近日，知名咨詢機構(gòu)Gartner正式發(fā)布了2022安全運營技術(shù)成熟度曲線（Hype Cycle），正如業(yè)界大多數(shù)人所預測的那樣，XDR終于站上了Peak of Inflated Expectations的頂端，成為安全運營體系中最炙手可熱的技術(shù)之一，具體如下圖所示：

2022安全運營技術(shù)成熟度曲線（Hype Cycle）

一直以來，業(yè)界對于XDR技術(shù)抱有兩種截然相反的觀點。雖然XDR近年來風頭強勁甚至蓋過了零信任。Gartner也預測到2027年，XDR技術(shù)的應用比率將從現(xiàn)在的5%飆升至40%。不過，即便是風頭正盛，依舊有不少安全專家對XDR持否定態(tài)度，認為XDR自身存在局限性，這將使其未來的市場化難度非常高。

此次XDR登頂并未讓眾人對“XDR將成為未來安全運營的關(guān)鍵技術(shù)”的觀點趨于一致，反而進一步激化了彼此之間的分歧，如同粉絲和路人對于流量明星的態(tài)度一樣，討論者對于XDR的態(tài)度可是涇渭分明：贊成方認為XDR必將引領全新的安全運營體系，是未來不可或缺的關(guān)鍵技術(shù)；而反對方則認為XDR技術(shù)人間不值得，是比SIEM、SOAR更加糟糕的存在，不過是在炒作技術(shù)概念而已。

安全專家在LinkedIn上討論

對于XDR技術(shù)未來的發(fā)展趨勢也是討論的焦點，不同技術(shù)、不同背景的安全從業(yè)者看到的趨勢大有不同。有意思的是，此次Gartner還導入一個新的運營服務分支——Managed SIEM，于是乎“明年是否會有Managed XDR”成為眾人新的話題點。

在XDR技術(shù)登頂?shù)漠斚?，我們決定加入這場熱烈的討論：XDR在安全運營體系中有多大的作用，其未來的發(fā)展趨勢又將會是怎樣？若是讀者對此也感興趣，不妨也湊個熱鬧，留下您寶貴的見解。

XDR為什么會這么火？

在回答這個問題之前，我們首先要弄清楚，什么是XDR技術(shù)。

2018年，Palo Alto Networks首席技術(shù)官Nir Zuk首次提出了XDR（擴展檢測和響應)的概念。2020年，Gartner發(fā)布了《頂級安全和風險管理趨勢》報告，XDR被命名為第一大安全趨勢，一時成為業(yè)界最熱門的網(wǎng)絡安全技術(shù)。

隨后Gartner又連續(xù)發(fā)布了《擴展檢測和響應（XDR）的創(chuàng)新洞察》、《擴展檢測和響應（XDR）市場指南》兩大核心報告，詳細闡述了XDR的技術(shù)架構(gòu)、核心能力、市場趨勢等，對XDR給予極高的評價。

Gartner給出的XDR定義為：XDR是一種基于SaaS的、綁定于特定供應商的安全威脅檢測和事件響應工具，它將多個安全產(chǎn)品集成到一個統(tǒng)一了所有許可安全組件的內(nèi)聚安全運營系統(tǒng)中。

而用更通俗的話來說，理想中的XDR技術(shù)，其實是安全信息和事件管理（SIEM）、安全編排自動化和響應（SOAR）、端點檢測與響應（EDR）以及網(wǎng)絡流量分析（NTA）等產(chǎn)品綜合起來的結(jié)果。其核心部分可分為前段和后端：前端組件包含多種安全工具與傳感器以獲取多點安全能力與多源安全數(shù)據(jù)，后端組件提供匯總分析的能力，達到關(guān)聯(lián)分析、編排及自動化響應的效果。

從上述信息中不難看出，XDR實際上就是SIEM的進階版本，這也就意味著XDR的出現(xiàn)的需求側(cè)原因，是當下SIEM等解決方案無法滿足企業(yè)安全運營體系關(guān)聯(lián)和分析的需求，產(chǎn)生了大量無效的告警信息，降低了安全運維的效率，導致企業(yè)安全運營出現(xiàn)孤島效應。

