XDR是安全業(yè)界近年來逐漸火爆的話題，原因很簡(jiǎn)單，企業(yè)客戶的預(yù)算正在流向這個(gè)領(lǐng)域。2017年Gartner指出，未來五年企業(yè)網(wǎng)絡(luò)安全支出戰(zhàn)略將發(fā)生重大改變，重心將從阻止(Prevent)向檢測(cè)和響應(yīng)傾斜。

[[337080]]

自從2019年2月的RSA大會(huì)，有關(guān)XDR的討論開始升溫，而2020年隨著疫情和網(wǎng)絡(luò)威脅帶來的新變化，XDR的熱度有望在未來數(shù)年內(nèi)持續(xù)上升。

盡管充滿活力，但是XDR市場(chǎng)仍處于早期階段，與任何一個(gè)熱錢涌動(dòng)的新興市場(chǎng)一樣，充斥著濫竽充數(shù)、渾水摸魚的謊言和混亂。

那么，XDR到底是什么?有何價(jià)值?與其他各種“DR”安全技術(shù)方案(例如EDR、MDR)存在什么關(guān)聯(lián)和區(qū)別?XDR的如何落地?如何選擇?對(duì)于很多企業(yè)客戶來說，當(dāng)他們面對(duì)廠商五花八門的營(yíng)銷說辭時(shí)，有太多問題需要澄清。以下，我們根據(jù)ESG的市場(chǎng)調(diào)查報(bào)告將關(guān)于XDR的十大問題整理如下供讀者參考：

XDR到底是什么?

ESG將XDR定義為跨混合IT架構(gòu)的安全產(chǎn)品的集成套件，負(fù)責(zé)威脅預(yù)防、檢測(cè)和響應(yīng)等多個(gè)安全功能之間的協(xié)調(diào)和互操作。換句話說，XDR將控制點(diǎn)、安全遙測(cè)、分析和運(yùn)營(yíng)統(tǒng)一到單一的企業(yè)安全系統(tǒng)中。

XDR包含哪些安全技術(shù)?

由于每個(gè)網(wǎng)絡(luò)安全供應(yīng)商都熱衷于將XDR的概念扣在自家的產(chǎn)品上，因此市場(chǎng)上對(duì)XDR的定義繁多令人困惑。通常來說，XDR應(yīng)當(dāng)包含電子郵件安全產(chǎn)品/服務(wù)，這是識(shí)別XDR產(chǎn)品的一個(gè)基本特征。盡管安全供應(yīng)商將提供不同的XDR捆綁包，但ESG研究表明，大型組織希望XDR方案包括端點(diǎn)/服務(wù)器/云工作負(fù)載安全性、網(wǎng)絡(luò)安全性、最常見威脅向量的覆蓋范圍(例如，電子郵件/Web)、文件引爆(例如沙箱)、威脅情報(bào)和分析。XDR供應(yīng)商往往還添加了基本的安全編排、自動(dòng)化和響應(yīng)(SOAR)功能。

XDR有什么好處?

XDR的核心承諾是：通過技術(shù)集成和高級(jí)分析幫助企業(yè)大大提高威脅檢測(cè)和響應(yīng)的速度，表現(xiàn)優(yōu)于當(dāng)下企業(yè)采用多個(gè)單獨(dú)安全工具組合的方式。XDR還能幫助企業(yè)檢測(cè)低速緩慢攻擊以及高級(jí)持久性威脅(APT)。對(duì)于后兩類攻擊，XDR可以分析檢測(cè)到攻擊的殺傷鏈而不是離散的信號(hào)。總之，XDR的愿景是將安全控制與安全運(yùn)營(yíng)緊密結(jié)合在一起，成為一個(gè)集成解決方案。

XDR有市場(chǎng)嗎?

答案顯然是肯定的。ESG的研究表明，84%的企業(yè)正在積極集成安全技術(shù)，因此XDR可以充當(dāng)交鑰匙安全技術(shù)集成解決方案。此外，由于大型企業(yè)和組織網(wǎng)絡(luò)安全支出的“一元性”——80%的企業(yè)愿意將大部分安全技術(shù)預(yù)算支付給單個(gè)企業(yè)級(jí)安全供應(yīng)商。因此XDR供應(yīng)商將不得不說服CISO，XDR才是正確的道路。如果XDR概念和方法能夠成功上位，取得CIO/CISO們的認(rèn)可和共識(shí)，這個(gè)市場(chǎng)將迎來黃金發(fā)展期。

XDR將如何部署?

