Palo Alto 的 CTO Nir Zuk 在2018年首先提出了擴(kuò)展檢測(cè)與響應(yīng)(XDR)。在XDR的定義中，Palo Alto 將其描述為“打破傳統(tǒng)的安全孤島，將所有數(shù)據(jù)源用于安全檢測(cè)與響應(yīng)”。這并非一家之言。隨著業(yè)務(wù)上云以及SaaS模式在全球的火熱，從所有孤立平臺(tái)、工具中獲取數(shù)據(jù)，應(yīng)用于一處安全能力——即本文討論的XDR——近年來已經(jīng)成為了大家公認(rèn)的需求。

然而從概念到落地，往往還有相當(dāng)長(zhǎng)的一段距離。筆者認(rèn)為，無論是單一廠商XDR還是混合型XDR，要想在市場(chǎng)中獲得成功，都有其先天的局限性。

單一廠商XDR的問題

單一廠商XDR承諾，用戶使用一家產(chǎn)品就能開箱即用成功實(shí)現(xiàn)多源數(shù)據(jù)的威脅檢測(cè)與響應(yīng)，包括所需的采集、匯總、關(guān)聯(lián)、分析等多項(xiàng)能力。然而，期待某一家供應(yīng)商具備最強(qiáng)的技術(shù)能力與商業(yè)能力，將各個(gè)分散數(shù)據(jù)與眾多獨(dú)立的安全工具有效整合在一起，是十分不現(xiàn)實(shí)的。即使有廠商聲稱能夠做到，也需要它以行業(yè)巨頭的身份，收購(gòu)多家中小廠商，并將眾多中小廠商的能力分解、消化、整合為一個(gè)完整的安全能力集。雖然將這些各自分散獨(dú)立的技術(shù)緊密整合在一起，對(duì)構(gòu)建一個(gè)功能完整的XDR平臺(tái)是有必要的，但是在商業(yè)上的收益卻十分有限。

另外，XDR的出現(xiàn)主要是為了應(yīng)對(duì)安全信息與事件管理(SIEM)與安全運(yùn)營(yíng)中分析能力的不足。然而，作為最早的多源數(shù)據(jù)采集點(diǎn)，SIEM的規(guī)則與分析能力卻導(dǎo)致了海量的報(bào)警以及大量的誤報(bào)。包括后來出現(xiàn)的安全編排與自動(dòng)化響應(yīng)(SOAR)，如果這兩者都無法幫助我們?cè)趨R總數(shù)據(jù)后，通過上下文或相關(guān)信息提供準(zhǔn)確的安全分析能力，給出可靠的響應(yīng)決策建議，為什么我們認(rèn)為XDR就可以做到呢?特別是在數(shù)據(jù)的種類與總量都越來越難以集中化的今天。

最后(其實(shí)還有，不僅僅這三條)，為了這一個(gè)單一廠商的XDR平臺(tái)，客戶需要割舍替代其已投資多年的原有技術(shù)棧。你可以想象一下，當(dāng)客戶的CISO或安全團(tuán)隊(duì)負(fù)責(zé)人要求拋棄之前花費(fèi)的所有時(shí)間、資金、努力，轉(zhuǎn)而將其安全體系的雞蛋全部放進(jìn)這一家XDR廠商的籃子里時(shí)——這家廠商號(hào)稱能夠集中所有數(shù)據(jù)提供更加精準(zhǔn)的檢測(cè)與響應(yīng)能力的承諾甚至還未得到驗(yàn)證——客戶的 CEO或董事會(huì)成員會(huì)做何反應(yīng)。

混合型XDR的問題

在這種XDR模式中，客戶可以以單點(diǎn)解決方案形式采購(gòu)多個(gè)廠商混合而成的XDR。針對(duì)絕大多數(shù)已經(jīng)構(gòu)建了自有安全體系的企業(yè)客戶而言，這一模式解決了“割舍替代”的問題，但是就如同單一廠商XDR的問題一樣，這里也仍然需要一個(gè)安全中臺(tái)，將所有孤島安全工具整合在一起。這就導(dǎo)致了一個(gè)新問題：誰來負(fù)責(zé)做這件事?我們能夠指望某一家獨(dú)立廠商代替客戶承擔(dān)起無縫整合其他廠商產(chǎn)品的重任嗎?即便廠商愿意，客戶是否愿意被迫簽約接受托管檢測(cè)與響應(yīng)(MDR)，將這個(gè)重任托付出去?

能否不要這個(gè)安全中臺(tái)呢?其實(shí)很好評(píng)估。若沒有中臺(tái)，各個(gè)獨(dú)立的工具與平臺(tái)就無法整合在一起，這就意味著所有孤島數(shù)據(jù)無法整合利用，幫助安全分析師理解數(shù)據(jù)之間的關(guān)系，從而給出可靠的響應(yīng)措施建議，最終意味著XDR會(huì)失去它原有的目的。

還有一點(diǎn)需要考量的是：我們已經(jīng)看到有XDR類的聯(lián)盟開始出現(xiàn)，目的是解決各聯(lián)盟成員間的的技術(shù)和工具在整合為一個(gè)生態(tài)過程中出現(xiàn)的問題，幫助分析師改進(jìn)威脅檢測(cè)與響應(yīng)的能力。然而，這類組織仍然屬于封閉生態(tài)，會(huì)限制客戶只能采用聯(lián)盟中的供應(yīng)商提供的技術(shù)和工具。因此，客戶仍然需要割舍替代其原有的設(shè)備，重新申請(qǐng)預(yù)算和資源，花費(fèi)時(shí)間部署實(shí)施這些新的技術(shù)和工具。

炒作過后是什么

那XDR還有希望實(shí)現(xiàn)其最初的目標(biāo)嗎?答案是可能的。XDR供應(yīng)商們已經(jīng)開始意識(shí)到安全中臺(tái)的重要性，這個(gè)中臺(tái)需要位于整個(gè)安全生態(tài)的頂端，并提供對(duì)各安全工具所產(chǎn)生的全部數(shù)據(jù)的訪問能力。

問題是XDR的炒作還能夠持續(xù)多久，也許過不了幾年，它就會(huì)成為一個(gè)“過去”的技術(shù)。當(dāng)那一天到來時(shí)，它也只是幾十年來人們提升安全能力有效性的眾多努力中一個(gè)新的嘗試而已。也許屆時(shí)人們會(huì)看到一個(gè)似曾相識(shí)的結(jié)果，就像與SIEM和SOAR打交道的經(jīng)歷一樣——數(shù)百萬美元與數(shù)年時(shí)間的投入，換來的是疲于應(yīng)對(duì)告警但卻收效甚微。

這里的要點(diǎn)是人們不應(yīng)該將“炒作”誤認(rèn)為真正的價(jià)值，只看著“新奇高大上”的縮寫字母就盲目投入。安全團(tuán)隊(duì)在采購(gòu)實(shí)施任何新技術(shù)前，都需要對(duì)其做足“盡職調(diào)查”。另外，無論是XDR、SIEM、SOAR亦或是其他以提升安全能力有效性為目的的技術(shù)工具，安全團(tuán)隊(duì)都應(yīng)當(dāng)考慮將其加入安全中臺(tái)。只有這樣才能將安全分析所需的數(shù)據(jù)從之前的一個(gè)子集擴(kuò)展為全部數(shù)據(jù)，從而給出更精確的分析結(jié)果，做出更可靠的響應(yīng)決策。