2020年，XDR開始成為CISO們必須了解的概念之一，從而能夠讓企業(yè)更精準(zhǔn)地進(jìn)行檢測，同時(shí)提升安全運(yùn)營的效率。從那時(shí)起，大大小小的安全供應(yīng)商都涌入XDR市場，將他們的產(chǎn)品改造成為XDR解決方案。

隨著SOC逐漸變化為檢測和響應(yīng)的部門，管理人員也開始考慮通過XDR實(shí)現(xiàn)這個目標(biāo)。如果企業(yè)在考慮XDR解決方案，就很容易迷失于各種不同的定義和落地模式。如果簡化來看的話，現(xiàn)在三種主要的XDR架構(gòu)。

單一供應(yīng)商生態(tài)

許多大型安全廠商會把這種落地模式吹捧成最好的實(shí)踐，這種方式通過集成單一廠商各種安全產(chǎn)品實(shí)現(xiàn)(通常基于云)。這種模式因?yàn)閺?qiáng)調(diào)簡潔性以及全面覆蓋性而看上去很吸引人。但是，問題在于，一般組織都會用許多來自多個供應(yīng)商的不同技術(shù)保護(hù)自己，包括防火墻、IPS/IDS、路由器與網(wǎng)站和郵件安全、以及EDR。企業(yè)也會有SIEM等其他工具儲存內(nèi)部威脅和事件數(shù)據(jù)，比如工單系統(tǒng)、日志管理庫、用例管理系統(tǒng)等。他們一般會依賴一些“大型廠商”來處理他們大量的安全任務(wù)，但通常他們也會選擇不同的最佳廠商來防止大型廠商對自己的過度影響。IBM在2020年的一份調(diào)研發(fā)現(xiàn)，平均每個組織有45種不同的安全工具，但是大部分工具之間都不進(jìn)行交互。隨著時(shí)間的推移，不同團(tuán)隊(duì)、預(yù)算計(jì)劃和部門會做出各自獨(dú)立的決策，就自然而然會導(dǎo)致這樣的結(jié)果。

安全廠商必須接受這樣的事實(shí)：不是每個組織都會從某個唯一的供應(yīng)商處選購自己所有的工具的，并且短期內(nèi)對工具進(jìn)行修改和替換的意愿也很低。更不用說，隨著為了跟上新的用例、威脅和威脅因素，持續(xù)的創(chuàng)新會使得不斷有新的供應(yīng)商和解決方案出現(xiàn)。

落地并擴(kuò)展

這個切入點(diǎn)基于供應(yīng)商本身就聚焦的某個面，比如EDR或者NDR，然后供應(yīng)商再通過集成其他安全工具增加XDR能力。雖然說這種切入點(diǎn)能夠有機(jī)會選擇檢測和響應(yīng)能力基礎(chǔ)技術(shù)中的佼佼者，它也同樣帶來了一些挑戰(zhàn)。集成是建立XDR架構(gòu)的關(guān)鍵。然而，供應(yīng)商很可能只會專注于他們核心技術(shù)的創(chuàng)新，從而對集成產(chǎn)生負(fù)面影響。何況如果集成能力不是他們的核心競爭力，供應(yīng)商還會花大量的時(shí)間識別交互的工具，再對他們的XDR進(jìn)行深度集成。

開放平臺

采取這個切入點(diǎn)的安全廠商會提供一個專注于集成的平臺，將不同領(lǐng)域的工具與其他安全基礎(chǔ)設(shè)施連接到一起。作為現(xiàn)有安全技術(shù)的連接，包括其他供應(yīng)商宣稱的XDR解決方案，這種方案提供了更為強(qiáng)大的能力。這就要求供應(yīng)商的核心競爭力和專注點(diǎn)在集成以及系統(tǒng)間的數(shù)據(jù)流動上。自身已經(jīng)有一定安全能力，甚至已經(jīng)跨部門有多種最佳解決方案的企業(yè)，能夠通過這種開放的、可延展的架構(gòu)，將XDR供應(yīng)商都不熟悉的產(chǎn)品在內(nèi)的現(xiàn)有工具強(qiáng)有力地集成在一起并進(jìn)行交互。數(shù)據(jù)的采集與輸出會有標(biāo)準(zhǔn)的接口，同時(shí)能在數(shù)小時(shí)內(nèi)建立自定義的連接器來連接新的安全管控能力與部署的工具以應(yīng)對新的威脅。

每種切入點(diǎn)都有優(yōu)勢和劣勢。但是如果將XDR作為一個目標(biāo)而非解決方案，無論從哪種切入點(diǎn)開始實(shí)踐，都需要理解不同供應(yīng)商的聚焦點(diǎn)與核心競爭力、向XDR轉(zhuǎn)換所需要的經(jīng)歷、以及可能存在的偏航情況。只有明白了這點(diǎn)，才能確信自己選擇的供應(yīng)商能夠提供所需的XDR，從而實(shí)現(xiàn)跨基礎(chǔ)設(shè)施、跨所有攻擊途徑的檢測與響應(yīng)能力。

點(diǎn)評

XDR理念的提出給了整體安全新的發(fā)展方向。但是，理念與實(shí)踐之間依然存在距離。技術(shù)的落地與實(shí)踐不僅僅是技術(shù)能力層面的考慮，還有商業(yè)層面的權(quán)衡。XDR三種落地切入點(diǎn)都是基于安全廠商現(xiàn)有能力的角度出發(fā)，結(jié)合自己的商業(yè)需求，提供相對應(yīng)的XDR解決方案;相對的，企業(yè)在選擇XDR解決方案的時(shí)候，也自然需要結(jié)合自身的業(yè)務(wù)，以及相關(guān)XDR廠商的情況，基于不同切入點(diǎn)的利弊，選擇對自己最有利的XDR解決方案。