freeBuf
全球洞察:新生力量XDR技术发展现状及应用研究报告
2023-09-05 13:24:29

导语

目前国际XDR市场尚处于早期探索期,但极具发展潜力。根据Gartner的预计,到2027年,全球将有高达40%的最终用户/组织使用XDR来减少他们现有安全供应商数量,由此可见XDR市场广阔的发展前景。

我国XDR市场处在一个萌芽的阶段,在技术方案、市场推广等方面均与国际市场存在一定的差距。大多数厂商对于多源数据的集成与联动分析能力、关键事件自动化识别与响应能力等方面仍有较大的提升空间。

FreeBuf咨询认为,XDR是极具潜力的蓝海市场,随着技术方案的逐步成熟与落地,XDR的市场规模将由供给与需求两侧持续拉动。FreeBuf咨询调研了Palo Alto、VMware、CrowdStrike等国外安全厂商的XDR技术发展现状、安全产品服务等,以及国外XDR整体市场规模及发展前景。国内厂商方面,FreeBuf咨询则重点调研了XDR代表厂商深信服科技,并与深信服科技联合发布《全球洞察:新生力量XDR技术发展现状及应用研究报告》。(文末可下载报告全文)

1693808811_64f578abbd0cb64f8b212.png!small?1693808815469

关键发现

1.XDR需持续迭代智能化、自动化检测与响应技术

2.云原生架构将逐步成为XDR主流部署模式。

3.搭建互通标准以降低供应商锁定风险

4.深信服观点:安全运营新范式,向“智能驾驶”时代迈进

XDR核心技术要点

根据Gartner提出的定义,扩展检测与响应XDR(Extended Detection and Response)是一种基于SaaS的、绑定于特定供应商的安全威胁检测和事件响应工具,它将多个安全产品集成到一个统一了所有许可安全组件的内聚安全运营系统中。

XDR主要分为前端与后端两个核心组成部分。前端组件包含多种安全工具与传感器以获取多点安全能力与多源安全数据,后端组件提供汇总分析的能力,达到关联分析、编排及自动化响应的效果。

Gartner XDR核心组件

1693808218_64f5765ad609240527a14.png!small?1693808221851

资料来源:Gartner、FreeBuf咨询

Gartner XDR 技术框架

1693808239_64f5766f4f0113f8455e7.png!small?1693808242284

资料来源:Gartner、FreeBuf咨询

XDR数字化变革应用方向

1. XDR核心优势分析

XDR的核心优势便在于能够深度集成多源、跨IT架构的所有安全组件,打通各项安全数据与事件,并配合人工智能等前沿分析手段实现关联分析与自动化响应。具体来看,XDR的价值渗透企业安全运营流程中防御、检测与响应各个环节。

1693808277_64f576951005fe22bc0f8.png!small?1693808280776

资料来源: FreeBuf咨询

埃森哲面向581家企业分别对XDR与行业其他安全运营工具从MTTD(平均威胁检测时间)、MTTR(平均威胁响应时间)、误报率、自动化程度等七个维度进行测试。测试结果显示,XDR产品在各个维度的表现均完全领先于行业平均水平,其平均威胁检测周期<1分钟,平均威胁响应周期<10分钟。而其他同类安全工具的平均威胁检测周期高达7天,平均威胁响应周期更是高达30天。不仅如此,XDR工具可实现95%的告警准确率,而同类工具的告警准确率仅为75%左右。

1693808306_64f576b206cc0bc109a2b.png!small?1693808309498

资料来源: FreeBuf咨询

2. XDR主流产品形态

XDR解决方案分为两种主要的产品形态:原生(Native)XDR与混合(Hybrid)XDR(又称为Open XDR)。

原生XDR指的是供应商通过XDR组件将供应商自身各类安全工具进行深度整合,关联来自云、网、端的所有安全数据和警报,以实现对整个攻击面的全面监控与自动化响应,从而形成一套完整的XDR解决方案。

