ESG研究顯示，83%的組織會在2021年增加自己的威脅檢測與響應預算——表示當前的工具和技術并不能滿足現(xiàn)在的需求。XDR可以滿足這個市場需求——不過也只有在相關纏上能夠跳出行業(yè)的鼓吹，真正和安全人員建立聯(lián)系的前提下。這里有8個CISO們需要從XDR廠商處得到的信息。

[[413389]]

XDR定義

根據(jù)ESG研究，只有24%的安全人員表示對XDR的相關技術概念“非常熟悉”。原因在于XDR更像是一個架構(比如安全運營和分析平臺架構，也就是SOAPA)，而非一個產(chǎn)品，因此感覺上更為模糊。另外，XDR會從幾個方面來實現(xiàn)，包括基于控制(EDR、NDR等)、基于管理平臺、開源XDR、軟件疊加虛擬化等。這就繼續(xù)一個坦誠、詳細的市場教育過程。

算法揭秘

XDR價值點的關鍵之一，在于它比現(xiàn)有威脅檢測技術更加優(yōu)秀的分析能力。理論上，XDR會采集和處理來自各個單點工具的遙感數(shù)據(jù)，然后將所有與這些數(shù)據(jù)集合到一起，形成一個更加及時、準確和全面的威脅檢測。這個聽上去很不錯，但是對此抱有懷疑的安全人員已經(jīng)早就聽過相關的說法了——比如UEBA。XDR廠商必須能夠從理論進入實際的數(shù)據(jù)科學領域——畢竟威脅檢測的準確性是關鍵。流水線化的安全運營也很重要，但是如果XDR無法識別復雜的多階段攻擊就毫無意義。

部署向?qū)?/h3>

這對于基于控制的XDR廠商來說是一大挑戰(zhàn)。一個統(tǒng)一化的安全架構直覺上感覺不錯，但是這對當下許多組織通過最強的單點工具來進行威脅檢測和響應完全不是一回事。用戶需要從哪里起步?他們?nèi)绾沃饾u集成工具?他們?nèi)绾螌F(xiàn)有的規(guī)則和經(jīng)驗保留下來，而不是從XDR再重新建立一次?XDR廠商在和潛在客戶溝通的時候，需要有相關的架構、案例、以及相關的訓練向?qū)А?/p>

 安全運營模型

行業(yè)內(nèi)已經(jīng)有很多關于XDR能做什么的信息，但是卻極少聽到運營團隊可以如何使用相關產(chǎn)品：運營團隊如何追蹤告警?他們改如何調(diào)查高優(yōu)先級的告警?他們?nèi)绾巫詣踊幚眄憫袨?XDR工具如何和ITSM系統(tǒng)協(xié)同?

數(shù)據(jù)難題

XDR的愿景，可能直指當下安全運營的核心能力——SIEM。這個目標看上去很宏偉，但是需要知道的是，SIEM現(xiàn)在是數(shù)據(jù)管理中的天皇巨星，建立在一系列復雜的網(wǎng)絡采集器、轉(zhuǎn)發(fā)器、目錄管理、信息管理等之上，每天持續(xù)地采集、處理和分析Tb級別的數(shù)據(jù)。ESG研究表示，已經(jīng)有許多大型組織已經(jīng)在流數(shù)據(jù)處理/分析中進行了大量投入，并且正在增加新的數(shù)據(jù)源。在一些大型企業(yè)的運營團隊中，他們對XDR處理Tb級別數(shù)據(jù)管道能力嗤之以鼻。XDR廠商需要能夠在數(shù)據(jù)處理方面脫穎而出。

第三方集成

可以理解，大型安全廠商總是想給自己的客戶兜售整體的XDR解決方案;但是要知道，那是一個大單子。一個使用過軟件疊加虛擬化的XDR解決方案的CISO曾表示：“XDR廠商們都假設我會通過取代現(xiàn)有的EDR、NDR和SIEM產(chǎn)品，來標準化并符合他們的產(chǎn)品。而我的問題在于，我都已經(jīng)有了每一種產(chǎn)品了，意味著我已經(jīng)有了全套，甚至多套EDR、NDR和SIEM;那么要替代這些解決方案簡直就不可能。”這情況很常見，因此XDR廠商必須和其他廠商協(xié)同共進。

當被問及希望從哪里開始XDR項目的時候，43%的受訪者表示：“需要為云負載和SaaS提供威脅檢測和響應能力的XDR解決方案”。這個答案相當出乎意料，因為直覺上會認為XDR會從取代EDR和NDR開始。當然這也不難理解，因為云可視化能力對許多組組織來說是一個可怕的盲點。為了解決這個問題，XDR廠商需要愿意討論他們采集、處理、分析和可視化的所有類型的云數(shù)據(jù)。另外，他們還需要能夠通過上下文分析所有云數(shù)據(jù)，作為追蹤端點、網(wǎng)絡、服務器、服務和整個混合IT架構的殺傷鏈的手段。

身份問題

現(xiàn)在的XDR產(chǎn)品還存在著另一個問題：缺乏對攻擊中人員因素的考慮，缺少和認證、網(wǎng)絡目錄和IAM的集成。這個問題，在有著大量SaaS應用、以及大量開發(fā)人員面臨各類新型云應用開發(fā)工具的組織尤為明顯。諷刺的是，上一次行業(yè)吐槽新的安全運營技術是針對UEBA——UEBA恰恰是以用戶為中心的，而XDR這次則是以技術為中心。

組織和機構必然是需要威脅檢測和響應能力的幫助，而且會對XDR技術持開放態(tài)度。CISO們顯然明白問題的復雜性。廠商們在面對潛在客戶的時候需要充分準備，并且據(jù)實回答相關問題，包括XDR如何能融入現(xiàn)有的運營技術和流程，以及它如何慢慢演進。

點評：

XDR的說法在業(yè)內(nèi)逐漸開始流行，但是XDR的內(nèi)核到底是什么，卻很少有人能說清楚。進一步而言，XDR到底如何實現(xiàn)，又是另一個問題。甲方客戶的最大需求，是能在確保自身業(yè)務的情況下最大程度解決自身的安全問題——而不是將一系列華麗的技術和概念進行堆砌。廠商們在新的技術理念出現(xiàn)的時候，不僅僅是需要大力推廣，更多的是需要能夠腳踏實地地解決客戶心中的疑惑。