信息化觀察網

XDR不僅是一項技術，更是一種方法，XDR旨在簡化和統(tǒng)一安全技術，提高總體安全方案的有效性。

熱度不斷上升的XDR有望成為改變當下網絡安全市場格局的顛覆性力量。

XDR是安全業(yè)界近年來逐漸火爆的話題，原因很簡單，企業(yè)客戶的預算正在流向這個領域。2017年Gartner指出，未來五年企業(yè)網絡安全支出戰(zhàn)略將發(fā)生重大改變，重心將從阻止（Prevent）向檢測和響應傾斜。

自從2019年2月的RSA大會，有關XDR的討論開始升溫，而2020年隨著疫情和網絡威脅帶來的新變化，XDR的熱度有望在未來數(shù)年內持續(xù)上升。

盡管充滿活力，但是XDR市場仍處于早期階段，與任何一個熱錢涌動的新興市場一樣，充斥著濫竽充數(shù)、渾水摸魚的謊言和混亂。

那么，XDR到底是什么？有何價值？與其他各種“DR”安全技術方案（例如EDR、MDR）存在什么關聯(lián)和區(qū)別？XDR的如何落地？如何選擇？對于很多企業(yè)客戶來說，當他們面對廠商五花八門的營銷說辭時，有太多問題需要澄清。以下，我們根據(jù)ESG的市場調查報告將關于XDR的十大問題整理如下供讀者參考：

XDR到底是什么？

ESG將XDR定義為跨混合IT架構的安全產品的集成套件，負責威脅預防、檢測和響應等多個安全功能之間的協(xié)調和互操作。換句話說，XDR將控制點、安全遙測、分析和運營統(tǒng)一到單一的企業(yè)安全系統(tǒng)中。

XDR包含哪些安全技術？

由于每個網絡安全供應商都熱衷于將XDR的概念扣在自家的產品上，因此市場上對XDR的定義繁多令人困惑。通常來說，XDR應當包含電子郵件安全產品/服務，這是識別XDR產品的一個基本特征。盡管安全供應商將提供不同的XDR捆綁包，但ESG研究表明，大型組織希望XDR方案包括端點/服務器/云工作負載安全性、網絡安全性、最常見威脅向量的覆蓋范圍（例如，電子郵件/Web）、文件引爆（例如沙箱）、威脅情報和分析。XDR供應商往往還添加了基本的安全編排、自動化和響應（SOAR）功能。

XDR有什么好處？

XDR的核心承諾是：通過技術集成和高級分析幫助企業(yè)大大提高威脅檢測和響應的速度，表現(xiàn)優(yōu)于當下企業(yè)采用多個單獨安全工具組合的方式。XDR還能幫助企業(yè)檢測低速緩慢攻擊以及高級持久性威脅（APT）。對于后兩類攻擊，XDR可以分析檢測到攻擊的殺傷鏈而不是離散的信號?？傊?，XDR的愿景是將安全控制與安全運營緊密結合在一起，成為一個集成解決方案。

XDR有市場嗎？

答案顯然是肯定的。ESG的研究表明，84％的企業(yè)正在積極集成安全技術，因此XDR可以充當交鑰匙安全技術集成解決方案。此外，由于大型企業(yè)和組織網絡安全支出的“一元性”——80％的企業(yè)愿意將大部分安全技術預算支付給單個企業(yè)級安全供應商。因此XDR供應商將不得不說服CISO，XDR才是正確的道路。如果XDR概念和方法能夠成功上位，取得CIO/CISO們的認可和共識，這個市場將迎來黃金發(fā)展期。

XDR將如何部署？

這是個棘手的問題。要想成功部署XDR，企業(yè)必須認同XDR的愿景，并愿意分階段部署XDR，因為他們需要將已有的點控制安全工具更換為XDR組件。CISO還需要為XDR項目選擇一個切入點（例如，端點安全）。當他們的網絡流量分析（NTA）技術工具的成本完全攤銷（或服務到期時），他們將為NTA添加XDR組件。其他控制點（如云工作負載安全性，電子郵件安全性，Web安全性等）的情況類似。從理論上講，XDR與每個附加組件一起提供增量價值，也就是所謂的1加1大于2。由于需要采用了這種分階段過渡的方法，XDR供應商將不得不說服CISO，XDR的長期價值在于，從長遠看該方法將比集成各種最佳安全工具的方案更加出色。

哪種類型的企業(yè)和組織最適合XDR？

對XDR需求最強烈的客戶是中型企業(yè)和小型企業(yè)，這些企業(yè)沒有足夠的網絡安全人才或技能來推出自己的集成架構。此外，一些行業(yè)用戶也有類似需求，例如：高等教育、醫(yī)療保健、地方政府等。當然，這并不意味著XDR不會吸引大型企業(yè)，但是對于擁有大量分散的安全控制和操作技術的企業(yè)和組織來說，XDR部署路徑將更加困難。企業(yè)CISO跳進XDR這個“大坑”之前，需要進行更加深入的調研和咨詢論證。

XDR是否會與EDR和MDR產品競爭？

在與端點檢測和響應（EDR）直接競爭的項目中，XDR供應商需要說服甲方，即EDR只是更大、完全集成的XDR解決方案的一部分。當您可以購買整臺機器時，為什么還要去單獨購買一個齒輪呢？至于在成本上有優(yōu)勢的托管檢測和響應（MDR），XDR供應商有時會與其正面競爭，XDR的賣點是能夠讓客戶獲得最佳技術和量身定制的托管服務。

XDR是“全家桶”專有方案嗎？

每個XDR供應商都將試圖說服客戶在XDR安全基礎結構中整合自家組件結合在一起。但是，安全行業(yè)極為不同，因此XDR供應商將必須支持某種程度的開放性：支持將包括開放源代碼消息總線集成，開放API，合作伙伴生態(tài)系統(tǒng)，行業(yè)標準等。某些類型的開源XDR解決方案可能會涉及ELK堆棧，但目前還沒有特別值得留意的進展。

XDR是否會與安全運營技術（例如安全信息和事件管理（SIEM）、SOAR和威脅情報平臺（TIP））競爭？

這其實就是XDR的終極愿景，但是到目前為止，還沒有XDR解決方案具有在大型企業(yè)安全運營中心（SOC）中發(fā)揮作用的規(guī)?；蚬δ堋＿@并不是說XDR將來不會增加規(guī)模和功能，但是目前這還不是一個緊迫的問題。在可預見的將來，XDR解決方案必須能夠SOC系統(tǒng)進行互操作，而那些能夠提高SOC效率的XDR供應商將是最成功的。值得注意的是，XDR可能非常適合1級SOC分析人員的監(jiān)控性質的安全警報分類。如果XDR解決方案可以兌現(xiàn)高級分析和簡單易用的承諾，那就更容易受到此類分析人員的歡迎。

如今，哪些國外供應商正在營銷/銷售XDR解決方案？

XDR市場不斷有新玩家加入，最終任何主流安全廠商都不會作壁上觀。就國外廠商而言，目前我們能看到的名單包括Broadcom（Symantec）、思科、FireEye、McAfee、微軟、Palo Alto Networks、Stellar Cyber、趨勢科技和VMware。此外，值得注意的是EDR廠商們（CrowdStrike、Cybereason、SentinelOne等）將來也可能會涉足XDR市場，從端點延伸到其他控件。

除了上述十個問題，關于XDR的疑問還有很多，例如XDR是否會像用戶和實體行為分析（UEBA）那樣包含在SOC 中？XDR是否會顛覆當下的網絡安全技術市場？中國有哪些廠商在XDR領域領跑？歡迎讀者們留言表達你們的觀點。