
Ngoài XDR
Điều thú vị hơn cả quá trình phát triển từ EDR sang XDR/MDR là sự hợp nhất chung về chức năng mà chúng ta đang thấy với XDR/MDR và các công cụ bảo mật khác. Ví dụ: bằng cách tổng hợp dữ liệu bảo mật mạng, XDR đang cạnh tranh hiệu quả với các công cụ quản lý sự kiện và thông tin bảo mật (SIEM) hiện có.
Xu hướng “ghi nhật ký liên kết” này, trong đó công cụ tổng hợp dữ liệu cũng phân tích dữ liệu đó, đang trở nên phổ biến hơn. Đó có thể là tin xấu đối với các SIEM truyền thống, nhưng đây là cơ hội cho các nhà cung cấp có thể làm đúng. Thực hiện tổng hợp và phân tích dữ liệu đám mây, mạng và điểm cuối trong một nền tảng duy nhất, các công cụ thế hệ tiếp theo này đang mở đường cho cuộc sống sau EDR cho những gì còn lại của năm nay và hơn thế nữa.
Nền tảng XDR và CNAPP hợp nhất của Uptycs là một ví dụ điển hình và là nguồn cảm hứng về việc chúng ta có thể mong đợi thị trường XDR sẽ đi về đâu. Điểm cuối của Windows, macOS và Linux chỉ là một phần của câu đố. Những gì được sử dụng để sử dụng nhiều công cụ riêng biệt cho EDR, quản lý trạng thái bảo mật đám mây (CSPM), quản lý quyền lợi cơ sở hạ tầng đám mây (CIEM), quản lý tài sản và tuân thủ đều có thể được quản lý bằng một mô hình dữ liệu.
Trong những năm tới, chúng ta có thể mong đợi được thấy nhiều nhà cung cấp cố gắng hợp nhất chức năng vào các công cụ giống XDR và dịch vụ MDR. Mặc dù việc tích hợp sẽ không sớm biến mất, nhưng các giải pháp thực hiện tốt nhất việc hạn chế sử dụng rộng rãi công cụ mà không hạn chế chức năng sẽ có vị thế tốt để trở thành người dẫn đầu thị trường vào giữa những năm 2020.
