近日，知名咨詢機(jī)構(gòu)Gartner正式發(fā)布了2022安全運(yùn)營(yíng)技術(shù)成熟度曲線（Hype Cycle），正如業(yè)界大多數(shù)人所預(yù)測(cè)的那樣，XDR終于站上了Peak of Inflated Expectations的頂端，成為安全運(yùn)營(yíng)體系中最炙手可熱的技術(shù)之一，具體如下圖所示：

2022安全運(yùn)營(yíng)技術(shù)成熟度曲線（Hype Cycle）

一直以來，業(yè)界對(duì)于XDR技術(shù)抱有兩種截然相反的觀點(diǎn)。雖然XDR近年來風(fēng)頭強(qiáng)勁甚至蓋過了零信任。Gartner也預(yù)測(cè)到2027年，XDR技術(shù)的應(yīng)用比率將從現(xiàn)在的5%飆升至40%。不過，即便是風(fēng)頭正盛，依舊有不少安全專家對(duì)XDR持否定態(tài)度，認(rèn)為XDR自身存在局限性，這將使其未來的市場(chǎng)化難度非常高。

此次XDR登頂并未讓眾人對(duì)“XDR將成為未來安全運(yùn)營(yíng)的關(guān)鍵技術(shù)”的觀點(diǎn)趨于一致，反而進(jìn)一步激化了彼此之間的分歧，如同粉絲和路人對(duì)于流量明星的態(tài)度一樣，討論者對(duì)于XDR的態(tài)度可是涇渭分明：贊成方認(rèn)為XDR必將引領(lǐng)全新的安全運(yùn)營(yíng)體系，是未來不可或缺的關(guān)鍵技術(shù)；而反對(duì)方則認(rèn)為XDR技術(shù)人間不值得，是比SIEM、SOAR更加糟糕的存在，不過是在炒作技術(shù)概念而已。

安全專家在LinkedIn上討論

對(duì)于XDR技術(shù)未來的發(fā)展趨勢(shì)也是討論的焦點(diǎn)，不同技術(shù)、不同背景的安全從業(yè)者看到的趨勢(shì)大有不同。有意思的是，此次Gartner還導(dǎo)入一個(gè)新的運(yùn)營(yíng)服務(wù)分支——Managed SIEM，于是乎“明年是否會(huì)有Managed XDR”成為眾人新的話題點(diǎn)。

在XDR技術(shù)登頂?shù)漠?dāng)下，我們決定加入這場(chǎng)熱烈的討論：XDR在安全運(yùn)營(yíng)體系中有多大的作用，其未來的發(fā)展趨勢(shì)又將會(huì)是怎樣？若是讀者對(duì)此也感興趣，不妨也湊個(gè)熱鬧，留下您寶貴的見解。

XDR為什么會(huì)這么火？

在回答這個(gè)問題之前，我們首先要弄清楚，什么是XDR技術(shù)。

2018年，Palo Alto Networks首席技術(shù)官Nir Zuk首次提出了XDR（擴(kuò)展檢測(cè)和響應(yīng))的概念。2020年，Gartner發(fā)布了《頂級(jí)安全和風(fēng)險(xiǎn)管理趨勢(shì)》報(bào)告，XDR被命名為第一大安全趨勢(shì)，一時(shí)成為業(yè)界最熱門的網(wǎng)絡(luò)安全技術(shù)。

隨后Gartner又連續(xù)發(fā)布了《擴(kuò)展檢測(cè)和響應(yīng)（XDR）的創(chuàng)新洞察》、《擴(kuò)展檢測(cè)和響應(yīng)（XDR）市場(chǎng)指南》兩大核心報(bào)告，詳細(xì)闡述了XDR的技術(shù)架構(gòu)、核心能力、市場(chǎng)趨勢(shì)等，對(duì)XDR給予極高的評(píng)價(jià)。

Gartner給出的XDR定義為：XDR是一種基于SaaS的、綁定于特定供應(yīng)商的安全威脅檢測(cè)和事件響應(yīng)工具，它將多個(gè)安全產(chǎn)品集成到一個(gè)統(tǒng)一了所有許可安全組件的內(nèi)聚安全運(yùn)營(yíng)系統(tǒng)中。

