近日，美國一家網(wǎng)絡(luò)安全初創(chuàng)公司Exabeam宣布進入XDR，這本身并不算什么大消息，不過這家公司的定位卻讓原本簡單的事情變得復(fù)雜了，Exabeam是一家SIEM供應(yīng)商。

XDR目前仍是一個新興的安全領(lǐng)域，結(jié)合了安全信息和事件管理(SIEM)、安全編排自動化和響應(yīng)(SOAR)、端點檢測與響應(yīng)(EDR)以及網(wǎng)絡(luò)流量分析(NTA)，集中安全數(shù)據(jù)和事件響應(yīng)，是一種跨多個安全層收集并自動關(guān)聯(lián)信息以實現(xiàn)快速威脅檢測的方法。此番行動不禁讓大家聯(lián)想到，SIEM是否會就此轉(zhuǎn)向XDR。

根據(jù)Forrester分析師Allie Mellen所說，XDR和SIEM并不是融合，而是相互碰撞。

[[402355]]

因此，SIEM的最終結(jié)局是:要么創(chuàng)新，要么死亡!

XDR是對SIEM供應(yīng)商的警鐘嗎?

Mellen表示，SIEM在過去十年中已經(jīng)在慢慢地進化了?，F(xiàn)在大多數(shù)都包含了SOAR組件，以及網(wǎng)絡(luò)分析、可見性和用戶行為分析，抑或是至少提供與這些工具的其他供應(yīng)商集成。不過，這是遠遠不夠的。

SIEM通過收集大量數(shù)據(jù)、運行安全分析和“大海撈針”來搜尋威脅，XDR則是通過另一個角度。XDR采取的方法是繼續(xù)增加端點的保護，然后在此基礎(chǔ)上利用來自網(wǎng)絡(luò)等真正強大的信息來進行充實。

XDR的關(guān)鍵區(qū)別在于其在端點威脅檢測和響應(yīng)的基礎(chǔ)。

Mellen想向SIEM供應(yīng)商傳達的信息是，供應(yīng)商需要做更多的創(chuàng)新并找到更好的方法來解決SOC的痛點，這對供應(yīng)商來說是一個警鐘。隨著XDR的快速發(fā)展，SIEM領(lǐng)域終于有了真正的競爭對手，這對于SIEM廠商來說既是挑戰(zhàn)，也是機遇，因為安全行業(yè)最能夠拉開差距的就是技能方面的差異。

XDR供應(yīng)商的差異化

目前，Palo Alto Networks、趨勢科技、SentinelOne和CrowdStrike等XDR早期采用者都已推出了XDR平臺，作為XDR供應(yīng)商，它們“對未來有著強大的戰(zhàn)略”。

Mellen將Exabeam描述為面向XDR的創(chuàng)新SIEM玩家。

Exabeman提供給安全分析師的信息都是用例驅(qū)動的，分析師可以了解如何應(yīng)對攻擊，這對新晉分析師或經(jīng)驗不足的分析師來說非常有益。Exabeman的威脅檢測、調(diào)查和響應(yīng)(TDIR)用例包內(nèi)置在其Fusion XDR中，提供了規(guī)范工作流和數(shù)據(jù)源、檢測模型、監(jiān)視列表、調(diào)查清單和響應(yīng)等內(nèi)容。

另一個有趣的是Rapid7。就在上個月，Rapid7收購了Velociraptor，這是一個開源技術(shù)社區(qū)，用于端點監(jiān)控、數(shù)位取證和事件響應(yīng)。此次收購將幫助Rapid7建立事件響應(yīng)和端點能力-如果Rapid7進入XDR，這兩項能力都將發(fā)揮重要作用。

Rapid7還通過合并和收購向云安全市場進軍。今年2月，它收購了Kubernetes安全公司Alcide，大約一年前，它收購了云安全態(tài)勢管理提供商DivvyCloud。

SIEM的反擊

SIEM的領(lǐng)導(dǎo)者Splunk表示，并不擔(dān)心XDR會侵蝕安全分析市場。

Splunk負責(zé)安全產(chǎn)品的副總裁Jane Wong提出，XDR目前并不能取代安全分析平臺或安全信息和事件管理(SIEM)解決方案，目前還是一個共存的局面。

她補充說，實際上，Splunk的安全分析平臺可以幫助XDR增強威脅檢測能力。

Exabeam在針對XDR和SIEM的未來發(fā)展方面所持的觀點也是類似的。Exabeam首席產(chǎn)品官Adam Geller說，客戶永遠不會在其安全運營中心中只有一個平臺或供應(yīng)商。因此，客戶將始終需要與供應(yīng)商無關(guān)的安全分析服務(wù)，可以跨所有環(huán)境中的所有數(shù)據(jù)。

他補充說：“如今的XDR玩家和EDR玩家都在嘗試通過收購來增加更多的日志收集、存儲和搜索功能。但是大多數(shù)公司生產(chǎn)的都是終端產(chǎn)品，這也意味著，與供應(yīng)商無關(guān)才是最值得關(guān)注的挑戰(zhàn)。”

此外，越來越多的客戶將數(shù)據(jù)存儲在多個數(shù)據(jù)湖和超大規(guī)模云提供商的數(shù)據(jù)存儲中，并希望能夠有一種能夠跨不同的云和數(shù)據(jù)湖訪問這些數(shù)據(jù)的威脅檢測和響應(yīng)服務(wù)。

Geller說，“我不知道SIEM是否會像客戶的安全數(shù)據(jù)湖一樣永遠存在下去，也不知道這種方法是否會永遠存在下去，因為無論數(shù)據(jù)存儲在哪里，重要的是能訪問這些數(shù)據(jù)。在這種情況下，XDR或SIEM未來都會繼續(xù)演變，現(xiàn)在還很難說。”