Los 14 proveedores más importantes y cómo se clasifican
October 13, 2021AM
Allie Mellen with Joseph Blankenship, Alexis Bouffard, Peggy Dostie
Resumen
En la evaluación de Forrester del mercado emergente para detección y respuesta extendidas (XDR), identificamos los 14 proveedores más importantes de la categoría: Bitdefender, Cisco, CrowdStrike, Cybereason, Elastic, FireEye, Kaspersky, McAfee, Microsoft, Palo Alto Networks, SentinelOne. , Sophos, Trend Micro y VMware, y los evaluó. Este informe detalla nuestros hallazgos sobre qué tan bien puntuó cada proveedor con respecto a 10 criterios y dónde se encuentran en relación con los demás. Los profesionales de la seguridad y los riesgos pueden utilizar este informe para seleccionar el socio adecuado para sus necesidades de XDR
Los productos XDR son una mezcla de características arraigadas en una visión para desplazar a SIEM. La detección y respuesta extendidas (XDR) es un mercado en etapa inicial y las capacidades actuales de los proveedores lo reflejan. Los productos XDR tienen conjuntos de características variadas en función de su madurez, cartera nativa y visión del SOC. Los proveedores maduros ofrecen detección e investigación nativa de telemetría cruzada, con capacidad de respuesta limitada y sin capacidades de orquestación. Estos proveedores combinan los mejores elementos de sus carteras, incluidos los productos líderes en la industria, para simplificar la respuesta a incidentes y crear detecciones específicas de alta eficacia. Por el contrario, los proveedores menos maduros utilizan XDR como una capa unificadora para su cartera, lo que agrega poco valor al profesional. Los proveedores intermedios tienen características XDR nativas e híbridas emergentes, pero aún se encuentran en una etapa muy temprana y destacan principalmente sus capacidades de detección y respuesta de endpoints (EDR). Dada la diversidad de capacidades, las referencias de los clientes se mezclaron. Algunos clientes buscan reemplazar por completo su SIEM con XDR, y otros lo usan como una simple herramienta EDR contextualizada. Muchos de los proveedores con capacidades incipientes tienen hojas de ruta agresivas impulsadas por adquisiciones y un fuerte enfoque en I + D para ponerlos al día en el próximo año. En general, existe una profunda división en el mercado de XDR entre los que se encuentran en el camino y los que recién comienzan a cumplir la visión de XDR.
Descripción general de la evaluación XDR
Forrester New Wave ™ se diferencia de nuestro Forrester Wave ™ tradicional. En la evaluación de Forrester New Wave, evaluamos solo las tecnologías emergentes y basamos nuestro análisis en una encuesta de 10 criterios y una sesión informativa de 2 horas con cada proveedor evaluado. Agrupamos los 10 criterios en oferta actual y estrategia (ver Figura 1). También revisamos la presencia en el mercado.
Incluimos 14 proveedores en esta evaluación: Bitdefender, Cisco, CrowdStrike, Cybereason, Elastic, FireEye, Kaspersky, McAfee, Microsoft, Palo Alto Networks, SentinelOne, Sophos, Trend Micro y VMware (consulte la Figura 2 y la Figura 3). Cada uno de estos proveedores tiene:
Eficacia de EDR. El proveedor ha demostrado confianza en la eficacia de su producto EDR mediante la participación en la evaluación MITRE ATT & CK frente a las tácticas, técnicas y procedimientos obtenidos por APT29 y / o Carbanak + FIN7.
Fuentes de telemetría compatibles. El proveedor tiene la capacidad, ya sea de forma nativa o mediante un enfoque híbrido, de integrar telemetría no EDR.
Forrester evaluó a 14 proveedores y los clasificó según 10 criterios. Aquí está nuestra opinión sobre cada uno.
Trend Micro: la opinión de Forrester
Ofrece una sólida detección, investigación y respuesta de telemetría cruzada. Las capacidades de Trend Micro proporcionan detección, investigación y respuesta independientes y de telemetría cruzada de forma nativa para endpoints, cargas de trabajo en la nube, correo electrónico y red, con integraciones para SIEM y Azure AD.
Aún necesita agregar personalización. Trend Micro carece de dos áreas clave: informes sólidos y detecciones personalizadas. Estas limitaciones impiden que los equipos de seguridad avanzada obtengan el máximo valor de la plataforma y la consideren un reemplazo de su SIEM.
