作為技術領域與市場營銷層面的熱門概念,，XDR正不斷轟炸我們的認知范圍,。XDR究竟是什么,？我們該怎么突破這團裹挾著創(chuàng)新與混亂的迷霧,？

　　關注行業(yè)動態(tài)的讀者肯定對擴展檢測與響應（XDR）這個名詞有所了解,，但與之相關的種種宣傳又令人感到一頭霧水,。所以在本文開篇,，我們先從XDR的基本定義出發(fā),。

　　XDR是一種安全產(chǎn)品集成套件,，能夠全面跨越混合型IT架構（涵蓋局域網(wǎng)、廣域網(wǎng)、基礎設施即服務乃至數(shù)據(jù)中心等）,，實現(xiàn)威脅預防,、檢測與響應等要素的互操作與協(xié)調(diào)功能。換句話說,，XDR正努力把控制點,、安全遙測、分析與操作整合到統(tǒng)一的管理系統(tǒng)中,。

　　XDR中的“X”是指擴展,，強調(diào)由孤立式威脅檢測到全面威脅檢測的整體轉(zhuǎn)變。XDR不再單純立足端點,、網(wǎng)絡或者電子郵件進行安全事件標記,，而是承諾跨越多種安全控制機制對所有事件做出收集與關聯(lián)。從這個層面來看,，XDR與網(wǎng)絡殺傷鏈模型或ATT&CK框架提出的威脅檢測框架頗有共通之處,。

　　“D”是指對數(shù)據(jù)的收集、處理與分析,，強調(diào)以超越原有系統(tǒng)的速度更快,、更準確地檢測網(wǎng)絡攻擊活動。隨著云計算的快速普及,，數(shù)據(jù)收集,、處理與分析活動正全面轉(zhuǎn)向云原生模式，允許我們利用規(guī)?；Y源優(yōu)勢快速搞定以往 需要幾個月,、甚至幾年才能實現(xiàn)的高級數(shù)據(jù)分析。

　　“R”則與自動化緊密相關,。XDR承諾以開箱即用的自動操作快速應對各類繁瑣枯燥的安全任務,。在這方面，我們也可以把XDR理解成一種低成本的交鑰匙型安全協(xié)調(diào)與響應（SOAR）解決方案,。

　　以上,，就是XDR在市場營銷中鼓吹的核心優(yōu)勢。但問題在于,，多年以來整個安全行業(yè)一直在討論工具整合的可能性,，但之前怎么就沒人想到過XDR呢？XDR這東西,，真有那么靠譜嗎,？

　　我和ESG咨詢公司的同事Dave Gruber剛剛完成了一項關于XDR的研究項目，希望為這類問題找出答案,。Dave是端點檢測與響應（EDR）領域的專家,，我則更關注安全運營中心,，雙方配合希望從多個角度審視XDR提出的各項概念。

　　研究顯示,，XDR是可行的技術方向,，且將在2021年顛覆整個網(wǎng)絡安全行業(yè)。ESG咨詢的研究報告也肯定了這一結論：

　　組織在威脅檢測方面還有不少“坑”要填,。在談到如何定義威脅檢測目標時,，有34%的組織表示需要改進對高級威脅的檢測能力；29%的組織希望縮短平均恢復時間,；27%的組織希望更好地確定威脅處理優(yōu)先級,。很明顯,，目前的威脅檢測能力與技術同理想狀態(tài)之間還有巨大的差距,。

　　現(xiàn)有工具時靈時不靈。盡管砸下幾十億美元投資,，很多組織仍然無法及時發(fā)現(xiàn)或響應威脅活動,。在被問及當前面對哪些威脅檢測與響應挑戰(zhàn)時，31%的安全專家表示他們需要耗費大量時間處理應急事務,；29%的受訪者承認現(xiàn)有安全監(jiān)控方案存在“盲點”,；23%的受訪者表示很難將不同工具發(fā)出的安全警報關聯(lián)起來。由此可見,，目前的安全運營體系仍然混亂不堪,。

　　威脅檢測/響應預算正持續(xù)增長。高達83%的組織正逐步上調(diào)威脅檢測與響應的投入預算,，可以看出多數(shù)組織已經(jīng)明確意識到自身在這方面的不足,。

　　研究還發(fā)現(xiàn)，相當一部分組織已經(jīng)在考慮XDR的可行性,。70%的受訪者表示將在未來12個月內(nèi)劃撥XDR專項預算,。有趣的是，另有23%的組織表示已經(jīng)在推進XDR項目,，例如集成EDR以及網(wǎng)絡檢測與響應工具,、利用威脅情報強化安全預警等。