而用更通俗的話來說，理想中的XDR技術(shù)，其實(shí)是安全信息和事件管理（SIEM）、安全編排自動(dòng)化和響應(yīng)（SOAR）、端點(diǎn)檢測(cè)與響應(yīng)（EDR）以及網(wǎng)絡(luò)流量分析（NTA）等產(chǎn)品綜合起來的結(jié)果。其核心部分可分為前段和后端：前端組件包含多種安全工具與傳感器以獲取多點(diǎn)安全能力與多源安全數(shù)據(jù)，后端組件提供匯總分析的能力，達(dá)到關(guān)聯(lián)分析、編排及自動(dòng)化響應(yīng)的效果。

從上述信息中不難看出，XDR實(shí)際上就是SIEM的進(jìn)階版本，這也就意味著XDR的出現(xiàn)的需求側(cè)原因，是當(dāng)下SIEM等解決方案無法滿足企業(yè)安全運(yùn)營(yíng)體系關(guān)聯(lián)和分析的需求，產(chǎn)生了大量無效的告警信息，降低了安全運(yùn)維的效率，導(dǎo)致企業(yè)安全運(yùn)營(yíng)出現(xiàn)孤島效應(yīng)。

隨著疫情全球化和企業(yè)數(shù)字化的加劇，企業(yè)數(shù)據(jù)呈井噴式爆發(fā)增長(zhǎng)，其數(shù)據(jù)聯(lián)動(dòng)需求進(jìn)一步增強(qiáng)，而大量的數(shù)據(jù)也讓孤島效應(yīng)更加明顯。

兩相疊加之下，企業(yè)迫切需要一款能夠?qū)崿F(xiàn)將數(shù)據(jù)采集、集中分析、統(tǒng)一處置、響應(yīng)編排的安全產(chǎn)品，以此讓安全運(yùn)營(yíng)擺脫孤島效應(yīng)，更重要的是將企業(yè)安全運(yùn)營(yíng)水平和標(biāo)準(zhǔn)化產(chǎn)品掛鉤，而非依賴不穩(wěn)定的個(gè)人技術(shù)水平。

此時(shí)，我們?cè)倩氐健癤DR為什么會(huì)這么火”這個(gè)問題。其底層支撐邏輯是，安全運(yùn)營(yíng)體系已經(jīng)到了必須要發(fā)生改變的時(shí)候，其日益增長(zhǎng)的數(shù)據(jù)聯(lián)動(dòng)和打破孤島效應(yīng)的內(nèi)在需求已經(jīng)成為共識(shí)。

此時(shí)，誰能解決這一難題誰就將成為安全運(yùn)營(yíng)下一階段的核心要素之一，其未來的增長(zhǎng)和市場(chǎng)足以讓資本心動(dòng)不已。正是在這樣的背景下，XDR概念橫空出世，給出了一個(gè)看起來似乎真的能夠?qū)崿F(xiàn)這一目標(biāo)的具體路徑。

它不火誰火？

XDR到底有沒有用？

這里需要明確的是，紅不一定就意味著對(duì)，且一項(xiàng)技術(shù)在走紅的過程中必定會(huì)產(chǎn)生泡沫，這是無法避免的情況。

因此，反對(duì)方認(rèn)為XDR技術(shù)不過只是安全運(yùn)營(yíng)難題的一次嘗試，在資本的助推下而快速走紅，這種表象掩蓋了其自身的局限性，最終只能落得一個(gè)勞民傷財(cái)，陷入無休止的警報(bào)疲勞和低于標(biāo)準(zhǔn)的結(jié)果。

那么，XDR技術(shù)到底有沒有效果，是假噱頭還是真技術(shù)？

眾所周知，SIEM遭到詬病的原因是，對(duì)于不同源安全數(shù)據(jù)的處置能力仍然較弱，其能夠提供的事件響應(yīng)與可視化也非常有限，相互孤立的安全設(shè)備每天產(chǎn)生海量告警，導(dǎo)致安全運(yùn)營(yíng)痛苦不堪。