隨著疫情全球化和企業(yè)數(shù)字化的加劇，企業(yè)數(shù)據(jù)呈井噴式爆發(fā)增長，其數(shù)據(jù)聯(lián)動需求進一步增強，而大量的數(shù)據(jù)也讓孤島效應更加明顯。

兩相疊加之下，企業(yè)迫切需要一款能夠?qū)崿F(xiàn)將數(shù)據(jù)采集、集中分析、統(tǒng)一處置、響應編排的安全產(chǎn)品，以此讓安全運營擺脫孤島效應，更重要的是將企業(yè)安全運營水平和標準化產(chǎn)品掛鉤，而非依賴不穩(wěn)定的個人技術(shù)水平。

此時，我們再回到“XDR為什么會這么火”這個問題。其底層支撐邏輯是，安全運營體系已經(jīng)到了必須要發(fā)生改變的時候，其日益增長的數(shù)據(jù)聯(lián)動和打破孤島效應的內(nèi)在需求已經(jīng)成為共識。

此時，誰能解決這一難題誰就將成為安全運營下一階段的核心要素之一，其未來的增長和市場足以讓資本心動不已。正是在這樣的背景下，XDR概念橫空出世，給出了一個看起來似乎真的能夠?qū)崿F(xiàn)這一目標的具體路徑。

它不火誰火？

XDR到底有沒有用？

這里需要明確的是，紅不一定就意味著對，且一項技術(shù)在走紅的過程中必定會產(chǎn)生泡沫，這是無法避免的情況。

因此，反對方認為XDR技術(shù)不過只是安全運營難題的一次嘗試，在資本的助推下而快速走紅，這種表象掩蓋了其自身的局限性，最終只能落得一個勞民傷財，陷入無休止的警報疲勞和低于標準的結(jié)果。

那么，XDR技術(shù)到底有沒有效果，是假噱頭還是真技術(shù)？

眾所周知，SIEM遭到詬病的原因是，對于不同源安全數(shù)據(jù)的處置能力仍然較弱，其能夠提供的事件響應與可視化也非常有限，相互孤立的安全設備每天產(chǎn)生海量告警，導致安全運營痛苦不堪。

而SOAR雖然對SIEM平臺進行了優(yōu)化，可以增強安全數(shù)據(jù)間的聯(lián)動效應，并根據(jù)事先預置的劇本（Playbook）對于安全事件進行編排，實現(xiàn)自動化響應。但是對于諸多不同源的安全數(shù)據(jù)，安全團隊仍然需要手動設置行動手冊、定義警報級別與響應措施。

XDR技術(shù)的出現(xiàn)似乎可以解決上述這些問題。

XDR的核心作用在于能夠跨越不同數(shù)據(jù)源與IT架構(gòu)，集中匯集云、網(wǎng)、端、威脅情報等多源安全數(shù)據(jù)/工具。通過大數(shù)據(jù)與人工智能、用戶行為分析等智能分析手段，對安全數(shù)據(jù)/事件進行關(guān)聯(lián)分析，還原攻擊路徑，達到對整個攻擊面的全面可視，解決安全孤島的問題?；趧討B(tài)更新的事件庫與預置處置場景將產(chǎn)出的告警進行自動化編排與分診，實現(xiàn)自動化響應。

因此，XDR技術(shù)要比EDR、SIEM、SOAR具備一定的先進性，甚至可以看出是SIEM、EDR、SOAR等技術(shù)的整合升級版。換句話說，XDR技術(shù)至少要比現(xiàn)有的安全技術(shù)更具發(fā)展?jié)摿Α?/p>

概念再好如果無法落地，終將面臨泡沫破碎的結(jié)局，那么XDR又該如何落地？

事實上，不論是國內(nèi)還是海外，XDR技術(shù)的落地效果不僅沒有其概念所描述的那么完美，對龐大數(shù)據(jù)的分析計算能力還需突破，事件生成機制以及事件分析的方法還需要繼續(xù)完善并標準化。

