近日，知名咨詢機構Gartner正式發布了2022安全運營技術成熟度曲線（Hype Cycle），正如業界大多數人所預測的那樣，XDR終于站上了Peak of Inflated Expectations的頂端，成為安全運營體系中最炙手可熱的技術之一，具體如下圖所示：

2022安全運營技術成熟度曲線（Hype Cycle）

一直以來，業界對于XDR技術抱有兩種截然相反的觀點。雖然XDR近年來風頭強勁甚至蓋過了零信任。Gartner也預測到2027年，XDR技術的應用比率將從現在的5%飆升至40%。不過，即便是風頭正盛，依舊有不少安全專家對XDR持否定態度，認為XDR自身存在局限性，這將使其未來的市場化難度非常高。

此次XDR登頂并未讓眾人對“XDR將成為未來安全運營的關鍵技術”的觀點趨于一致，反而進一步激化了彼此之間的分歧，如同粉絲和路人對于流量明星的態度一樣，討論者對于XDR的態度可是涇渭分明：贊成方認為XDR必將引領全新的安全運營體系，是未來不可或缺的關鍵技術；而反對方則認為XDR技術人間不值得，是比SIEM、SOAR更加糟糕的存在，不過是在炒作技術概念而已。

安全專家在LinkedIn上討論

對于XDR技術未來的發展趨勢也是討論的焦點，不同技術、不同背景的安全從業者看到的趨勢大有不同。有意思的是，此次Gartner還導入一個新的運營服務分支——Managed SIEM，于是乎“明年是否會有Managed XDR”成為眾人新的話題點。

在XDR技術登頂的當下，我們決定加入這場熱烈的討論：XDR在安全運營體系中有多大的作用，其未來的發展趨勢又將會是怎樣？若是讀者對此也感興趣，不妨也湊個熱鬧，留下您寶貴的見解。

XDR為什么會這么火？

在回答這個問題之前，我們首先要弄清楚，什么是XDR技術。

2018年，Palo Alto Networks首席技術官Nir Zuk首次提出了XDR（擴展檢測和響應)的概念。2020年，Gartner發布了《頂級安全和風險管理趨勢》報告，XDR被命名為第一大安全趨勢，一時成為業界最熱門的網絡安全技術。

隨后Gartner又連續發布了《擴展檢測和響應（XDR）的創新洞察》、《擴展檢測和響應（XDR）市場指南》兩大核心報告，詳細闡述了XDR的技術架構、核心能力、市場趨勢等，對XDR給予極高的評價。

Gartner給出的XDR定義為：XDR是一種基于SaaS的、綁定于特定供應商的安全威脅檢測和事件響應工具，它將多個安全產品集成到一個統一了所有許可安全組件的內聚安全運營系統中。

而用更通俗的話來說，理想中的XDR技術，其實是安全信息和事件管理（SIEM）、安全編排自動化和響應（SOAR）、端點檢測與響應（EDR）以及網絡流量分析（NTA）等產品綜合起來的結果。其核心部分可分為前段和后端：前端組件包含多種安全工具與傳感器以獲取多點安全能力與多源安全數據，后端組件提供匯總分析的能力，達到關聯分析、編排及自動化響應的效果。

從上述信息中不難看出，XDR實際上就是SIEM的進階版本，這也就意味著XDR的出現的需求側原因，是當下SIEM等解決方案無法滿足企業安全運營體系關聯和分析的需求，產生了大量無效的告警信息，降低了安全運維的效率，導致企業安全運營出現孤島效應。

隨著疫情全球化和企業數字化的加劇，企業數據呈井噴式爆發增長，其數據聯動需求進一步增強，而大量的數據也讓孤島效應更加明顯。

兩相疊加之下，企業迫切需要一款能夠實現將數據采集、集中分析、統一處置、響應編排的安全產品，以此讓安全運營擺脫孤島效應，更重要的是將企業安全運營水平和標準化產品掛鉤，而非依賴不穩定的個人技術水平。

此時，我們再回到“XDR為什么會這么火”這個問題。其底層支撐邏輯是，安全運營體系已經到了必須要發生改變的時候，其日益增長的數據聯動和打破孤島效應的內在需求已經成為共識。

此時，誰能解決這一難題誰就將成為安全運營下一階段的核心要素之一，其未來的增長和市場足以讓資本心動不已。正是在這樣的背景下，XDR概念橫空出世，給出了一個看起來似乎真的能夠實現這一目標的具體路徑。

