ESG研究顯示，83%的組織會在2021年增加自己的威脅檢測與響應(yīng)預(yù)算——表示當(dāng)前的工具和技術(shù)并不能滿足現(xiàn)在的需求。XDR可以滿足這個市場需求——不過也只有在相關(guān)纏上能夠跳出行業(yè)的鼓吹，真正和安全人員建立聯(lián)系的前提下。這里有8個CISO們需要從XDR廠商處得到的信息。

[[413389]]

XDR定義

根據(jù)ESG研究，只有24%的安全人員表示對XDR的相關(guān)技術(shù)概念“非常熟悉”。原因在于XDR更像是一個架構(gòu)(比如安全運營和分析平臺架構(gòu)，也就是SOAPA)，而非一個產(chǎn)品，因此感覺上更為模糊。另外，XDR會從幾個方面來實現(xiàn)，包括基于控制(EDR、NDR等)、基于管理平臺、開源XDR、軟件疊加虛擬化等。這就繼續(xù)一個坦誠、詳細(xì)的市場教育過程。

算法揭秘

XDR價值點的關(guān)鍵之一，在于它比現(xiàn)有威脅檢測技術(shù)更加優(yōu)秀的分析能力。理論上，XDR會采集和處理來自各個單點工具的遙感數(shù)據(jù)，然后將所有與這些數(shù)據(jù)集合到一起，形成一個更加及時、準(zhǔn)確和全面的威脅檢測。這個聽上去很不錯，但是對此抱有懷疑的安全人員已經(jīng)早就聽過相關(guān)的說法了——比如UEBA。XDR廠商必須能夠從理論進(jìn)入實際的數(shù)據(jù)科學(xué)領(lǐng)域——畢竟威脅檢測的準(zhǔn)確性是關(guān)鍵。流水線化的安全運營也很重要，但是如果XDR無法識別復(fù)雜的多階段攻擊就毫無意義。

部署向?qū)?/h3>

這對于基于控制的XDR廠商來說是一大挑戰(zhàn)。一個統(tǒng)一化的安全架構(gòu)直覺上感覺不錯，但是這對當(dāng)下許多組織通過最強的單點工具來進(jìn)行威脅檢測和響應(yīng)完全不是一回事。用戶需要從哪里起步?他們?nèi)绾沃饾u集成工具?他們?nèi)绾螌F(xiàn)有的規(guī)則和經(jīng)驗保留下來，而不是從XDR再重新建立一次?XDR廠商在和潛在客戶溝通的時候，需要有相關(guān)的架構(gòu)、案例、以及相關(guān)的訓(xùn)練向?qū)А?/p>

 安全運營模型

行業(yè)內(nèi)已經(jīng)有很多關(guān)于XDR能做什么的信息，但是卻極少聽到運營團(tuán)隊可以如何使用相關(guān)產(chǎn)品：運營團(tuán)隊如何追蹤告警?他們改如何調(diào)查高優(yōu)先級的告警?他們?nèi)绾巫詣踊幚眄憫?yīng)行為?XDR工具如何和ITSM系統(tǒng)協(xié)同?

數(shù)據(jù)難題

XDR的愿景，可能直指當(dāng)下安全運營的核心能力——SIEM。這個目標(biāo)看上去很宏偉，但是需要知道的是，SIEM現(xiàn)在是數(shù)據(jù)管理中的天皇巨星，建立在一系列復(fù)雜的網(wǎng)絡(luò)采集器、轉(zhuǎn)發(fā)器、目錄管理、信息管理等之上，每天持續(xù)地采集、處理和分析Tb級別的數(shù)據(jù)。ESG研究表示，已經(jīng)有許多大型組織已經(jīng)在流數(shù)據(jù)處理/分析中進(jìn)行了大量投入，并且正在增加新的數(shù)據(jù)源。在一些大型企業(yè)的運營團(tuán)隊中，他們對XDR處理Tb級別數(shù)據(jù)管道能力嗤之以鼻。XDR廠商需要能夠在數(shù)據(jù)處理方面脫穎而出。

第三方集成

可以理解，大型安全廠商總是想給自己的客戶兜售整體的XDR解決方案;但是要知道，那是一個大單子。一個使用過軟件疊加虛擬化的XDR解決方案的CISO曾表示：“XDR廠商們都假設(shè)我會通過取代現(xiàn)有的EDR、NDR和SIEM產(chǎn)品，來標(biāo)準(zhǔn)化并符合他們的產(chǎn)品。而我的問題在于，我都已經(jīng)有了每一種產(chǎn)品了，意味著我已經(jīng)有了全套，甚至多套EDR、NDR和SIEM;那么要替代這些解決方案簡直就不可能。”這情況很常見，因此XDR廠商必須和其他廠商協(xié)同共進(jìn)。

當(dāng)被問及希望從哪里開始XDR項目的時候，43%的受訪者表示：“需要為云負(fù)載和SaaS提供威脅檢測和響應(yīng)能力的XDR解決方案”。這個答案相當(dāng)出乎意料，因為直覺上會認(rèn)為XDR會從取代EDR和NDR開始。當(dāng)然這也不難理解，因為云可視化能力對許多組組織來說是一個可怕的盲點。為了解決這個問題，XDR廠商需要愿意討論他們采集、處理、分析和可視化的所有類型的云數(shù)據(jù)。另外，他們還需要能夠通過上下文分析所有云數(shù)據(jù)，作為追蹤端點、網(wǎng)絡(luò)、服務(wù)器、服務(wù)和整個混合IT架構(gòu)的殺傷鏈的手段。

身份問題

現(xiàn)在的XDR產(chǎn)品還存在著另一個問題：缺乏對攻擊中人員因素的考慮，缺少和認(rèn)證、網(wǎng)絡(luò)目錄和IAM的集成。這個問題，在有著大量SaaS應(yīng)用、以及大量開發(fā)人員面臨各類新型云應(yīng)用開發(fā)工具的組織尤為明顯。諷刺的是，上一次行業(yè)吐槽新的安全運營技術(shù)是針對UEBA——UEBA恰恰是以用戶為中心的，而XDR這次則是以技術(shù)為中心。

組織和機構(gòu)必然是需要威脅檢測和響應(yīng)能力的幫助，而且會對XDR技術(shù)持開放態(tài)度。CISO們顯然明白問題的復(fù)雜性。廠商們在面對潛在客戶的時候需要充分準(zhǔn)備，并且據(jù)實回答相關(guān)問題，包括XDR如何能融入現(xiàn)有的運營技術(shù)和流程，以及它如何慢慢演進(jìn)。

點評：

XDR的說法在業(yè)內(nèi)逐漸開始流行，但是XDR的內(nèi)核到底是什么，卻很少有人能說清楚。進(jìn)一步而言，XDR到底如何實現(xiàn)，又是另一個問題。甲方客戶的最大需求，是能在確保自身業(yè)務(wù)的情況下最大程度解決自身的安全問題——而不是將一系列華麗的技術(shù)和概念進(jìn)行堆砌。廠商們在新的技術(shù)理念出現(xiàn)的時候，不僅僅是需要大力推廣，更多的是需要能夠腳踏實地地解決客戶心中的疑惑。