而SOAR雖然對(duì)SIEM平臺(tái)進(jìn)行了優(yōu)化，可以增強(qiáng)安全數(shù)據(jù)間的聯(lián)動(dòng)效應(yīng)，并根據(jù)事先預(yù)置的劇本（Playbook）對(duì)于安全事件進(jìn)行編排，實(shí)現(xiàn)自動(dòng)化響應(yīng)。但是對(duì)于諸多不同源的安全數(shù)據(jù)，安全團(tuán)隊(duì)仍然需要手動(dòng)設(shè)置行動(dòng)手冊(cè)、定義警報(bào)級(jí)別與響應(yīng)措施。

XDR技術(shù)的出現(xiàn)似乎可以解決上述這些問題。

XDR的核心作用在于能夠跨越不同數(shù)據(jù)源與IT架構(gòu)，集中匯集云、網(wǎng)、端、威脅情報(bào)等多源安全數(shù)據(jù)/工具。通過大數(shù)據(jù)與人工智能、用戶行為分析等智能分析手段，對(duì)安全數(shù)據(jù)/事件進(jìn)行關(guān)聯(lián)分析，還原攻擊路徑，達(dá)到對(duì)整個(gè)攻擊面的全面可視，解決安全孤島的問題?；趧?dòng)態(tài)更新的事件庫與預(yù)置處置場(chǎng)景將產(chǎn)出的告警進(jìn)行自動(dòng)化編排與分診，實(shí)現(xiàn)自動(dòng)化響應(yīng)。

因此，XDR技術(shù)要比EDR、SIEM、SOAR具備一定的先進(jìn)性，甚至可以看出是SIEM、EDR、SOAR等技術(shù)的整合升級(jí)版。換句話說，XDR技術(shù)至少要比現(xiàn)有的安全技術(shù)更具發(fā)展?jié)摿Α?/p>

概念再好如果無法落地，終將面臨泡沫破碎的結(jié)局，那么XDR又該如何落地？

事實(shí)上，不論是國(guó)內(nèi)還是海外，XDR技術(shù)的落地效果不僅沒有其概念所描述的那么完美，對(duì)龐大數(shù)據(jù)的分析計(jì)算能力還需突破，事件生成機(jī)制以及事件分析的方法還需要繼續(xù)完善并標(biāo)準(zhǔn)化。

此外，在落地時(shí)還會(huì)給企業(yè)帶來新的問題。目前XDR技術(shù)落地方式主要有兩種：一是原生XDR解決方案；二是混合XDR解決方案。

原生XDR解決方案最大的優(yōu)勢(shì)是可以最大化保證XDR技術(shù)的落地效果，依托安全產(chǎn)品和工具的原生性，完全可以實(shí)現(xiàn)云、網(wǎng)、端數(shù)據(jù)聯(lián)動(dòng)和深入分析，進(jìn)行全面監(jiān)控和自動(dòng)化響應(yīng)，大大簡(jiǎn)化安全運(yùn)營(yíng)工作，提升安全運(yùn)營(yíng)的效率。

但是其弊端也非常明顯，企業(yè)必須要放棄原有的安全架構(gòu)，轉(zhuǎn)而采用全新的原生安全架構(gòu)，并采購某一供應(yīng)商的原生安全產(chǎn)品。但大部分的安全產(chǎn)品全都來自同一個(gè)供應(yīng)商，對(duì)于企業(yè)來說這本身就是一件不安全的決策，更別提如此大改需要投入大量的資源，很難在管理層通過。

混合XDR解決方案則不需要對(duì)安全架構(gòu)進(jìn)行更改，也不需要局限在某一個(gè)供應(yīng)商，但是其效果不如原生XDR解決方案。畢竟，想要讓不同廠商的安全產(chǎn)品和工具存在一定的差異性，實(shí)現(xiàn)自動(dòng)化關(guān)聯(lián)與響應(yīng)存在一定的難度。

綜上所述，XDR技術(shù)的核心優(yōu)勢(shì)便在于能夠深度集成多源、跨IT架構(gòu)的所有安全組件，打通各項(xiàng)安全數(shù)據(jù)與事件，并配合人工智能等前沿分析手段實(shí)現(xiàn)關(guān)聯(lián)分析與自動(dòng)化響應(yīng)。在實(shí)際落地過程中遠(yuǎn)沒有技術(shù)概念那般美好，企業(yè)需要承擔(dān)相應(yīng)的成本，且還需調(diào)低對(duì)XDR的潛在期望。