它不火誰火？

XDR到底有沒有用？

這里需要明確的是，紅不一定就意味著對，且一項技術在走紅的過程中必定會產生泡沫，這是無法避免的情況。

因此，反對方認為XDR技術不過只是安全運營難題的一次嘗試，在資本的助推下而快速走紅，這種表象掩蓋了其自身的局限性，最終只能落得一個勞民傷財，陷入無休止的警報疲勞和低于標準的結果。

那么，XDR技術到底有沒有效果，是假噱頭還是真技術？

眾所周知，SIEM遭到詬病的原因是，對于不同源安全數據的處置能力仍然較弱，其能夠提供的事件響應與可視化也非常有限，相互孤立的安全設備每天產生海量告警，導致安全運營痛苦不堪。

而SOAR雖然對SIEM平臺進行了優化，可以增強安全數據間的聯動效應，并根據事先預置的劇本（Playbook）對于安全事件進行編排，實現自動化響應。但是對于諸多不同源的安全數據，安全團隊仍然需要手動設置行動手冊、定義警報級別與響應措施。

XDR技術的出現似乎可以解決上述這些問題。

XDR的核心作用在于能夠跨越不同數據源與IT架構，集中匯集云、網、端、威脅情報等多源安全數據/工具。通過大數據與人工智能、用戶行為分析等智能分析手段，對安全數據/事件進行關聯分析，還原攻擊路徑，達到對整個攻擊面的全面可視，解決安全孤島的問題。基于動態更新的事件庫與預置處置場景將產出的告警進行自動化編排與分診，實現自動化響應。

因此，XDR技術要比EDR、SIEM、SOAR具備一定的先進性，甚至可以看出是SIEM、EDR、SOAR等技術的整合升級版。換句話說，XDR技術至少要比現有的安全技術更具發展潛力。

概念再好如果無法落地，終將面臨泡沫破碎的結局，那么XDR又該如何落地？

事實上，不論是國內還是海外，XDR技術的落地效果不僅沒有其概念所描述的那么完美，對龐大數據的分析計算能力還需突破，事件生成機制以及事件分析的方法還需要繼續完善并標準化。

此外，在落地時還會給企業帶來新的問題。目前XDR技術落地方式主要有兩種：一是原生XDR解決方案；二是混合XDR解決方案。

原生XDR解決方案最大的優勢是可以最大化保證XDR技術的落地效果，依托安全產品和工具的原生性，完全可以實現云、網、端數據聯動和深入分析，進行全面監控和自動化響應，大大簡化安全運營工作，提升安全運營的效率。

但是其弊端也非常明顯，企業必須要放棄原有的安全架構，轉而采用全新的原生安全架構，并采購某一供應商的原生安全產品。但大部分的安全產品全都來自同一個供應商，對于企業來說這本身就是一件不安全的決策，更別提如此大改需要投入大量的資源，很難在管理層通過。

混合XDR解決方案則不需要對安全架構進行更改，也不需要局限在某一個供應商，但是其效果不如原生XDR解決方案。畢竟，想要讓不同廠商的安全產品和工具存在一定的差異性，實現自動化關聯與響應存在一定的難度。

綜上所述，XDR技術的核心優勢便在于能夠深度集成多源、跨IT架構的所有安全組件，打通各項安全數據與事件，并配合人工智能等前沿分析手段實現關聯分析與自動化響應。在實際落地過程中遠沒有技術概念那般美好，企業需要承擔相應的成本，且還需調低對XDR的潛在期望。

換句話說，XDR技術未來的發展趨勢值得期待，但在現階段還存在一定的概念泡沫，而尋找XDR更具體的落地方式就是在擠出其中的泡沫。

XDR賦能高效運營MSS

XDR技術未來的發展趨勢值得期待，但在現階段還存在一定的概念泡沫，而尋找XDR更具體的落地方式就是在擠出其中的泡沫。

正如上文所說，原生XDR和混合XDR解決方案都存在一定的弊端，依靠現有的技術和條件暫時無法完全解決這些弊端，因此業界也開始將目光轉向“以XDR技術為支撐的MSS運營服務”，嘗試“曲線實踐XDR技術”。

而這兩者之間似乎存在著某種契合。

MSS并不是一個新興的概念，早在20世紀90年代，MSS服務概念就已經在海外誕生。經過二十多年的發展和完善，MSS已經成為企業強化安全能力的重要措施之一，將廠商強大的安全能力持續賦能企業，實現預期的安全效果。

