自2019年2月的RSA大會以來，有關擴展檢測與響應平臺(eXtended Detection and Response, XDR)的討論開始升溫，而2020年隨著疫情和網絡威脅帶來的新變化，XDR的熱度有望在未來數年內持續上升。那么為什么安全專家需要關注XDR，原因在于XDR有能力在簡化安全操作的同時加快威脅檢測/響應的速度。

[[395521]]

說到安全運作和分析平臺架構(security operations and analytics platform architecture，SOAPA)，其設計初衷是作為一種可互操作的安全運作技術架構，使用API、消息總線、供應商共同開發以及自定義編碼作為一種集成手段。而XDR的愿景是它將提供“開箱即用”的SOAPA。大型企業組織仍將使用其他專門的安全運營技術，例如威脅情報平臺(TIP)以及安全編排與自動化響應平臺(SOAR)，但是XDR將與這些系統集成，同時充當安全運營的中心樞紐。

XDR會顛覆市場走向嗎?

從理論上講，XDR可以推動良好的安全運營進程，但是可能還不足以給網絡防御者帶來好處。原因之一在于，鑒于攻擊面不斷擴大、安全數據大量激增以及日趨嚴峻的威脅形勢等方面的綜合影響，安全運營正變得越來越復雜。XDR供應商意識到了這一點，但他們現在還正在與這種復雜性進行艱苦的戰斗。

正如同，只有讓火箭科學變得更容易才能夠切實地幫助加速太空探索，但目前它仍然只是難以實踐的火箭科學，迫切需要火箭科學家。同樣地，在消除復雜性之前，XDR還不足以為推動安全運營工作做出任何現實貢獻，迫切需要相關網絡安全人才的參與。

然而，全球網絡安全技能短缺的現狀并未得到任何改善。根據ESG和信息系統安全協會的研究顯示，70%的網絡安全專家表示，他們的組織受到網絡安全技能短缺的影響，導致網絡安全人員的工作量增加。此外，有29%的組織聲稱其最大的網絡安全技能缺口在于安全分析和調查領域。不管是否進行XDR，我們仍然需要熟練的專業人員來進行威脅檢測和響應，而現在這些人員仍然嚴重不足。

MDR現狀

這些普遍存在的問題正在促使大型和小型企業越來越多的使用托管檢測和響應服務(Managed Detection and Response Services , MDR)。例如，ESG的最新研究發現，35%的組織已經在使用MDR服務，38%的組織正在積極參與采用MDR服務的項目，15%的組織計劃采用MDR服務，以及6%的組織對未來采用MDR服務感興趣。

有些組織將威脅檢測和對第三方的響應項目外包出去，有些組織需要對其安全運營中心(SOC，運行時間為每周5天/每天8小時)進行非工作時間支持，還有一些組織需要一位專家專門支持SOC員工，以幫助他們完成取證調查和威脅捕獲之類的復雜任務。這里的關鍵在于，MDR服務提供高級技能，而且52%的組織也相信MDR服務提供商可以比他們更好地完成威脅檢測和響應任務。

對于MDR服務的研究數據主要得出了下述結論：

1. XDR必須包含MDR。

僅僅XDR技術是不夠的。XDR供應商必須擁有自己的服務或需要與托管安全服務提供商(MSSP)合作，從而可以為其產品增加專業知識和價值。提供XDR和MDR服務集成產品組合的CrowdStrike、FireEye、Secureworks以及趨勢科技等供應商目前正處于最前沿位置。

2. 純MDR供應商將是XDR最大的競爭對手。

如果說我付錢請別人來割草，我真的不在乎他們用的是哪種割草機。相反地，我只關心結果——每周修剪一次草坪。同樣地，CISO采購諸如XDR之類的安全技術，也是為了實現其目的——最佳的網路威脅檢測和響應。隨著組織對服務的依賴性增加，MDR供應商可能會成功采用自己的自主技術+服務解決方案來推廣XDR技術。如果他們能夠提供持續改進的威脅檢測和響應結果，那么誰還會在乎他們是如何做到的呢?

3. MDR供應商將根據專業來區分自己。

由于所有MDR供應商都提供相同的基本服務，因此想要占領市場就必須在利基安全運營領域表現出色，例如威脅情報、事件響應或支持IoT和OT。其他供應商將建立垂直行業的專業能力，以專注于醫療保健臨床系統、自動駕駛汽車或在線商務應用程序等方面的威脅(可能會與反欺詐服務相結合)。

4. 安全運營人才的競爭加劇。

無論如何，都可能會發生這種情況，但是XDR的出現以及MDR需求的增長將加劇網絡安全技能的短缺和薪資的上漲。

XDR供應商堅定地相信，該技術可能會改變安全運營。確實存在這種可能，但是XDR的成功似乎仍然需要基于人類的專業技能，這使得XDR需要依賴MDR并且容易受到MDR的影響。根據ESG的研究指出，能夠獲取最終勝利的將是最好的服務，而不是最好的安全技術小部件。