XDR：经年之后仍令人迷惑

nana 数世咨询

到目前为止，围绕扩展检测与响应（XDR）的讨论已经持续了数年之久，但一个基本问题仍旧留存：我们到底在讨论个什么东西？

令人担忧的是，这依然是个举足轻重的问题。根据企业战略集团（ESG）的研究，62%的安全专业人员宣称“非常熟悉”XDR，相比2020年调查中的仅24%可谓是大幅上升。不得不说情况有所改善，但仍有29%仅仅是有点熟悉、不太熟悉，或者压根儿不熟悉XDR。所以，尽管行业热炒，RSA安全大会上群情高涨，XDR热度飙升，近五分之一的安全专业人员却仍未接收到这一信息。

XDR缺乏通用定义

信息安全人员眼中的XDR到底是什么？这就是有趣的地方了。大部分（62%）宣称“非常熟悉”XDR的受访者表示，XDR是端点检测与响应（EDR）技术的扩展；21%认为XDR是单个技术供应商的产品套件；16%觉得XDR是个集成异构安全技术架构。（比较搞笑的是，“非常熟悉”XDR的受访者里有1%回答“不知道”。）这就说明，调查中的这个“非常熟悉”只是相对的；安全专业人员只是“非常熟悉”他们认为的XDR定义。

深入到潜在部署模式时，情况就更复杂了。宣称“非常熟悉”XDR的受访者中，61%认为XDR将会补充现有安全技术，而37%称XDR有助于将各种安全技术整合进一个通用平台。至于仅“有点熟悉”XDR的安全专业人员，其中58%都认为XDR会补充现有安全技术，而37%觉得XDR有助于将多种安全技术整合进通用平台。于是，似乎可以下结论说XDR将会补充和整合现有技术，但究竟是哪些技术会得到补充，哪些技术会被整合，又都是在什么时间框架内发生的问题依然留存。

而且，似乎是觉得XDR的情况还不够令人困惑，ESG还发现，对XDR的定义和看法也随公司/组织规模不同而各异。如果受访安全专业人员就职于员工规模超过一万人的大企业，被问及XDR的定义时34%的受访安全人员会称XDR是EDR技术的扩展，24%认为XDR是单个技术供应商的产品套件，41%觉得XDR是集成异构安全技术架构。大型公司认为XDR是种架构或许是因为他们已经拥有太多工具和技术，并不想“扔掉和替换”现有投资。他们想要的是胶水，而不是溶剂。

专注安全过程，而不是XDR定义

详尽解析这一数据，我们可以认为：

• XDR并没有什么严格的定义。如老话所言，“萝卜青菜各有所爱”。一些XDR产品从电子邮件安全技术收集数据，一些包含攻击面管理（ASM）之类工具的网络风险遥测，一些围绕EDR技术构建，一些是SIEM的衍生品。尽管存在行业争论和各种教条，XDR却开始像是你认为的或想要的任何东西。没错，情况就是如此复杂而令人迷惑，并且未来也不会有多大改善。一如既往，若想善用XDR，安全专业人员得阐明自身需求、做好调研和遵循“买者自负”的古老建议。

• 定义其实并不重要。正如安全大师布鲁斯·施奈尔（Bruce Schneier）几年前所写的，“安全是个过程，不是产品。”只要信奉这个，围绕XDR定义的争论都是在浪费时间。与其搞清楚XDR属于哪类东西，不如讨论下公司想要达到什么效果。ESG的研究表明，36%的受访企业希望XDR能够扩展和加强混合IT环境的威胁检测，33%的受访企业想要XDR能够改善安全警报的保真度并按优先级排序，29%期望XDR能充当中央安全运营中心，25%憧憬XDR能帮助检测未知威胁。关于XDR的讨论应该围绕如何满足这些需求而展开。

• XDR暴露出更深层次的问题。高达85%的受访企业计划在未来12到18个月里增加其威胁检测与响应技术开支。也就是说，我们当前在用的那些工具和技术是不敷使用的。它们或许过于艰涩难用，或许无法扩展，或许太多噪声，无论如何，总之是不足以应付企业所面对的威胁形势。XDR要么加重困境，要么帮助解决这些问题。供应商和用户都应该基于这一现实考虑XDR。

虽然安全行业仍在热炒XDR，CISO的态度却与众不同。若与CISO探讨威胁检测与响应，他们会把话题转到安全运营中心（SOC）现代化上去。XDR能在SOC现代化中起到什么作用吗？当然有用，只要我们能放下XDR学术教条，搞清楚XDR怎样为SOC带来功能扩展、威胁情报、数据分析和自动化即可。

ESG调研报告《SOC现代化与XDR的作用》
https://www.esg-global.com/research/esg-research-soc-modernization-and-the-role-of-xdr

参考阅读
XDR注定会失败吗？
XDR助力改善安全态势
 AI驱动的XDR解决方案和安全运营服务
 [调研]安全人员想从XDR平台获得什么？