　　很明顯,，組織有需求也有意愿在威脅檢測/響應方面投入預算,，XDR已經(jīng)獲得了市場發(fā)展的基本動力。安全技術廠商當然也把握住了這個機會,，目前博通（賽門鐵克）,、思科、微軟,、Check Point,、FireEye,、Fortinet、McAfee,、Palo Alto Networks以及趨勢科技等實力雄厚的大型廠商都在整合單個產(chǎn)品以構建XDR套件,。此外，Crowdstrike,、Cybereason以及SentinelOne等EDR廠商紛紛推出自己的XDR方案,，LogRhythm、RSA等SIEM廠商也在加大XDR的宣傳力度,。同時,，Confluera、Hunters,、Reliaquest,、SecBI乃至Steallr Cyber等眾多EDR初創(chuàng)企業(yè)也加入戰(zhàn)團。這一切,，都標志著XDR在研發(fā)投入與創(chuàng)新動力方面即將迎來一波高潮,。

　　但要想全面接掌網(wǎng)絡安全世界的主導權，研究報告認為XDR首先得克服幾大核心挑戰(zhàn),。作為使用者,，安全專業(yè)人員也有必要深入探討以下問題：

　　XDR解決方案包含哪些內(nèi)容。在調(diào)查中,，只有24%的受訪者表示自己對XDR非常熟悉,；其余受訪者則承認對XDR稍有了解或者完全不了解。在問及XDR的基本定義時,，僅有36%的受訪者能夠提到XDR會從各類來源及控制機制中收集,、處理、分析并執(zhí)行安全遙測,，但這種描述顯然還不夠確切,。

　　之所以存在這種認識混亂，是因為目前各類XDR解決方案往往以不同的安全控制為基礎,，產(chǎn)品之間缺乏統(tǒng)一的標準,。還有一些XDR解決方案則充當軟件抽象/覆蓋層，居于現(xiàn)有控制與分析工具之上,。在引導大部分組織找到明確且有理有據(jù)的定位與前進方向之前,，XDR市場恐怕仍稱不上徹底成熟。

　　XDR如何與SIEM保持協(xié)同,。不少企業(yè)組織已經(jīng)在SIEM產(chǎn)品投入了數(shù)百萬美元,。在已經(jīng)擁有SIEM的組織中，有71%的受訪者表示已經(jīng)獲得了不錯的威脅檢測與響應效果,。但研究同時發(fā)現(xiàn),，SIEM往往成本高昂,、極度復雜，而且在檢測未知/復雜威脅方面效果不佳,。從這部分數(shù)據(jù)來看,，至少在短期之內(nèi)，大多數(shù)組織只是希望由XDR增強并改進SIEM,，而非徹底取而代之,。為此，XDR廠商需要制定強有力的SIEM補充策略,，提升產(chǎn)品的市場接納度,。

　　數(shù)據(jù)管理問題。與SIEM一樣,，XDR必須能夠收集,、處理并分析TB級別的實時與批量數(shù)據(jù)。但安全工程師們總在抱怨,，他們得花大量時間調(diào)試底層數(shù)據(jù)管道才能讓這些目標順利達成,。ESG研究也證明,，組織在安全數(shù)據(jù)管道化方面一直面臨嚴峻挑戰(zhàn),，具體難題包括過濾包含大量噪聲的警報（38%）、擴展數(shù)據(jù)管道以適應不斷增長的安全遙測數(shù)據(jù)量（37%）以及建立高效的數(shù)據(jù)管道處理體系（34%）,。XDR廠商在數(shù)據(jù)管道方面具有云原生規(guī)?；瘍?yōu)勢，因此面對困擾無數(shù)組織的現(xiàn)實難題,，他們只要做好安全數(shù)據(jù)管道的知識普及工作就能獲得良好的市場反響,。

　　XDR即服務。近四分之三（73%）的組織正在或計劃采用某種類型的托管威脅檢測與響應（MDR）服務,，例如全面外包,、人員/技能增強以及處于二者之間特定區(qū)位的服務項目。由此可見,，XDR產(chǎn)品應該全面引入捆綁服務,，但習慣于直接銷售安全點產(chǎn)品的XDR廠商可能會對這種解決方案性質(zhì)的商業(yè)模式比較抵觸。

　　隨著2021年全球新冠疫情有所緩和,，新一屆RSA大會也許能夠順利召開,。相信在此次盛會上，XDR會成為人們的關注焦點,。網(wǎng)安市場已經(jīng)明確表示需要威脅檢測與響應工具,，也愿意為強大的產(chǎn)品支付費用。但在真正填補這一空白并在安全領域掀起新一輪熱潮之前,，XDR及其供應商可能得先解決客戶教育與市場引導這兩大難題,。