換句話說，XDR技術(shù)未來的發(fā)展趨勢(shì)值得期待，但在現(xiàn)階段還存在一定的概念泡沫，而尋找XDR更具體的落地方式就是在擠出其中的泡沫。

XDR賦能高效運(yùn)營(yíng)MSS

正如上文所說，原生XDR和混合XDR解決方案都存在一定的弊端，依靠現(xiàn)有的技術(shù)和條件暫時(shí)無法完全解決這些弊端，因此業(yè)界也開始將目光轉(zhuǎn)向“以XDR技術(shù)為支撐的MSS運(yùn)營(yíng)服務(wù)”，嘗試“曲線實(shí)踐XDR技術(shù)”。

而這兩者之間似乎存在著某種契合。

MSS并不是一個(gè)新興的概念，早在20世紀(jì)90年代，MSS服務(wù)概念就已經(jīng)在海外誕生。經(jīng)過二十多年的發(fā)展和完善，MSS已經(jīng)成為企業(yè)強(qiáng)化安全能力的重要措施之一，將廠商強(qiáng)大的安全能力持續(xù)賦能企業(yè)，實(shí)現(xiàn)預(yù)期的安全效果。

MSS的核心優(yōu)勢(shì)在于，廠商可遠(yuǎn)程監(jiān)控企業(yè)安全態(tài)勢(shì)，持續(xù)感知安全風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)出現(xiàn)的時(shí)候及時(shí)預(yù)警和消除，保障企業(yè)自身業(yè)務(wù)不受影響。這樣既避免了安全人員駐場(chǎng)的負(fù)擔(dān)，也滿足了企業(yè)對(duì)于安全的需求。

同時(shí)，這也是企業(yè)用戶最擔(dān)心的地方，僅在線上是否真的能夠?qū)崟r(shí)了解安全形勢(shì)，出現(xiàn)問題時(shí)又是否可以及時(shí)進(jìn)行響應(yīng)？

而這恰恰是XDR技術(shù)的強(qiáng)項(xiàng)，可以幫助廠商進(jìn)一步強(qiáng)化MSS的能力。在XDR的賦能下，MSSP可以利用XDR的底層框架以更低的成本提供更智能、高效的安全運(yùn)營(yíng)服務(wù)。另一方面，XDR方案也可以借助MSSP成熟的管理模式與豐富的專家經(jīng)驗(yàn)實(shí)現(xiàn)成功落地。

MSS與XDR相結(jié)合的趨勢(shì)在近年不斷被市場(chǎng)所實(shí)踐與驗(yàn)證。很多XDR提供商將MDR（托管檢測(cè)與響應(yīng)）服務(wù)包含在其產(chǎn)品方案內(nèi)，或者與網(wǎng)絡(luò)安全托管服務(wù)商MSSP進(jìn)行合作，為客戶提供7/24小時(shí)全天候的監(jiān)控與管理。

隨著MSS與XDR的進(jìn)一步結(jié)合，供應(yīng)商服務(wù)形態(tài)及技術(shù)水平的進(jìn)一步提升，MSS與XDR將分別從技術(shù)框架與管理形態(tài)兩個(gè)維度提升企業(yè)安全運(yùn)營(yíng)效率。

在疫情持續(xù)影響，數(shù)字化轉(zhuǎn)型加速的當(dāng)下，安全基礎(chǔ)相對(duì)薄弱的中小型企業(yè)，更容易遭受網(wǎng)絡(luò)攻擊，故而對(duì)于網(wǎng)絡(luò)安全能力的需求更加迫切。在缺乏安全投入和安全團(tuán)隊(duì)的前提下，依托MSS服務(wù)快速提升整體安全能力，反而是一個(gè)不錯(cuò)的選擇。

與之不同的是，大型集團(tuán)企業(yè)因?yàn)榫邆渫晟频陌踩w系和人員制度，對(duì)于MSS服務(wù)的需求遠(yuǎn)沒有中小企業(yè)那么強(qiáng)烈，反而更傾向于在長(zhǎng)期的企業(yè)信息安全體系的建設(shè)過程中逐步落地新技術(shù)、新架構(gòu)。

