當單獨的端點安全無法完全滿足當下的安全需求時，就需要各個端點、網絡之間的聯(lián)動進行檢測和響應。XDR自然而然就從EDR演化而來。XDR(Extended Detection and Response)是一系列IT架構中安全產品的集成組合，包括LAN、WAN、IaaS、數(shù)據中心等;XDR的目的是將這些工具協(xié)同，從而實現(xiàn)威脅防范、檢測和響應。XDR將控制點、安全遙測器、數(shù)據分析、運營統(tǒng)一管理到同一個企業(yè)系統(tǒng)中。

[[397734]]

XDR中的“X”意味著將威脅檢測從分散狀態(tài)轉化為統(tǒng)一。XDR不再僅僅單獨識別終端、網絡和郵件中的安全事件，而是通過安全管控將這些事件收集并進行關聯(lián)。因此，將威脅檢測理解為攻擊鏈，或者結合MITRE ATT&CK框架。“D”則數(shù)據收集、處理和分析，從而能夠比現(xiàn)有系統(tǒng)更快、更精確地檢測攻擊。一般而言，這些活動會在云端發(fā)生，從而能夠對數(shù)月，甚至數(shù)年之久的海量數(shù)據進行進一步分析。最后。“R”和自動化能力息息相關。XDR需要通過自動化，將大量的安全運營工作從人類手中解放——有點像簡約版的SOAR。

這是市場對XDR的理解，但是我們已經說了好多年工具的組合使用——那可比XDR這個概念存在的時間長多了。那XDR真的能夠實現(xiàn)嗎 ?

ESG的高級分析師Jon Oltsik和他的同事Dave Gruber最近完成了XDR的一項調研項目。Dave關注于EDR，而Jon側重于安全運營中心，因此他們從多個角度來看XDR這個概念。根據他們的研究，XDR不僅僅很現(xiàn)實，甚至可能影響2021年整個安全產業(yè)。其中，關鍵的結論有：

• 組織已經在威脅檢測前做了很多工作。當被問及他們如何定義自己的威脅檢測目標時，34%的組織表示希望能夠改善自己對高級威脅的檢測，29%希望減少修復的平均時間，27%希望能夠在威脅優(yōu)先級的排序方面得到幫助。這一點代表了對流程和技術改進的需求。

• 現(xiàn)有工具并沒有效果。哪怕投了幾十億在安全領域，企業(yè)依然無法及時對威脅進行檢測和響應。當被問及威脅檢測和響應面臨的挑戰(zhàn)時，31%的安全專家表示需要在自己的業(yè)余時間進行應急響應，29%承認安全監(jiān)控中存在盲點，23%表示不同工具之間很難關聯(lián)安全警告。這顯然表示安全運營中存在很多混亂。

• 威脅檢測和響應的預算在增加。83%的受訪組織表示正在增加自己的維系檢測和響應預算——代表了企業(yè)對于這方面的需求已經到了火燒眉毛的地步。

研究同樣表明，許多組織已經將XDR作為一種可行的解決方案：70%的受訪者表示已經將XDR放在未來12個月的預算中;有23%的甚至表示已經在建立XDR項目——比如將EDR和網絡檢測和響應工具集成、結合威脅情報等等。

組織顯然愿意為威脅檢測和響應買單，因此XDR很快在市場上得到了大量關注。安全廠商顯然看到了這個機會，像博通(收購賽門鐵克)、Check Point、思科、火眼、Fortinet、McAfee、微軟、派拓網絡、趨勢科技等大廠已經在將各種端點產品集成為XDR套裝。另一方面，Crowdstrike、Cybereason、SentinelOne等EDR廠商也已經開始部署XDR戰(zhàn)略;LogRhythm和RSA等SIEM廠商也準備進入XDR領域。與此同時，還有許多XDR的創(chuàng)業(yè)公司正在出現(xiàn)。這些都表示，會產生大量的XDR的研發(fā)投入，產生新的創(chuàng)新。不過，研究同樣發(fā)現(xiàn)XDR面臨的一些困境。安全從業(yè)人員最好能理解到以下一些問題：

• XDR解決方案包括哪些內容。只有24%的受訪者表示他們很熟悉XDR;剩余的受訪者只是對XDR有所知曉，甚至完全不了解。當被問及XDR定義的時候，36%的受訪者表示“XDR基于多個來源和管控的遙測器進行收集、處理、分析以及響應”——這是一個準確但相對寬泛的說法。這個不難理解，畢竟大部分XDR解決方案是基于多種不同的安全管控而成，沒有標準化的套裝。一些XDR解決方案更傾向于在現(xiàn)有的管控和分析工具上抽象一層出來。這些概念的不清晰意味著在企業(yè)開始購買XDR前，需要一定的市場層面的教育。

• XDR如何和SIEM協(xié)調。許多組織已經在SIEM解決方案上花了數(shù)百萬，并且有71%的企業(yè)認為SIEM在威脅檢測和響應上有效。然而，研究也發(fā)現(xiàn)SIEM更加昂貴、復雜，而且在未知威脅或者復雜攻擊面前并不那么有效。基于這個數(shù)據，大部分組織需要XDR來加強他們的SIEM——而非取代SIEM，至少在短期來看如此。因此，XDR廠商需要發(fā)展出一個強有力的SIEM輔助策略。

• 數(shù)據管理問題。就和SIEM一樣，XDR必須能實時收集、處理和分析Tb級別的數(shù)據。幾乎每個安全工程師都會表示，他們花了大量的時間建立數(shù)據管道來實現(xiàn)這些。ESG研究發(fā)現(xiàn)，組織面臨的數(shù)據管道挑戰(zhàn)包括：過濾警告噪音(38%)、為了適應增長的安全遙測數(shù)據延展數(shù)據管道(37%)、建立流水化的有效數(shù)據管道(34%)。XDR廠商可以利用云原生的優(yōu)勢建立數(shù)據管道?，F(xiàn)在，他們有機會通過說明他們如何管理數(shù)據管道來教育市場。

• 安全服務。73%的企業(yè)計劃，或者已經在使用某種類型的MDR服務，可能是完全外包，也可能是外包一部分。這就代表安全服務應該是每個XDR解決方案的一部分，但對很多之前只賣終端安全產品的XDR廠商而言，是一項挑戰(zhàn)。

CISO們需要威脅檢測和響應能力的幫助，而且愿意為合適的服務買單。XDR可以滿足這個需求，但是在XDR成為安全運營的時代答案之前，還需要大量的市場教育和拓展。