而混合XDR提供的是一个开放式的中央管理平台,强调与第三方安全工具的集成,旨在为客户现有安全工具建立联结,提供后端分析与工作流引擎。对于混合XDR而言,遥测数据的收集、分析与响应均主要来源于第三方供应商。

国内也有不少厂商属于混合XDR类型,例如深信服就是其中的代表之一,其XDR可对接自有安全组件,基于Open XDR的开放性支持对接第三方安全组件,实现针对威胁的深度融合分析与智能响应。

1693891009_64f6b9c1d2acde13d8621.png!small?1693891013824

资料来源: 深信服科技

原生XDR与混合XDR的界定标准并非绝对,大多数XDR产品的形态介于原生与混合之间。一般而言,原生XDR也具备一定的第三方集成能力,而混合XDR也配备一定预置的原生组件。

1693891021_64f6b9cd0ebdb1835fc23.png!small?1693891024885

资料来源: FreeBuf咨询

3. XDR核心应用场景

日常安全运营场景政府与大型企业是当前XDR类产品最核心的用户。政府及大型企业的安全建设成熟度相对较高,这些用户通常已部署了众多安全产品与工具,相较于继续堆砌产品,如何充分关联、搭配并最大化利用现有安全产品是它们在安全运营的过程中最为关注的问题。目前我国中小型企业对于安全建设的重视程度仍处在较低的水平,部署XDR的用户也相对较少。然而在全产业数字化转型的大趋势下,拥有一个纵深的安全运营体系将逐渐成为任何企业健康运转的必要条件。

攻防实战应用场景。在网络安全向主动治理的阶段迈进的过程中,基于实战视角的防护需求不断被强调。攻防实战可以帮助安全团队快速暴露安全隐患,逐渐成为检验企事业单位安全防护水平与应急处置能力,进而不断调整、完善安全运营建设的重要举措。

4. XDR赋能MSS价值探讨

FreeBuf咨询观察到,MSS与XDR相结合的趋势在近年不断被市场所实践与验证。很多XDR提供商将MDR(托管检测与响应)服务包含在其产品方案内,或者与网络安全托管服务商MSSP进行合作,为客户提供7*24小时全天候的监控与管理。而MSSP也开始越来越多选用XDR方案作为其底层框架。

无论是国际代表XDR提供商Trend Micro、CrowdStrike等企业,还是我国XDR领先企业深信服、亚信安全、启明星辰、腾讯安全等都开始提供XDR与MDR结合的产品与服务。

全球XDR市场概况与宏观环境分析

XDR市场在全球范围内尚处于早期探索阶段,各类安全厂商于2020年前后开始涌入市场。由于XDR概念提供的并非是一个具体的产品结构,而更多是一种理念与技术框架,不同的供应商针对自身优势对XDR产品有着不同的侧重与切入点,目前市面上的XDR解决方案呈现出较大的差异化与多样性。

现阶段全球市场主要有三类核心玩家:综合型网络安全企业(代表厂商包括:Microsoft、Trend Micro、Palo Alto)、EDR提供商(代表厂商包括:CrowdStrike、SentinelOne、VMware、McAfee)、SIEM/SOAR提供商(代表厂商包括:Exabeam 、Elastic、FireEye)。

Forrester于2021年第四季度从数据可视化、威胁检测及关联分析、事件关键指标设定与溯源、自动化响应等10个维度对14家XDR厂商进行评估。

1693808557_64f577ad2ac00cbe960d5.png!small?1693808560299

资料来源:Forrester、FreeBuf咨询

我国XDR市场概况与宏观环境分析

相较于国际市场,我国XDR市场综合型安全厂商的比重更高。这是由于我国领先的EDR与SIEM/SOAR提供商也主要由头部综合型安全企业构成,包括深信服、启明星辰、奇安信、腾讯安全等。

