當單獨的端點安全無法完全滿足當下的安全需求時，就需要各個端點、網(wǎng)絡(luò)之間的聯(lián)動進行檢測和響應(yīng)。XDR自然而然就從EDR演化而來。XDR(Extended Detection and Response)是一系列IT架構(gòu)中安全產(chǎn)品的集成組合，包括LAN、WAN、IaaS、數(shù)據(jù)中心等;XDR的目的是將這些工具協(xié)同，從而實現(xiàn)威脅防范、檢測和響應(yīng)。XDR將控制點、安全遙測器、數(shù)據(jù)分析、運營統(tǒng)一管理到同一個企業(yè)系統(tǒng)中。

[[397734]]

XDR中的“X”意味著將威脅檢測從分散狀態(tài)轉(zhuǎn)化為統(tǒng)一。XDR不再僅僅單獨識別終端、網(wǎng)絡(luò)和郵件中的安全事件，而是通過安全管控將這些事件收集并進行關(guān)聯(lián)。因此，將威脅檢測理解為攻擊鏈，或者結(jié)合MITRE ATT&CK框架。“D”則數(shù)據(jù)收集、處理和分析，從而能夠比現(xiàn)有系統(tǒng)更快、更精確地檢測攻擊。一般而言，這些活動會在云端發(fā)生，從而能夠?qū)?shù)月，甚至數(shù)年之久的海量數(shù)據(jù)進行進一步分析。最后。“R”和自動化能力息息相關(guān)。XDR需要通過自動化，將大量的安全運營工作從人類手中解放——有點像簡約版的SOAR。

這是市場對XDR的理解，但是我們已經(jīng)說了好多年工具的組合使用——那可比XDR這個概念存在的時間長多了。那XDR真的能夠?qū)崿F(xiàn)嗎 ?

ESG的高級分析師Jon Oltsik和他的同事Dave Gruber最近完成了XDR的一項調(diào)研項目。Dave關(guān)注于EDR，而Jon側(cè)重于安全運營中心，因此他們從多個角度來看XDR這個概念。根據(jù)他們的研究，XDR不僅僅很現(xiàn)實，甚至可能影響2021年整個安全產(chǎn)業(yè)。其中，關(guān)鍵的結(jié)論有：

• 組織已經(jīng)在威脅檢測前做了很多工作。當被問及他們?nèi)绾味x自己的威脅檢測目標時，34%的組織表示希望能夠改善自己對高級威脅的檢測，29%希望減少修復(fù)的平均時間，27%希望能夠在威脅優(yōu)先級的排序方面得到幫助。這一點代表了對流程和技術(shù)改進的需求。

• 現(xiàn)有工具并沒有效果。哪怕投了幾十億在安全領(lǐng)域，企業(yè)依然無法及時對威脅進行檢測和響應(yīng)。當被問及威脅檢測和響應(yīng)面臨的挑戰(zhàn)時，31%的安全專家表示需要在自己的業(yè)余時間進行應(yīng)急響應(yīng)，29%承認安全監(jiān)控中存在盲點，23%表示不同工具之間很難關(guān)聯(lián)安全警告。這顯然表示安全運營中存在很多混亂。

• 威脅檢測和響應(yīng)的預(yù)算在增加。83%的受訪組織表示正在增加自己的維系檢測和響應(yīng)預(yù)算——代表了企業(yè)對于這方面的需求已經(jīng)到了火燒眉毛的地步。

研究同樣表明，許多組織已經(jīng)將XDR作為一種可行的解決方案：70%的受訪者表示已經(jīng)將XDR放在未來12個月的預(yù)算中;有23%的甚至表示已經(jīng)在建立XDR項目——比如將EDR和網(wǎng)絡(luò)檢測和響應(yīng)工具集成、結(jié)合威脅情報等等。

組織顯然愿意為威脅檢測和響應(yīng)買單，因此XDR很快在市場上得到了大量關(guān)注。安全廠商顯然看到了這個機會，像博通(收購賽門鐵克)、Check Point、思科、火眼、Fortinet、McAfee、微軟、派拓網(wǎng)絡(luò)、趨勢科技等大廠已經(jīng)在將各種端點產(chǎn)品集成為XDR套裝。另一方面，Crowdstrike、Cybereason、SentinelOne等EDR廠商也已經(jīng)開始部署XDR戰(zhàn)略;LogRhythm和RSA等SIEM廠商也準備進入XDR領(lǐng)域。與此同時，還有許多XDR的創(chuàng)業(yè)公司正在出現(xiàn)。這些都表示，會產(chǎn)生大量的XDR的研發(fā)投入，產(chǎn)生新的創(chuàng)新。不過，研究同樣發(fā)現(xiàn)XDR面臨的一些困境。安全從業(yè)人員最好能理解到以下一些問題：

• XDR解決方案包括哪些內(nèi)容。只有24%的受訪者表示他們很熟悉XDR;剩余的受訪者只是對XDR有所知曉，甚至完全不了解。當被問及XDR定義的時候，36%的受訪者表示“XDR基于多個來源和管控的遙測器進行收集、處理、分析以及響應(yīng)”——這是一個準確但相對寬泛的說法。這個不難理解，畢竟大部分XDR解決方案是基于多種不同的安全管控而成，沒有標準化的套裝。一些XDR解決方案更傾向于在現(xiàn)有的管控和分析工具上抽象一層出來。這些概念的不清晰意味著在企業(yè)開始購買XDR前，需要一定的市場層面的教育。

• XDR如何和SIEM協(xié)調(diào)。許多組織已經(jīng)在SIEM解決方案上花了數(shù)百萬，并且有71%的企業(yè)認為SIEM在威脅檢測和響應(yīng)上有效。然而，研究也發(fā)現(xiàn)SIEM更加昂貴、復(fù)雜，而且在未知威脅或者復(fù)雜攻擊面前并不那么有效。基于這個數(shù)據(jù)，大部分組織需要XDR來加強他們的SIEM——而非取代SIEM，至少在短期來看如此。因此，XDR廠商需要發(fā)展出一個強有力的SIEM輔助策略。

• 數(shù)據(jù)管理問題。就和SIEM一樣，XDR必須能實時收集、處理和分析Tb級別的數(shù)據(jù)。幾乎每個安全工程師都會表示，他們花了大量的時間建立數(shù)據(jù)管道來實現(xiàn)這些。ESG研究發(fā)現(xiàn)，組織面臨的數(shù)據(jù)管道挑戰(zhàn)包括：過濾警告噪音(38%)、為了適應(yīng)增長的安全遙測數(shù)據(jù)延展數(shù)據(jù)管道(37%)、建立流水化的有效數(shù)據(jù)管道(34%)。XDR廠商可以利用云原生的優(yōu)勢建立數(shù)據(jù)管道。現(xiàn)在，他們有機會通過說明他們?nèi)绾喂芾頂?shù)據(jù)管道來教育市場。

• 安全服務(wù)。73%的企業(yè)計劃，或者已經(jīng)在使用某種類型的MDR服務(wù)，可能是完全外包，也可能是外包一部分。這就代表安全服務(wù)應(yīng)該是每個XDR解決方案的一部分，但對很多之前只賣終端安全產(chǎn)品的XDR廠商而言，是一項挑戰(zhàn)。

CISO們需要威脅檢測和響應(yīng)能力的幫助，而且愿意為合適的服務(wù)買單。XDR可以滿足這個需求，但是在XDR成為安全運營的時代答案之前，還需要大量的市場教育和拓展。