這是個(gè)棘手的問題。要想成功部署XDR，企業(yè)必須認(rèn)同XDR的愿景，并愿意分階段部署XDR，因?yàn)樗麄冃枰獙⒁延械狞c(diǎn)控制安全工具更換為XDR組件。CISO還需要為XDR項(xiàng)目選擇一個(gè)切入點(diǎn)(例如，端點(diǎn)安全)。當(dāng)他們的網(wǎng)絡(luò)流量分析(NTA)技術(shù)工具的成本完全攤銷(或服務(wù)到期時(shí))，他們將為NTA添加XDR組件。其他控制點(diǎn)(如云工作負(fù)載安全性，電子郵件安全性，Web安全性等)的情況類似。從理論上講，XDR與每個(gè)附加組件一起提供增量?jī)r(jià)值，也就是所謂的1加1大于2。由于需要采用了這種分階段過渡的方法，XDR供應(yīng)商將不得不說服CISO，XDR的長(zhǎng)期價(jià)值在于，從長(zhǎng)遠(yuǎn)看該方法將比集成各種最佳安全工具的方案更加出色。

哪種類型的企業(yè)和組織最適合XDR?

對(duì)XDR需求最強(qiáng)烈的客戶是中型企業(yè)和小型企業(yè)，這些企業(yè)沒有足夠的網(wǎng)絡(luò)安全人才或技能來推出自己的集成架構(gòu)。此外，一些行業(yè)用戶也有類似需求，例如：高等教育、醫(yī)療保健、地方政府等。當(dāng)然，這并不意味著XDR不會(huì)吸引大型企業(yè)，但是對(duì)于擁有大量分散的安全控制和操作技術(shù)的企業(yè)和組織來說，XDR部署路徑將更加困難。企業(yè)CISO跳進(jìn)XDR這個(gè)“大坑”之前，需要進(jìn)行更加深入的調(diào)研和咨詢論證。

XDR是否會(huì)與EDR和MDR產(chǎn)品競(jìng)爭(zhēng)?

在與端點(diǎn)檢測(cè)和響應(yīng)(EDR)直接競(jìng)爭(zhēng)的項(xiàng)目中，XDR供應(yīng)商需要說服甲方，即EDR只是更大、完全集成的XDR解決方案的一部分。當(dāng)您可以購(gòu)買整臺(tái)機(jī)器時(shí)，為什么還要去單獨(dú)購(gòu)買一個(gè)齒輪呢?至于在成本上有優(yōu)勢(shì)的托管檢測(cè)和響應(yīng)(MDR)，XDR供應(yīng)商有時(shí)會(huì)與其正面競(jìng)爭(zhēng)，XDR的賣點(diǎn)是能夠讓客戶獲得最佳技術(shù)和量身定制的托管服務(wù)。

XDR是“全家桶”專有方案嗎?

每個(gè)XDR供應(yīng)商都將試圖說服客戶在XDR安全基礎(chǔ)結(jié)構(gòu)中整合自家組件結(jié)合在一起。但是，安全行業(yè)極為不同，因此XDR供應(yīng)商將必須支持某種程度的開放性：支持將包括開放源代碼消息總線集成，開放API，合作伙伴生態(tài)系統(tǒng)，行業(yè)標(biāo)準(zhǔn)等。某些類型的開源XDR解決方案可能會(huì)涉及ELK堆棧，但目前還沒有特別值得留意的進(jìn)展。

XDR是否會(huì)與安全運(yùn)營(yíng)技術(shù)(例如安全信息和事件管理(SIEM)、SOAR和威脅情報(bào)平臺(tái)(TIP))競(jìng)爭(zhēng)?

這其實(shí)就是XDR的終極愿景，但是到目前為止，還沒有XDR解決方案具有在大型企業(yè)安全運(yùn)營(yíng)中心(SOC)中發(fā)揮作用的規(guī)?；蚬δ?。這并不是說XDR將來不會(huì)增加規(guī)模和功能，但是目前這還不是一個(gè)緊迫的問題。在可預(yù)見的將來，XDR解決方案必須能夠SOC系統(tǒng)進(jìn)行互操作，而那些能夠提高SOC效率的XDR供應(yīng)商將是最成功的。值得注意的是，XDR可能非常適合1級(jí)SOC分析人員的監(jiān)控性質(zhì)的安全警報(bào)分類。如果XDR解決方案可以兌現(xiàn)高級(jí)分析和簡(jiǎn)單易用的承諾，那就更容易受到此類分析人員的歡迎。

如今，哪些國(guó)外供應(yīng)商正在營(yíng)銷/銷售XDR解決方案?

XDR市場(chǎng)不斷有新玩家加入，最終任何主流安全廠商都不會(huì)作壁上觀。就國(guó)外廠商而言，目前我們能看到的名單包括Broadcom(Symantec)、思科、FireEye、McAfee、微軟、Palo Alto Networks、Stellar Cyber、趨勢(shì)科技和VMware。此外，值得注意的是EDR廠商們(CrowdStrike、Cybereason、SentinelOne等)將來也可能會(huì)涉足XDR市場(chǎng)，從端點(diǎn)延伸到其他控件。

除了上述十個(gè)問題，關(guān)于XDR的疑問還有很多，例如XDR是否會(huì)像用戶和實(shí)體行為分析(UEBA)那樣包含在SOC 中?XDR是否會(huì)顛覆當(dāng)下的網(wǎng)絡(luò)安全技術(shù)市場(chǎng)?中國(guó)有哪些廠商在XDR領(lǐng)域領(lǐng)跑?歡迎讀者們留言表達(dá)你們的觀點(diǎn)。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文