XDR（擴(kuò)展威脅檢測(cè)和響應(yīng)）是近年網(wǎng)絡(luò)安全行業(yè)的熱詞，具體指是企業(yè)現(xiàn)有防御無(wú)法涵蓋范圍廣泛的威脅攻擊媒介時(shí)，所使用的擴(kuò)展方案。

　　簡(jiǎn)而言之，XDR包含至少兩種及以上類(lèi)型的威脅檢測(cè)。因?yàn)槠髽I(yè)所面臨的威脅可能來(lái)自臺(tái)式機(jī)、Web、SaaS應(yīng)用程序、云提供商等，所以需要多個(gè)檢測(cè)功能來(lái)保護(hù)企業(yè)的系統(tǒng)。

　　在安全牛《“窮人”的SOC？XDR面臨三大挑戰(zhàn)》一文中，我們將XDR稱(chēng)為“窮人的SOC”，面對(duì)日益增長(zhǎng)的威脅攻擊面和矢量，對(duì)于那些沒(méi)有或者無(wú)法擁有“滿(mǎn)級(jí)配置”SOC的中小企業(yè)或者小型安全團(tuán)隊(duì)來(lái)說(shuō)，XDR擁有重要價(jià)值。

　　需要注意的是，一些安全廠商提供的安全方案僅覆蓋了幾個(gè)威脅媒介，但他們也稱(chēng)之為XDR。這只是一個(gè)很好的營(yíng)銷(xiāo)術(shù)語(yǔ)，可以掩蓋他們提供的服務(wù)不足。

　　為什么要使用XDR？

　　Gartner將XDR產(chǎn)品定義為平臺(tái)，該平臺(tái)可以自動(dòng)收集和關(guān)聯(lián)來(lái)自多個(gè)組件的數(shù)據(jù)。XDR承諾通過(guò)統(tǒng)一格式的集中式歷史和實(shí)時(shí)事件數(shù)據(jù)，以及可擴(kuò)展的高性能存儲(chǔ)，快速索引的搜索和自動(dòng)化驅(qū)動(dòng)的響應(yīng)，使安全團(tuán)隊(duì)更高效、更有效率。

　　但是，XDR解決方案正在從可能由更多工具組成的多種解決方案集中提取數(shù)據(jù)，并且它們使分析人員面臨大量要分析的威脅數(shù)據(jù)。

　　XDR代表了端點(diǎn)威脅檢測(cè)和響應(yīng)（EDR）解決方案的自然發(fā)展。它尋求提供一個(gè)多檢測(cè)功能的平臺(tái)，其中包括端點(diǎn)保護(hù)、云訪問(wèn)安全代理（CASB）、安全Web網(wǎng)關(guān)（SWG）、安全電子郵件網(wǎng)關(guān)（SEG）、網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵防御系統(tǒng)（NIP）、統(tǒng)一威脅管理（UTM）以及身份和訪問(wèn)管理（IAM）。

　　但是，有些網(wǎng)絡(luò)安全廠商對(duì)于XDR的研發(fā)會(huì)失敗，是因?yàn)樗麄兘?jīng)常會(huì)遺漏一個(gè)關(guān)鍵因素：人。XDR只是一個(gè)工具。為了獲得該工具的任何潛在價(jià)值，企業(yè)需要具備通過(guò)智能分析能對(duì)噪聲中的真實(shí)事件進(jìn)行排序并確定響應(yīng)優(yōu)先級(jí)的人才。沒(méi)有這些人才，使用XDR就等于簡(jiǎn)單地將可能收集到的所有有關(guān)威脅的信息傾倒在一個(gè)大鍋里“亂燉”，同時(shí)繼續(xù)給了攻擊者可乘之機(jī)。

　　XDR與更傳統(tǒng)的安全行業(yè)主打產(chǎn)品，安全信息和事件管理產(chǎn)品（SIEM）相似，為具有多個(gè)不同分析人員和控制臺(tái)的企業(yè)提供了方案。通過(guò)SIEM，企業(yè)期望通過(guò)匯總所有控制臺(tái)并將所有內(nèi)容（包括入侵信息）放在一個(gè)地方來(lái)消除這些低效率的問(wèn)題。因此，SIEM和XDR從本質(zhì)上講是相同的，并且受同一問(wèn)題的困擾：即企業(yè)需要精通這些工具的人員，以從中獲得收益。

　　在解決人才短缺這一問(wèn)題時(shí)，企業(yè)正在逐漸選擇另一個(gè)解決方案：MDR（托管檢測(cè)和響應(yīng)服務(wù)）。這種安全即服務(wù)（SaaS）產(chǎn)品使公司可以訪問(wèn)外部分析師，這些分析師掌握所有XDR功能的專(zhuān)業(yè)知識(shí)，能夠連續(xù)、有效地接收告警事件并確定事件的優(yōu)先級(jí)，從而減輕了內(nèi)部IT團(tuán)隊(duì)的分流負(fù)擔(dān)，并在誤報(bào)事件升級(jí)之前調(diào)查高風(fēng)險(xiǎn)事件，從而減少誤報(bào)，同時(shí)為企業(yè)提供最新的情報(bào)。

　　換句話說(shuō)，MDR可被理解為托管的XDR。因此，企業(yè)的安全團(tuán)隊(duì)成員不必購(gòu)買(mǎi)自己的情報(bào)源，解決方案不只是一種工具。他們每天無(wú)需再處理數(shù)量過(guò)萬(wàn)的警報(bào)，或者遭受頻繁警報(bào)的困擾。他們從這些負(fù)擔(dān)中解脫出來(lái)，可以專(zhuān)注于更大范圍安全戰(zhàn)略計(jì)劃，以改善公司的整體安全狀況。

　　由于具有這些優(yōu)勢(shì)，MDR可以被更廣泛地采用，因?yàn)楝F(xiàn)在有四分之一的企業(yè)正在使用MDR服務(wù)，其中72％的組織將解決攻擊所需的時(shí)間減少了25％到100％。在目前不使用該服務(wù)的公司中，有79％正在評(píng)估或正在考慮采用這種服務(wù)，這些公司目前仍在使用XDR。但是，如前所述，他們也正在嘗試托管服務(wù)，這將幫助企業(yè)安全專(zhuān)業(yè)人才進(jìn)一步發(fā)揮的深度價(jià)值。

　　如果XDR解決方案沒(méi)有足夠的專(zhuān)業(yè)人才，那么它將永遠(yuǎn)只是一種工具。通過(guò)采用托管服務(wù)模型，企業(yè)才可能獲得更多的技術(shù)功能和使之起作用所需的專(zhuān)業(yè)人員。