XDR(擴展威脅檢測和響應)是近年網絡安全行業的熱詞，具體指是企業現有防御無法涵蓋范圍廣泛的威脅攻擊媒介時，所使用的擴展方案。

簡而言之，XDR包含至少兩種及以上類型的威脅檢測。因為企業所面臨的威脅可能來自臺式機、Web、SaaS應用程序、云提供商等，所以需要多個檢測功能來保護企業的系統。

在《“窮人”的SOC?XDR面臨三大挑戰》一文中，我們將XDR稱為“窮人的SOC”，面對日益增長的威脅攻擊面和矢量，對于那些沒有或者無法擁有“滿級配置”SOC的中小企業或者小型安全團隊來說，XDR擁有重要價值。

需要注意的是，一些安全廠商提供的安全方案僅覆蓋了幾個威脅媒介，但他們也稱之為XDR。這只是一個很好的營銷術語，可以掩蓋他們提供的服務不足。

[[422007]]

為什么要使用XDR?

Gartner將XDR產品定義為平臺，該平臺可以自動收集和關聯來自多個組件的數據。XDR承諾通過統一格式的集中式歷史和實時事件數據，以及可擴展的高性能存儲，快速索引的搜索和自動化驅動的響應，使安全團隊更高效、更有效率。

但是，XDR解決方案正在從可能由更多工具組成的多種解決方案集中提取數據，并且它們使分析人員面臨大量要分析的威脅數據。

XDR代表了端點威脅檢測和響應(EDR)解決方案的自然發展。它尋求提供一個多檢測功能的平臺，其中包括端點保護、云訪問安全代理(CASB)、安全Web網關(SWG)、安全電子郵件網關(SEG)、網絡防火墻、網絡入侵防御系統(NIP)、統一威脅管理(UTM)以及身份和訪問管理(IAM)。

但是，有些網絡安全廠商對于XDR的研發會失敗，是因為他們經常會遺漏一個關鍵因素：人。XDR只是一個工具。為了獲得該工具的任何潛在價值，企業需要具備通過智能分析能對噪聲中的真實事件進行排序并確定響應優先級的人才。沒有這些人才，使用XDR就等于簡單地將可能收集到的所有有關威脅的信息傾倒在一個大鍋里“亂燉”，同時繼續給了攻擊者可乘之機。

XDR與更傳統的安全行業主打產品，安全信息和事件管理產品(SIEM)相似，為具有多個不同分析人員和控制臺的企業提供了方案。通過SIEM，企業期望通過匯總所有控制臺并將所有內容(包括入侵信息)放在一個地方來消除這些低效率的問題。因此，SIEM和XDR從本質上講是相同的，并且受同一問題的困擾：即企業需要精通這些工具的人員，以從中獲得收益。

在解決人才短缺這一問題時，企業正在逐漸選擇另一個解決方案：MDR(托管檢測和響應服務)。這種安全即服務(SaaS)產品使公司可以訪問外部分析師，這些分析師掌握所有XDR功能的專業知識，能夠連續、有效地接收告警事件并確定事件的優先級，從而減輕了內部IT團隊的分流負擔，并在誤報事件升級之前調查高風險事件，從而減少誤報，同時為企業提供最新的情報。

換句話說，MDR可被理解為托管的XDR。因此，企業的安全團隊成員不必購買自己的情報源，解決方案不只是一種工具。他們每天無需再處理數量過萬的警報，或者遭受頻繁警報的困擾。他們從這些負擔中解脫出來，可以專注于更大范圍安全戰略計劃，以改善公司的整體安全狀況。

由于具有這些優勢，MDR可以被更廣泛地采用，因為現在有四分之一的企業正在使用MDR服務，其中72%的組織將解決攻擊所需的時間減少了25%到100%。在目前不使用該服務的公司中，有79%正在評估或正在考慮采用這種服務，這些公司目前仍在使用XDR。但是，如前所述，他們也正在嘗試托管服務，這將幫助企業安全專業人才進一步發揮的深度價值。

如果XDR解決方案沒有足夠的專業人才，那么它將永遠只是一種工具。通過采用托管服務模型，企業才可能獲得更多的技術功能和使之起作用所需的專業人員。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文