FreeBuf咨询认为,XDR是极具潜力的蓝海市场,随着技术方案的逐步成熟与落地,XDR的市场规模将由供给与需求两侧持续拉动。从供给侧来看,XDR提供的是一套动态更新的完整解决方案,供应商可根据用户业务与安全环境的变化提供逐步叠加的安全组件,从而增加用户黏性与可持续性收入,在获取XDR组件自身收益的同时拉动全产品线的销量,为现有安全产品增加价值。从需求端来看,面对日趋严峻的合规要求与日趋复杂的攻击态势,越来越多企业开始寻求更高阶的安全治理形态,XDR可以解决现有安全运营方案普遍面临的安全孤岛问题,将云、网、端多源安全数据打通实现联动分析与响应,达到主动、纵深防御的目的。

1693808601_64f577d923148c314f929.png!small?1693808605349

资料来源: FreeBuf咨询

根据前文分析可知,XDR在我国中小型企业的应用几乎尚处空白阶段,而XDR相较SIEM/SOAR等其他安全运营产品的成本优势使其在中小型企业市场极具潜力。

基于此,FreeBuf咨询假设2021年中国市场中小型端收入份额为5%的水平,未来5年内其规模占总收入比由每年3%的速度递增,而大型企业市场规模增速约等于2021-2025年IDC对中国SAIRO(安全分析、情报、响应和编排)复合增长率的预测(27.5%)经测算可得,2022-2026年间我国XDR市场的复合增长率高达31.9%。

1693808610_64f577e2d323d881702b5.png!small?1693808613683

资料来源:FreeBuf咨询

国内厂商XDR实践案例解读

1693891950_64f6bd6e2a8c5cdf1e762.png!small?1693891954189

1693891969_64f6bd81d3ee8d84b9a72.png!small?1693891973835

1693891984_64f6bd9009ca92ef5b25a.png!small?1693891988796

资料来源: 深信服科技

总结

随着越来越多企业、组织开始转换安全视角,从被动式防御转向主动出击,安全运营的重要性不断凸显。很多企业已部署众多安全工具,这些工具每天产生大量的告警,需花费极大人力与时间成本进行手工处置。

XDR能够将跨IT架构的多源安全组件/数据进行深度集成,进而实现数据间的关联分析与自动化响应,其概念一经提出迅速成为业界广泛关注的热点。

现阶段XDR技术在全球范围内尚处于早期探索阶段,各厂商对于安全数据的关联及溯源分析能力、安全事件分级与自动化响应能力仍较薄弱。持续迭代智能化、自动化检测与响应技术,建立基于云原生的部署架构,厂商间尝试搭建互通标准以降低供应商锁定风险,将会是未来XDR的主要发展方向。

FreeBuf咨询在《2022中国「网安宇宙」——高效运营从安全服务到MSS》中从管理模式的维度探讨了MSS如何帮助组织实现高效运营,而传统基于SIEM的底层框架对于不同源安全数据间的关联分析能力较弱,XDR能够以其更高的集成级别帮助MSSP减少人工调查和响应的时间。

XDR与MSS的结合趋势将在未来不断加深。XDR可以为MSSP提供更智能、高度联通的技术框架,而借助MSSP 7*24小时全天候的服务模式与丰富的专家经验,XDR的功能将更好地被落地发挥。随着技术水平的不断完善,XDR将持续赋能MSS以提供动态、高效、完善的安全运营服务。

关于FreeBuf咨询

FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务,主要输出四个种类的咨询报告:行业研究报告、能力评估报告、产品研究报告以及甲方定制化报告。

FreeBuf咨询自成立以来, 已积累了500+ 甲方安全智库资源,为行业研究报告、企业咨询服务提供指导。访谈上百位行业大咖,为业界输出真实、丰富的安全管理价值与实践经验,具备超过80万+ 精准用户,直接触达CSO、企业安全专家、投资人等专业人群。


如有疑问,请联系 FreeBuf 咨询 杨先生;

邮箱:yuxiang.yang@tophant.com

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录