近日，美國(guó)一家網(wǎng)絡(luò)安全初創(chuàng)公司Exabeam宣布進(jìn)入XDR，這本身并不算什么大消息，不過(guò)這家公司的定位卻讓原本簡(jiǎn)單的事情變得復(fù)雜了，Exabeam是一家SIEM供應(yīng)商。

XDR目前仍是一個(gè)新興的安全領(lǐng)域，結(jié)合了安全信息和事件管理(SIEM)、安全編排自動(dòng)化和響應(yīng)(SOAR)、端點(diǎn)檢測(cè)與響應(yīng)(EDR)以及網(wǎng)絡(luò)流量分析(NTA)，集中安全數(shù)據(jù)和事件響應(yīng)，是一種跨多個(gè)安全層收集并自動(dòng)關(guān)聯(lián)信息以實(shí)現(xiàn)快速威脅檢測(cè)的方法。此番行動(dòng)不禁讓大家聯(lián)想到，SIEM是否會(huì)就此轉(zhuǎn)向XDR。

根據(jù)Forrester分析師Allie Mellen所說(shuō)，XDR和SIEM并不是融合，而是相互碰撞。

[[402355]]

因此，SIEM的最終結(jié)局是:要么創(chuàng)新，要么死亡!

XDR是對(duì)SIEM供應(yīng)商的警鐘嗎?

Mellen表示，SIEM在過(guò)去十年中已經(jīng)在慢慢地進(jìn)化了。現(xiàn)在大多數(shù)都包含了SOAR組件，以及網(wǎng)絡(luò)分析、可見(jiàn)性和用戶行為分析，抑或是至少提供與這些工具的其他供應(yīng)商集成。不過(guò)，這是遠(yuǎn)遠(yuǎn)不夠的。

SIEM通過(guò)收集大量數(shù)據(jù)、運(yùn)行安全分析和“大海撈針”來(lái)搜尋威脅，XDR則是通過(guò)另一個(gè)角度。XDR采取的方法是繼續(xù)增加端點(diǎn)的保護(hù)，然后在此基礎(chǔ)上利用來(lái)自網(wǎng)絡(luò)等真正強(qiáng)大的信息來(lái)進(jìn)行充實(shí)。

XDR的關(guān)鍵區(qū)別在于其在端點(diǎn)威脅檢測(cè)和響應(yīng)的基礎(chǔ)。

Mellen想向SIEM供應(yīng)商傳達(dá)的信息是，供應(yīng)商需要做更多的創(chuàng)新并找到更好的方法來(lái)解決SOC的痛點(diǎn)，這對(duì)供應(yīng)商來(lái)說(shuō)是一個(gè)警鐘。隨著XDR的快速發(fā)展，SIEM領(lǐng)域終于有了真正的競(jìng)爭(zhēng)對(duì)手，這對(duì)于SIEM廠商來(lái)說(shuō)既是挑戰(zhàn)，也是機(jī)遇，因?yàn)榘踩袠I(yè)最能夠拉開(kāi)差距的就是技能方面的差異。

XDR供應(yīng)商的差異化

目前，Palo Alto Networks、趨勢(shì)科技、SentinelOne和CrowdStrike等XDR早期采用者都已推出了XDR平臺(tái)，作為XDR供應(yīng)商，它們“對(duì)未來(lái)有著強(qiáng)大的戰(zhàn)略”。

Mellen將Exabeam描述為面向XDR的創(chuàng)新SIEM玩家。

Exabeman提供給安全分析師的信息都是用例驅(qū)動(dòng)的，分析師可以了解如何應(yīng)對(duì)攻擊，這對(duì)新晉分析師或經(jīng)驗(yàn)不足的分析師來(lái)說(shuō)非常有益。Exabeman的威脅檢測(cè)、調(diào)查和響應(yīng)(TDIR)用例包內(nèi)置在其Fusion XDR中，提供了規(guī)范工作流和數(shù)據(jù)源、檢測(cè)模型、監(jiān)視列表、調(diào)查清單和響應(yīng)等內(nèi)容。

另一個(gè)有趣的是Rapid7。就在上個(gè)月，Rapid7收購(gòu)了Velociraptor，這是一個(gè)開(kāi)源技術(shù)社區(qū)，用于端點(diǎn)監(jiān)控、數(shù)位取證和事件響應(yīng)。此次收購(gòu)將幫助Rapid7建立事件響應(yīng)和端點(diǎn)能力-如果Rapid7進(jìn)入XDR，這兩項(xiàng)能力都將發(fā)揮重要作用。

Rapid7還通過(guò)合并和收購(gòu)向云安全市場(chǎng)進(jìn)軍。今年2月，它收購(gòu)了Kubernetes安全公司Alcide，大約一年前，它收購(gòu)了云安全態(tài)勢(shì)管理提供商DivvyCloud。

SIEM的反擊

SIEM的領(lǐng)導(dǎo)者Splunk表示，并不擔(dān)心XDR會(huì)侵蝕安全分析市場(chǎng)。

Splunk負(fù)責(zé)安全產(chǎn)品的副總裁Jane Wong提出，XDR目前并不能取代安全分析平臺(tái)或安全信息和事件管理(SIEM)解決方案，目前還是一個(gè)共存的局面。

她補(bǔ)充說(shuō)，實(shí)際上，Splunk的安全分析平臺(tái)可以幫助XDR增強(qiáng)威脅檢測(cè)能力。

Exabeam在針對(duì)XDR和SIEM的未來(lái)發(fā)展方面所持的觀點(diǎn)也是類似的。Exabeam首席產(chǎn)品官Adam Geller說(shuō)，客戶永遠(yuǎn)不會(huì)在其安全運(yùn)營(yíng)中心中只有一個(gè)平臺(tái)或供應(yīng)商。因此，客戶將始終需要與供應(yīng)商無(wú)關(guān)的安全分析服務(wù)，可以跨所有環(huán)境中的所有數(shù)據(jù)。

他補(bǔ)充說(shuō)：“如今的XDR玩家和EDR玩家都在嘗試通過(guò)收購(gòu)來(lái)增加更多的日志收集、存儲(chǔ)和搜索功能。但是大多數(shù)公司生產(chǎn)的都是終端產(chǎn)品，這也意味著，與供應(yīng)商無(wú)關(guān)才是最值得關(guān)注的挑戰(zhàn)。”

此外，越來(lái)越多的客戶將數(shù)據(jù)存儲(chǔ)在多個(gè)數(shù)據(jù)湖和超大規(guī)模云提供商的數(shù)據(jù)存儲(chǔ)中，并希望能夠有一種能夠跨不同的云和數(shù)據(jù)湖訪問(wèn)這些數(shù)據(jù)的威脅檢測(cè)和響應(yīng)服務(wù)。

Geller說(shuō)，“我不知道SIEM是否會(huì)像客戶的安全數(shù)據(jù)湖一樣永遠(yuǎn)存在下去，也不知道這種方法是否會(huì)永遠(yuǎn)存在下去，因?yàn)闊o(wú)論數(shù)據(jù)存儲(chǔ)在哪里，重要的是能訪問(wèn)這些數(shù)據(jù)。在這種情況下，XDR或SIEM未來(lái)都會(huì)繼續(xù)演變，現(xiàn)在還很難說(shuō)。”