此外，在落地時還會給企業(yè)帶來新的問題。目前XDR技術(shù)落地方式主要有兩種：一是原生XDR解決方案；二是混合XDR解決方案。

原生XDR解決方案最大的優(yōu)勢是可以最大化保證XDR技術(shù)的落地效果，依托安全產(chǎn)品和工具的原生性，完全可以實現(xiàn)云、網(wǎng)、端數(shù)據(jù)聯(lián)動和深入分析，進行全面監(jiān)控和自動化響應，大大簡化安全運營工作，提升安全運營的效率。

但是其弊端也非常明顯，企業(yè)必須要放棄原有的安全架構(gòu)，轉(zhuǎn)而采用全新的原生安全架構(gòu)，并采購某一供應商的原生安全產(chǎn)品。但大部分的安全產(chǎn)品全都來自同一個供應商，對于企業(yè)來說這本身就是一件不安全的決策，更別提如此大改需要投入大量的資源，很難在管理層通過。

混合XDR解決方案則不需要對安全架構(gòu)進行更改，也不需要局限在某一個供應商，但是其效果不如原生XDR解決方案。畢竟，想要讓不同廠商的安全產(chǎn)品和工具存在一定的差異性，實現(xiàn)自動化關(guān)聯(lián)與響應存在一定的難度。

綜上所述，XDR技術(shù)的核心優(yōu)勢便在于能夠深度集成多源、跨IT架構(gòu)的所有安全組件，打通各項安全數(shù)據(jù)與事件，并配合人工智能等前沿分析手段實現(xiàn)關(guān)聯(lián)分析與自動化響應。在實際落地過程中遠沒有技術(shù)概念那般美好，企業(yè)需要承擔相應的成本，且還需調(diào)低對XDR的潛在期望。

換句話說，XDR技術(shù)未來的發(fā)展趨勢值得期待，但在現(xiàn)階段還存在一定的概念泡沫，而尋找XDR更具體的落地方式就是在擠出其中的泡沫。

XDR賦能高效運營MSS

XDR技術(shù)未來的發(fā)展趨勢值得期待，但在現(xiàn)階段還存在一定的概念泡沫，而尋找XDR更具體的落地方式就是在擠出其中的泡沫。

正如上文所說，原生XDR和混合XDR解決方案都存在一定的弊端，依靠現(xiàn)有的技術(shù)和條件暫時無法完全解決這些弊端，因此業(yè)界也開始將目光轉(zhuǎn)向“以XDR技術(shù)為支撐的MSS運營服務”，嘗試“曲線實踐XDR技術(shù)”。

而這兩者之間似乎存在著某種契合。

MSS并不是一個新興的概念，早在20世紀90年代，MSS服務概念就已經(jīng)在海外誕生。經(jīng)過二十多年的發(fā)展和完善，MSS已經(jīng)成為企業(yè)強化安全能力的重要措施之一，將廠商強大的安全能力持續(xù)賦能企業(yè)，實現(xiàn)預期的安全效果。

MSS的核心優(yōu)勢在于，廠商可遠程監(jiān)控企業(yè)安全態(tài)勢，持續(xù)感知安全風險，并在風險出現(xiàn)的時候及時預警和消除，保障企業(yè)自身業(yè)務不受影響。這樣既避免了安全人員駐場的負擔，也滿足了企業(yè)對于安全的需求。

同時，這也是企業(yè)用戶最擔心的地方，僅在線上是否真的能夠?qū)崟r了解安全形勢，出現(xiàn)問題時又是否可以及時進行響應？

而這恰恰是XDR技術(shù)的強項，可以幫助廠商進一步強化MSS的能力。在XDR的賦能下，MSSP可以利用XDR的底層框架以更低的成本提供更智能、高效的安全運營服務。另一方面，XDR方案也可以借助MSSP成熟的管理模式與豐富的專家經(jīng)驗實現(xiàn)成功落地。

MSS與XDR相結(jié)合的趨勢在近年不斷被市場所實踐與驗證。很多XDR提供商將MDR（托管檢測與響應）服務包含在其產(chǎn)品方案內(nèi)，或者與網(wǎng)絡安全托管服務商MSSP進行合作，為客戶提供7/24小時全天候的監(jiān)控與管理。

