Forrester: EDR уже нет, а XDR все еще не решает проблемы SIEM

В 2021 г. мы предсказали, что технология обеспечения безопасности конечных точек EDR (endpoint detection and response) в том виде, в котором мы ее знаем, умрет и будет заменена технологией расширенного обнаружения и реагирования на сложные угрозы и целевые атаки XDR (extended detection and response). Наконец этот день настал, и мы отправляем в отставку исследование The Forrester Wave: Endpoint Detection And Response Providers, пишет в корпоративном блоге Алли Меллен, главный аналитик Forrester.

Отныне сегмент EDR будет рассматриваться как часть рынка XDR — в том числе в нашем исследовании ландшафта платформ расширенного обнаружения и реагирования и в ежеквартальном отчете The Forrester Wave: Extended Detection And Response Platforms.

Мы пришли к такому решению, потому что рынок XDR остепенился. Большинство поставщиков систем управления информацией и событиями безопасности (SIEM), выступающих в роли XDR-вендоров, (наконец-то) вернулись к платформам SIEM/аналитики безопасности. Поставщики EDR начали добавлять дополнительную телеметрию, а еще больше поставщиков XDR добавили функции общедоступности. И, что немаловажно, специалисты крупных предприятий теперь называют EDR и XDR синонимами.

Рынок XDR включает в себя EDR по умолчанию

Основной сферой применения XDR является нативная поверхность обнаружения: конечная точка (как в EDR). Поэтому любая оценка XDR включает в себя тщательную оценку того, что раньше было EDR. Отсюда определение XDR, данное Forrester, таково: «Эволюция EDR, которая объединяет релевантные для безопасности обнаружения с конечных точек и других поверхностей обнаружения, таких как электронная почта, идентификация и облако. Это нативная облачная платформа, построенная на инфраструктуре больших данных, которая ставит во главу угла опыт аналитиков, обеспечивая высокое качество обнаружения, полное расследование и быстрое и эффективное реагирование».

Поставщики XDR стремятся избежать ошибок SIEM-поставщиков

Рынок XDR все еще переживает период роста, когда одни поставщики создают новые предложения, а другие, более зрелые, пытаются решить общие проблемы, связанные с вводом данных. Некоторые менее зрелые поставщики, чтобы наверстать упущенное, внедряют как можно больше интеграций и возможностей, жертвуя при этом качеством обнаружения. У специалистов по безопасности сейчас много вариантов, и поэтому есть несколько моментов, которые следует учитывать:

• Поставщики XDR отходят от гибридного подхода к XDR и переходят к нативному подходу к XDR. Гибридный XDR — интеграция со сторонними поставщиками для телеметрии обнаружения — представляет собой сложную для поддержания экосистему и конфликтует с вводом данных в аналитическую платформу безопасности. В связи с этим многие поставщики XDR переходят на предоставление нативного XDR-продукта вместо гибридного или предоставляют гибридный XDR только в качестве управляемой услуги, например управляемое обнаружение и реагирование.
• Более зрелые поставщики XDR стремятся дать ответы на вопросы со стороны специалистов по безопасности, которые хотят консолидировать или ограничить перемещение данных. Хранение данных дважды в двух местах не нравится CISO. Это заставляет поставщиков XDR задуматься о том, как упростить свои предложения, предоставив дополнительные альтернативы SIEM (см. схему ниже).

• У поставщиков XDR есть возможность избежать прежних грехов, не принимая по умолчанию платформенного мышления аналитики безопасности. Эти ошибки включают в себя непонимание специалиста, выполняющего работу, попытки решить все проблемы, вместо того чтобы хорошо решать ключевые задачи, и предоставление слишком большой гибкости вместо создания функций, решающих проблемы специалиста. Чтобы преуспеть на этом рынке, поставщики XDR должны сосредоточиться на обеспечении наилучшего качества обнаружения и реагирования.