端点检测和响应 (EDR) 是网络安全的主要内容。这 EDR 市场仍在以惊人的速度增长,预计到 20 年复合年增长率将超过 2027%。此外,EDR 领先者 CrowdStrike 和 SentinelOne 的最新 ARR 增长率分别为 59% 和 122%。
然而,与此同时,安全专业人员也意识到,仅端点检测是不够的。真正的端到端可见性需要考虑所有设备、服务器、容器、云平台和网络数据流。类似事件 Black Basta 勒索软件 攻击清楚地表明,组织需要不断关注网络上发生的事情。
除了 EDR 可见性和保护范围有限之外,还存在运营挑战。工具的蔓延和复杂性使得 EDR 难以扩展,并增加了可能导致安全疏忽的人为错误的可能性。
扩展检测和响应 (XDR) 和托管检测和响应 (MDR) 正在迅速崛起,成为具有安全意识的组织的更全面的解决方案。 XDR 通过提供对企业网络上其他攻击媒介、快速增长的云资源、敏感身份和非托管数据的可见性,扩展了 EDR 的功能。 XDR 使 SOC 能够通过集中式用户界面检测、主动寻找威胁并遏制复杂的威胁。
MDR(涉及提供威胁搜寻、警报分类和事件响应的第三方)对于没有专门的安全运营中心 (SOC) 或足够的内部网络安全专业知识的组织非常有用。通过提供类似 XDR 的功能,同时降低操作复杂性,MDR 平台可以帮助这些组织快速大幅改善其安全状况。
MDR 和 XDR 都提供了 EDR 所缺乏的整体威胁检测和响应能力,我们预计未来几年将有越来越多的组织采用 MDR 或 XDR,而不是仅采用 EDR。这对于 XDR/MDR 市场的主要参与者(例如思科、微软、CrowdStrike、SentinelOne 和 Cybereason)来说是个好消息。
超越 XDR
比从 EDR 到 XDR/MDR 的演变更有趣的是我们在 XDR/MDR 和其他安全工具中看到的功能的总体整合。例如,通过聚合网络安全数据,XDR 正在与现有的安全信息和事件管理 (SIEM) 工具进行有效竞争。
这种“联合日志记录”趋势,即聚合数据的工具也可以分析数据,正变得越来越流行。对于传统的 SIEM 来说,这可能是个坏消息,但对于能够做到这一点的供应商来说,这是一个机会。这些下一代工具在单一平台中对云、网络和端点数据进行聚合和分析,为 EDR 之后的今年及以后的生活铺平了道路。
Uptycs统一的XDR和CNAPP平台 这是我们可以预期 XDR 市场走向的一个典型例子和灵感。 Windows、macOS 和 Linux 端点只是这个难题的一小部分。过去需要使用多个离散工具来进行 EDR、云安全态势管理 (CSPM)、云基础设施权利管理 (CIEM)、资产管理和合规性,所有这些都可以通过一种数据模型进行管理。
在未来的几年中,我们预计会看到更多的供应商尝试将功能整合到类似 XDR 的工具和 MDR 服务中。虽然集成不会很快消失,但能够在不限制功能的情况下限制工具蔓延的最佳解决方案将有能力在 2020 年代中期成为市场领导者。
