2020年，XDR開始成為CISO們必須了解的概念之一，從而能夠讓企業(yè)更精準地進行檢測，同時提升安全運營的效率。從那時起，大大小小的安全供應商都涌入XDR市場，將他們的產(chǎn)品改造成為XDR解決方案。

隨著SOC逐漸變化為檢測和響應的部門，管理人員也開始考慮通過XDR實現(xiàn)這個目標。如果企業(yè)在考慮XDR解決方案，就很容易迷失于各種不同的定義和落地模式。如果簡化來看的話，現(xiàn)在三種主要的XDR架構。

單一供應商生態(tài)

許多大型安全廠商會把這種落地模式吹捧成最好的實踐，這種方式通過集成單一廠商各種安全產(chǎn)品實現(xiàn)(通?；谠?。這種模式因為強調簡潔性以及全面覆蓋性而看上去很吸引人。但是，問題在于，一般組織都會用許多來自多個供應商的不同技術保護自己，包括防火墻、IPS/IDS、路由器與網(wǎng)站和郵件安全、以及EDR。企業(yè)也會有SIEM等其他工具儲存內部威脅和事件數(shù)據(jù)，比如工單系統(tǒng)、日志管理庫、用例管理系統(tǒng)等。他們一般會依賴一些“大型廠商”來處理他們大量的安全任務，但通常他們也會選擇不同的最佳廠商來防止大型廠商對自己的過度影響。IBM在2020年的一份調研發(fā)現(xiàn)，平均每個組織有45種不同的安全工具，但是大部分工具之間都不進行交互。隨著時間的推移，不同團隊、預算計劃和部門會做出各自獨立的決策，就自然而然會導致這樣的結果。

安全廠商必須接受這樣的事實：不是每個組織都會從某個唯一的供應商處選購自己所有的工具的，并且短期內對工具進行修改和替換的意愿也很低。更不用說，隨著為了跟上新的用例、威脅和威脅因素，持續(xù)的創(chuàng)新會使得不斷有新的供應商和解決方案出現(xiàn)。

落地并擴展

這個切入點基于供應商本身就聚焦的某個面，比如EDR或者NDR，然后供應商再通過集成其他安全工具增加XDR能力。雖然說這種切入點能夠有機會選擇檢測和響應能力基礎技術中的佼佼者，它也同樣帶來了一些挑戰(zhàn)。集成是建立XDR架構的關鍵。然而，供應商很可能只會專注于他們核心技術的創(chuàng)新，從而對集成產(chǎn)生負面影響。何況如果集成能力不是他們的核心競爭力，供應商還會花大量的時間識別交互的工具，再對他們的XDR進行深度集成。

開放平臺

采取這個切入點的安全廠商會提供一個專注于集成的平臺，將不同領域的工具與其他安全基礎設施連接到一起。作為現(xiàn)有安全技術的連接，包括其他供應商宣稱的XDR解決方案，這種方案提供了更為強大的能力。這就要求供應商的核心競爭力和專注點在集成以及系統(tǒng)間的數(shù)據(jù)流動上。自身已經(jīng)有一定安全能力，甚至已經(jīng)跨部門有多種最佳解決方案的企業(yè)，能夠通過這種開放的、可延展的架構，將XDR供應商都不熟悉的產(chǎn)品在內的現(xiàn)有工具強有力地集成在一起并進行交互。數(shù)據(jù)的采集與輸出會有標準的接口，同時能在數(shù)小時內建立自定義的連接器來連接新的安全管控能力與部署的工具以應對新的威脅。

每種切入點都有優(yōu)勢和劣勢。但是如果將XDR作為一個目標而非解決方案，無論從哪種切入點開始實踐，都需要理解不同供應商的聚焦點與核心競爭力、向XDR轉換所需要的經(jīng)歷、以及可能存在的偏航情況。只有明白了這點，才能確信自己選擇的供應商能夠提供所需的XDR，從而實現(xiàn)跨基礎設施、跨所有攻擊途徑的檢測與響應能力。

點評

XDR理念的提出給了整體安全新的發(fā)展方向。但是，理念與實踐之間依然存在距離。技術的落地與實踐不僅僅是技術能力層面的考慮，還有商業(yè)層面的權衡。XDR三種落地切入點都是基于安全廠商現(xiàn)有能力的角度出發(fā)，結合自己的商業(yè)需求，提供相對應的XDR解決方案;相對的，企業(yè)在選擇XDR解決方案的時候，也自然需要結合自身的業(yè)務，以及相關XDR廠商的情況，基于不同切入點的利弊，選擇對自己最有利的XDR解決方案。