MSS的核心優勢在于，廠商可遠程監控企業安全態勢，持續感知安全風險，并在風險出現的時候及時預警和消除，保障企業自身業務不受影響。這樣既避免了安全人員駐場的負擔，也滿足了企業對于安全的需求。

同時，這也是企業用戶最擔心的地方，僅在線上是否真的能夠實時了解安全形勢，出現問題時又是否可以及時進行響應？

而這恰恰是XDR技術的強項，可以幫助廠商進一步強化MSS的能力。在XDR的賦能下，MSSP可以利用XDR的底層框架以更低的成本提供更智能、高效的安全運營服務。另一方面，XDR方案也可以借助MSSP成熟的管理模式與豐富的專家經驗實現成功落地。

MSS與XDR相結合的趨勢在近年不斷被市場所實踐與驗證。很多XDR提供商將MDR（托管檢測與響應）服務包含在其產品方案內，或者與網絡安全托管服務商MSSP進行合作，為客戶提供7/24小時全天候的監控與管理。

隨著MSS與XDR的進一步結合，供應商服務形態及技術水平的進一步提升，MSS與XDR將分別從技術框架與管理形態兩個維度提升企業安全運營效率。

在疫情持續影響，數字化轉型加速的當下，安全基礎相對薄弱的中小型企業，更容易遭受網絡攻擊，故而對于網絡安全能力的需求更加迫切。在缺乏安全投入和安全團隊的前提下，依托MSS服務快速提升整體安全能力，反而是一個不錯的選擇。

與之不同的是，大型集團企業因為具備完善的安全體系和人員制度，對于MSS服務的需求遠沒有中小企業那么強烈，反而更傾向于在長期的企業信息安全體系的建設過程中逐步落地新技術、新架構。

此時，XDR技術的落地方式因企業體量出現了明顯的變化：中小型企業更傾向于通過MSS來間接加強安全能力，而大型企業則根據自身具體情況，選擇原生XDR或混合XDR解決方案，對于擁有強橫自研能力的大廠，原生XDR解決方案反而更加完美。

XDR技術未來可期

目前國際XDR市場尚處于早期探索期，但即便如此，和現有的安全技術相比，XDR也已經呈現出較為明顯的優勢。

埃森哲曾對XDR與行業其他安全運營工具的效果進行調研分析，結果顯示，XDR產品在各個維度的表現均完全領先于行業平均水平，其平均威脅檢測周期小于1分鐘，平均威脅響應周期小于10分鐘，遠高于同類安全工具的效果。

更為關鍵的是，XDR技術還有廣闊的提升空間，隨著安全運營中的產品、工具高度集合，在多源數據的集成與聯動分析能力、關鍵事件自動化識別與響應能力等方面將會更強，數據孤島問題有望得到解決。

這要求XDR必須持續迭代智能化、自動化檢測與響應技術，以AI自動化操作代替安全人員，實現自動收集、解析數據，并進行綜合分析和自動化處置。可以預見的是，未來自動化與智能化將會成為XDR的核心指標，也具備了可實現的可能性。

同時，原生XDR解決方案正在向云原生快速轉變，也讓XDR落地變的更加容易。云環境是一個天然的集成點，可以滿足XDR集中式部署的需求，安全組件與應用程序借此擺脫與物理資源/設備的緊密捆綁，虛擬化的部署進一步強化了安全組件間的彈性與互操作性，也更容易實現數據間的聯動分析與處置。

混合XDR解決方案也有相應的進步。隨著越來越多的安全廠商紛紛抱團成立XDR聯盟，彼此之間通過技術融合來克服，不同廠商的安全產品之間數據無法互通的弊端，以此提升產品工具的聯動效率，實現數據的深入分析以及自動化決策和響應。而當混合XDR解決方案的效果凸顯后，還會進一步倒推更多的安全廠商加入XDR聯盟，由此形成良性循環。

由此可見，雖然XDR技術當下落地依舊存在一定的問題和弊端，但是業界已經在尋求可實現的路徑，并且已經產生一些可預期的效果。

隨著網絡安全形勢日漸復雜，安全運營的底層支撐邏輯將會更加堅挺，并成為推動XDR技術快速進化的核心動力。

正因為如此，XDR技術未來可期。