XDR落地的三个切入点

2020年，XDR开始成为CISO们必须了解的概念之一，从而能够让企业更精准地进行检测，同时提升安全运营的效率。从那时起，大大小小的安全供应商都涌入XDR市场，将他们的产品改造成为XDR解决方案。

随着SOC逐渐变化为检测和响应的部门，管理人员也开始考虑通过XDR实现这个目标。如果企业在考虑XDR解决方案，就很容易迷失于各种不同的定义和落地模式。如果简化来看的话，现在三种主要的XDR架构。

单一供应商生态

许多大型安全厂商会把这种落地模式吹捧成最好的实践，这种方式通过集成单一厂商各种安全产品实现(通常基于云)。这种模式因为强调简洁性以及全面覆盖性而看上去很吸引人。但是，问题在于，一般组织都会用许多来自多个供应商的不同技术保护自己，包括防火墙、IPS/IDS、路由器与网站和邮件安全、以及EDR。企业也会有SIEM等其他工具储存内部威胁和事件数据，比如工单系统、日志管理库、用例管理系统等。他们一般会依赖一些“大型厂商”来处理他们大量的安全任务，但通常他们也会选择不同的最佳厂商来防止大型厂商对自己的过度影响。IBM在2020年的一份调研发现，平均每个组织有45种不同的安全工具，但是大部分工具之间都不进行交互。随着时间的推移，不同团队、预算计划和部门会做出各自独立的决策，就自然而然会导致这样的结果。

安全厂商必须接受这样的事实：不是每个组织都会从某个唯一的供应商处选购自己所有的工具的，并且短期内对工具进行修改和替换的意愿也很低。更不用说，随着为了跟上新的用例、威胁和威胁因素，持续的创新会使得不断有新的供应商和解决方案出现。

落地并扩展

这个切入点基于供应商本身就聚焦的某个面，比如EDR或者NDR，然后供应商再通过集成其他安全工具增加XDR能力。虽然说这种切入点能够有机会选择检测和响应能力基础技术中的佼佼者，它也同样带来了一些挑战。集成是建立XDR架构的关键。然而，供应商很可能只会专注于他们核心技术的创新，从而对集成产生负面影响。何况如果集成能力不是他们的核心竞争力，供应商还会花大量的时间识别交互的工具，再对他们的XDR进行深度集成。

开放平台

采取这个切入点的安全厂商会提供一个专注于集成的平台，将不同领域的工具与其他安全基础设施连接到一起。作为现有安全技术的连接，包括其他供应商宣称的XDR解决方案，这种方案提供了更为强大的能力。这就要求供应商的核心竞争力和专注点在集成以及系统间的数据流动上。自身已经有一定安全能力，甚至已经跨部门有多种最佳解决方案的企业，能够通过这种开放的、可延展的架构，将XDR供应商都不熟悉的产品在内的现有工具强有力地集成在一起并进行交互。数据的采集与输出会有标准的接口，同时能在数小时内建立自定义的连接器来连接新的安全管控能力与部署的工具以应对新的威胁。

每种切入点都有优势和劣势。但是如果将XDR作为一个目标而非解决方案，无论从哪种切入点开始实践，都需要理解不同供应商的聚焦点与核心竞争力、向XDR转换所需要的经历、以及可能存在的偏航情况。只有明白了这点，才能确信自己选择的供应商能够提供所需的XDR，从而实现跨基础设施、跨所有攻击途径的检测与响应能力。

点评

XDR理念的提出给了整体安全新的发展方向。但是，理念与实践之间依然存在距离。技术的落地与实践不仅仅是技术能力层面的考虑，还有商业层面的权衡。XDR三种落地切入点都是基于安全厂商现有能力的角度出发，结合自己的商业需求，提供相对应的XDR解决方案;相对的，企业在选择XDR解决方案的时候，也自然需要结合自身的业务，以及相关XDR厂商的情况，基于不同切入点的利弊，选择对自己最有利的XDR解决方案。