Es la mejor opción para empresas que necesitan una suite de seguridad robusta y fácil de operar. Las organizaciones que desean una plataforma para ofrecer integración de telemetría cruzada de herramientas de seguridad tradicionales y un servicio de atención al cliente superior se beneficiarán de una relación con Trend Micro.
Microsoft: la opinión de Forrester
Ofrece una correlación sólida, nativa de endpoints, identidad, nube y O365. Defender proporciona detección, investigación y respuesta singulares y de telemetría cruzada para las ofertas nativas de Microsoft en una plataforma. La decisión del proveedor de regular las entradas en XDR, específicamente a la telemetría nativa rica, produce capacidades de detección, investigación, respuesta y mitigación personalizadas.
Aún necesita realizar mejoras dramáticas en la atención al cliente. El soporte al cliente de Microsoft tiene la reputación de ser y sigue siendo extremadamente difícil trabajar con él. Nos guste o no, la seguridad es una industria en la que la comunidad importa y Microsoft debe empezar a escuchar.
Es la mejor opción para empresas que se mudan o ya tienen una licencia E5. La rígida estructura de licencias del proveedor prácticamente requiere seguridad para adoptar su tecnología cuando el resto de la organización de TI lo hace. Los clientes obtienen el máximo valor al adoptar la suite completa.
Palo Alto Networks: la opinión de Forrester
Ofrece una combinación sólida de ingesta nativa de endpoint, red y nube. Cortex XDR ofrece detección e investigación unificadas para endpoints nativos, redes y telemetría en la nube, así como fuentes de terceros.
Todavía necesita desarrollar capacidades de respuesta que se mantengan por sí mismas. Cortex XDR tiene una respuesta incorporada para endpoint y firewall, pero confía en XSOAR para responder con otras herramientas integradas y para orquestar todas las acciones de respuesta. Esto agrega innecesariamente otra herramienta al proceso de respuesta a incidentes y otro elemento en el presupuesto del CISO. La respuesta a través de herramientas integradas es fundamental para XDR y debe integrarse en la plataforma, no venderse como un complemento.
Es la mejor opción para las empresas que aman la experiencia en redes de Palo Alto y quieren más. Las empresas que utilizan NGFW de Palo Alto encontrarán un mayor valor al agregar más elementos de Cortex, especialmente las ofertas nativas de nube y de punto final del proveedor.
CrowdStrike: La opinión de Forrester
Ofrece capacidades distintas con una hoja de ruta agresiva para un XDR nativo completo. CrowdStrike integró sus ofertas de nube, identidad y endpoint para flujos de trabajo separados de detección, investigación y respuesta en una sola plataforma. Estas capacidades son sólidas para la detección, investigación y respuesta de telemetría nativa, pero siguen estando separadas entre sí.
Todavía necesita juntar todas las piezas. CrowdStrike necesita reunir sus ofertas para la detección, investigación y respuesta de telemetría cruzada. La oferta del proveedor carece de correlación para su telemetría nativa y aún no integra completamente Humio en la plataforma CrowdStrike.
Es la mejor opción para las empresas que priorizan EDR y desean convertirse en XDR. La oferta de EDR de CrowdStrike es la razón más convincente para utilizar CrowdStrike en la actualidad. Pero con la adquisición de Humio y la tasa de integración de su identidad y ofertas en la nube, el proveedor está bien posicionado para ofrecer una oferta XDR más atractiva y diferenciada el próximo año.
Bitdefender: la opinión de Forrester
Ofrece telemetría de red nativa y de punto final junto con una seguridad de producto transparente. Bitdefender combina telemetría de red y endpoint y alertas para detección e investigación, con capacidades de respuesta para endpoint. El proveedor brinda a los clientes una transparencia increíble y trabaja en estrecha colaboración con la comunidad para mejorar la seguridad de sus productos.
Aún necesita priorizar más integraciones clave y expandir las capacidades de respuesta. Bitdefender necesita apuntar estratégicamente a importantes fuentes de telemetría como la nube mientras mejora la profundidad de sus capacidades de respuesta nativas. Es la mejor opción para empresas que necesitan una oferta confiable y fácil de usar. Bitdefender ofrece una combinación sencilla de telemetría de red y de punto final, pero carece de otras fuentes de telemetría nativas o de terceros y capacidades de respuesta en profundidad
Fuente: Trend Micro