隨著MSS與XDR的進一步結(jié)合，供應商服務形態(tài)及技術(shù)水平的進一步提升，MSS與XDR將分別從技術(shù)框架與管理形態(tài)兩個維度提升企業(yè)安全運營效率。

在疫情持續(xù)影響，數(shù)字化轉(zhuǎn)型加速的當下，安全基礎相對薄弱的中小型企業(yè)，更容易遭受網(wǎng)絡攻擊，故而對于網(wǎng)絡安全能力的需求更加迫切。在缺乏安全投入和安全團隊的前提下，依托MSS服務快速提升整體安全能力，反而是一個不錯的選擇。

與之不同的是，大型集團企業(yè)因為具備完善的安全體系和人員制度，對于MSS服務的需求遠沒有中小企業(yè)那么強烈，反而更傾向于在長期的企業(yè)信息安全體系的建設過程中逐步落地新技術(shù)、新架構(gòu)。

此時，XDR技術(shù)的落地方式因企業(yè)體量出現(xiàn)了明顯的變化：中小型企業(yè)更傾向于通過MSS來間接加強安全能力，而大型企業(yè)則根據(jù)自身具體情況，選擇原生XDR或混合XDR解決方案，對于擁有強橫自研能力的大廠，原生XDR解決方案反而更加完美。

XDR技術(shù)未來可期

目前國際XDR市場尚處于早期探索期，但即便如此，和現(xiàn)有的安全技術(shù)相比，XDR也已經(jīng)呈現(xiàn)出較為明顯的優(yōu)勢。

埃森哲曾對XDR與行業(yè)其他安全運營工具的效果進行調(diào)研分析，結(jié)果顯示，XDR產(chǎn)品在各個維度的表現(xiàn)均完全領先于行業(yè)平均水平，其平均威脅檢測周期小于1分鐘，平均威脅響應周期小于10分鐘，遠高于同類安全工具的效果。

更為關(guān)鍵的是，XDR技術(shù)還有廣闊的提升空間，隨著安全運營中的產(chǎn)品、工具高度集合，在多源數(shù)據(jù)的集成與聯(lián)動分析能力、關(guān)鍵事件自動化識別與響應能力等方面將會更強，數(shù)據(jù)孤島問題有望得到解決。

這要求XDR必須持續(xù)迭代智能化、自動化檢測與響應技術(shù)，以AI自動化操作代替安全人員，實現(xiàn)自動收集、解析數(shù)據(jù)，并進行綜合分析和自動化處置?？梢灶A見的是，未來自動化與智能化將會成為XDR的核心指標，也具備了可實現(xiàn)的可能性。

同時，原生XDR解決方案正在向云原生快速轉(zhuǎn)變，也讓XDR落地變的更加容易。云環(huán)境是一個天然的集成點，可以滿足XDR集中式部署的需求，安全組件與應用程序借此擺脫與物理資源/設備的緊密捆綁，虛擬化的部署進一步強化了安全組件間的彈性與互操作性，也更容易實現(xiàn)數(shù)據(jù)間的聯(lián)動分析與處置。

混合XDR解決方案也有相應的進步。隨著越來越多的安全廠商紛紛抱團成立XDR聯(lián)盟，彼此之間通過技術(shù)融合來克服，不同廠商的安全產(chǎn)品之間數(shù)據(jù)無法互通的弊端，以此提升產(chǎn)品工具的聯(lián)動效率，實現(xiàn)數(shù)據(jù)的深入分析以及自動化決策和響應。而當混合XDR解決方案的效果凸顯后，還會進一步倒推更多的安全廠商加入XDR聯(lián)盟，由此形成良性循環(huán)。

由此可見，雖然XDR技術(shù)當下落地依舊存在一定的問題和弊端，但是業(yè)界已經(jīng)在尋求可實現(xiàn)的路徑，并且已經(jīng)產(chǎn)生一些可預期的效果。

隨著網(wǎng)絡安全形勢日漸復雜，安全運營的底層支撐邏輯將會更加堅挺，并成為推動XDR技術(shù)快速進化的核心動力。

正因為如此，XDR技術(shù)未來可期。