此時(shí)，XDR技術(shù)的落地方式因企業(yè)體量出現(xiàn)了明顯的變化：中小型企業(yè)更傾向于通過MSS來間接加強(qiáng)安全能力，而大型企業(yè)則根據(jù)自身具體情況，選擇原生XDR或混合XDR解決方案，對(duì)于擁有強(qiáng)橫自研能力的大廠，原生XDR解決方案反而更加完美。

XDR技術(shù)未來可期

目前國(guó)際XDR市場(chǎng)尚處于早期探索期，但即便如此，和現(xiàn)有的安全技術(shù)相比，XDR也已經(jīng)呈現(xiàn)出較為明顯的優(yōu)勢(shì)。

埃森哲曾對(duì)XDR與行業(yè)其他安全運(yùn)營(yíng)工具的效果進(jìn)行調(diào)研分析，結(jié)果顯示，XDR產(chǎn)品在各個(gè)維度的表現(xiàn)均完全領(lǐng)先于行業(yè)平均水平，其平均威脅檢測(cè)周期小于1分鐘，平均威脅響應(yīng)周期小于10分鐘，遠(yuǎn)高于同類安全工具的效果。

更為關(guān)鍵的是，XDR技術(shù)還有廣闊的提升空間，隨著安全運(yùn)營(yíng)中的產(chǎn)品、工具高度集合，在多源數(shù)據(jù)的集成與聯(lián)動(dòng)分析能力、關(guān)鍵事件自動(dòng)化識(shí)別與響應(yīng)能力等方面將會(huì)更強(qiáng)，數(shù)據(jù)孤島問題有望得到解決。

這要求XDR必須持續(xù)迭代智能化、自動(dòng)化檢測(cè)與響應(yīng)技術(shù)，以AI自動(dòng)化操作代替安全人員，實(shí)現(xiàn)自動(dòng)收集、解析數(shù)據(jù)，并進(jìn)行綜合分析和自動(dòng)化處置。可以預(yù)見的是，未來自動(dòng)化與智能化將會(huì)成為XDR的核心指標(biāo)，也具備了可實(shí)現(xiàn)的可能性。

同時(shí)，原生XDR解決方案正在向云原生快速轉(zhuǎn)變，也讓XDR落地變的更加容易。云環(huán)境是一個(gè)天然的集成點(diǎn)，可以滿足XDR集中式部署的需求，安全組件與應(yīng)用程序借此擺脫與物理資源/設(shè)備的緊密捆綁，虛擬化的部署進(jìn)一步強(qiáng)化了安全組件間的彈性與互操作性，也更容易實(shí)現(xiàn)數(shù)據(jù)間的聯(lián)動(dòng)分析與處置。

混合XDR解決方案也有相應(yīng)的進(jìn)步。隨著越來越多的安全廠商紛紛抱團(tuán)成立XDR聯(lián)盟，彼此之間通過技術(shù)融合來克服，不同廠商的安全產(chǎn)品之間數(shù)據(jù)無法互通的弊端，以此提升產(chǎn)品工具的聯(lián)動(dòng)效率，實(shí)現(xiàn)數(shù)據(jù)的深入分析以及自動(dòng)化決策和響應(yīng)。而當(dāng)混合XDR解決方案的效果凸顯后，還會(huì)進(jìn)一步倒推更多的安全廠商加入XDR聯(lián)盟，由此形成良性循環(huán)。

由此可見，雖然XDR技術(shù)當(dāng)下落地依舊存在一定的問題和弊端，但是業(yè)界已經(jīng)在尋求可實(shí)現(xiàn)的路徑，并且已經(jīng)產(chǎn)生一些可預(yù)期的效果。

隨著網(wǎng)絡(luò)安全形勢(shì)日漸復(fù)雜，安全運(yùn)營(yíng)的底層支撐邏輯將會(huì)更加堅(jiān)挺，并成為推動(dòng)XDR技術(shù)快速進(jìn)化的核心動(dòng)力。

正因?yàn)槿绱?，XDR技術(shù)未來可期。