关于XDR，你应该了解的十件事

XDR是安全业界近年来逐渐火爆的话题，原因很简单，企业客户的预算正在流向这个领域。2017年Gartner指出，未来五年企业网络安全支出战略将发生重大改变，重心将从阻止(Prevent)向检测和响应倾斜。

[[337080]]

自从2019年2月的RSA大会，有关XDR的讨论开始升温，而2020年随着疫情和网络威胁带来的新变化，XDR的热度有望在未来数年内持续上升。

尽管充满活力，但是XDR市场仍处于早期阶段，与任何一个热钱涌动的新兴市场一样，充斥着滥竽充数、浑水摸鱼的谎言和混乱。

那么，XDR到底是什么?有何价值?与其他各种“DR”安全技术方案(例如EDR、MDR)存在什么关联和区别?XDR的如何落地?如何选择?对于很多企业客户来说，当他们面对厂商五花八门的营销说辞时，有太多问题需要澄清。以下，我们根据ESG的市场调查报告将关于XDR的十大问题整理如下供读者参考：

XDR到底是什么?

ESG将XDR定义为跨混合IT架构的安全产品的集成套件，负责威胁预防、检测和响应等多个安全功能之间的协调和互操作。换句话说，XDR将控制点、安全遥测、分析和运营统一到单一的企业安全系统中。

XDR包含哪些安全技术?

由于每个网络安全供应商都热衷于将XDR的概念扣在自家的产品上，因此市场上对XDR的定义繁多令人困惑。通常来说，XDR应当包含电子邮件安全产品/服务，这是识别XDR产品的一个基本特征。尽管安全供应商将提供不同的XDR捆绑包，但ESG研究表明，大型组织希望XDR方案包括端点/服务器/云工作负载安全性、网络安全性、最常见威胁向量的覆盖范围(例如，电子邮件/Web)、文件引爆(例如沙箱)、威胁情报和分析。XDR供应商往往还添加了基本的安全编排、自动化和响应(SOAR)功能。

XDR有什么好处?

XDR的核心承诺是：通过技术集成和高级分析帮助企业大大提高威胁检测和响应的速度，表现优于当下企业采用多个单独安全工具组合的方式。XDR还能帮助企业检测低速缓慢攻击以及高级持久性威胁(APT)。对于后两类攻击，XDR可以分析检测到攻击的杀伤链而不是离散的信号。总之，XDR的愿景是将安全控制与安全运营紧密结合在一起，成为一个集成解决方案。

XDR有市场吗?

答案显然是肯定的。ESG的研究表明，84%的企业正在积极集成安全技术，因此XDR可以充当交钥匙安全技术集成解决方案。此外，由于大型企业和组织网络安全支出的“一元性”——80%的企业愿意将大部分安全技术预算支付给单个企业级安全供应商。因此XDR供应商将不得不说服CISO，XDR才是正确的道路。如果XDR概念和方法能够成功上位，取得CIO/CISO们的认可和共识，这个市场将迎来黄金发展期。

XDR将如何部署?

这是个棘手的问题。要想成功部署XDR，企业必须认同XDR的愿景，并愿意分阶段部署XDR，因为他们需要将已有的点控制安全工具更换为XDR组件。CISO还需要为XDR项目选择一个切入点(例如，端点安全)。当他们的网络流量分析(NTA)技术工具的成本完全摊销(或服务到期时)，他们将为NTA添加XDR组件。其他控制点(如云工作负载安全性，电子邮件安全性，Web安全性等)的情况类似。从理论上讲，XDR与每个附加组件一起提供增量价值，也就是所谓的1加1大于2。由于需要采用了这种分阶段过渡的方法，XDR供应商将不得不说服CISO，XDR的长期价值在于，从长远看该方法将比集成各种最佳安全工具的方案更加出色。

哪种类型的企业和组织最适合XDR?

对XDR需求最强烈的客户是中型企业和小型企业，这些企业没有足够的网络安全人才或技能来推出自己的集成架构。此外，一些行业用户也有类似需求，例如：高等教育、医疗保健、地方政府等。当然，这并不意味着XDR不会吸引大型企业，但是对于拥有大量分散的安全控制和操作技术的企业和组织来说，XDR部署路径将更加困难。企业CISO跳进XDR这个“大坑”之前，需要进行更加深入的调研和咨询论证。

XDR是否会与EDR和MDR产品竞争?

在与端点检测和响应(EDR)直接竞争的项目中，XDR供应商需要说服甲方，即EDR只是更大、完全集成的XDR解决方案的一部分。当您可以购买整台机器时，为什么还要去单独购买一个齿轮呢?至于在成本上有优势的托管检测和响应(MDR)，XDR供应商有时会与其正面竞争，XDR的卖点是能够让客户获得最佳技术和量身定制的托管服务。

XDR是“全家桶”专有方案吗?

每个XDR供应商都将试图说服客户在XDR安全基础结构中整合自家组件结合在一起。但是，安全行业极为不同，因此XDR供应商将必须支持某种程度的开放性：支持将包括开放源代码消息总线集成，开放API，合作伙伴生态系统，行业标准等。某些类型的开源XDR解决方案可能会涉及ELK堆栈，但目前还没有特别值得留意的进展。

XDR是否会与安全运营技术(例如安全信息和事件管理(SIEM)、SOAR和威胁情报平台(TIP))竞争?

这其实就是XDR的终极愿景，但是到目前为止，还没有XDR解决方案具有在大型企业安全运营中心(SOC)中发挥作用的规模或功能。这并不是说XDR将来不会增加规模和功能，但是目前这还不是一个紧迫的问题。在可预见的将来，XDR解决方案必须能够SOC系统进行互操作，而那些能够提高SOC效率的XDR供应商将是最成功的。值得注意的是，XDR可能非常适合1级SOC分析人员的监控性质的安全警报分类。如果XDR解决方案可以兑现高级分析和简单易用的承诺，那就更容易受到此类分析人员的欢迎。

如今，哪些国外供应商正在营销/销售XDR解决方案?

XDR市场不断有新玩家加入，最终任何主流安全厂商都不会作壁上观。就国外厂商而言，目前我们能看到的名单包括Broadcom(Symantec)、思科、FireEye、McAfee、微软、Palo Alto Networks、Stellar Cyber、趋势科技和VMware。此外，值得注意的是EDR厂商们(CrowdStrike、Cybereason、SentinelOne等)将来也可能会涉足XDR市场，从端点延伸到其他控件。

除了上述十个问题，关于XDR的疑问还有很多，例如XDR是否会像用户和实体行为分析(UEBA)那样包含在SOC 中?XDR是否会颠覆当下的网络安全技术市场?中国有哪些厂商在XDR领域领跑?欢迎读者们留言表达你们的观点。

【本文是IDC.NET专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文