信息化觀察網(wǎng)

在《關(guān)于XDR，你必須了解的十件事》一文中，我們給XDR（擴展檢測與響應(yīng)）的定義是：

XDR是一種涵蓋混合IT架構(gòu)的安全產(chǎn)品集成套件，負責(zé)威脅預(yù)防、檢測和響應(yīng)的互操作和協(xié)調(diào)。XDR將控制點、安全遙測、分析和操作統(tǒng)一到一個企業(yè)安全系統(tǒng)中，提高中小型企業(yè)和部分行業(yè)用戶威脅檢測和響應(yīng)的速度。

從某種角度來看，XDR就是“窮人”的SOC運營套件。

聽起來是很不錯的想法，但是XDR能在競爭激烈的網(wǎng)絡(luò)安全市場開辟出一片新戰(zhàn)場嗎？根據(jù)ESG的研究，市場對XDR的需求是明確的：

·76％的安全專業(yè)人員說，如今的威脅檢測和響應(yīng)要比兩年前困難得多。因為網(wǎng)絡(luò)威脅的數(shù)量、復(fù)雜性，網(wǎng)絡(luò)安全工作負載的增加以及攻擊面的增長。網(wǎng)絡(luò)專業(yè)人員還經(jīng)常抱怨他們?nèi)匀灰揽渴謩恿鞒毯痛罅康狞c工具來進行威脅檢測和響應(yīng)。

·為了解決這些問題，82％的組織正在構(gòu)建將多個產(chǎn)品集成在一起的安全技術(shù)體系結(jié)構(gòu)。此外，有77％的公司正在積極整合（精簡）與其開展業(yè)務(wù)的安全技術(shù)供應(yīng)商的數(shù)量。

·80％的企業(yè)表示，他們會愿意將大部分安全技術(shù)預(yù)算交給一家企業(yè)級網(wǎng)絡(luò)安全技術(shù)供應(yīng)商，前提是該公司擁有滿足其要求的所有技術(shù)產(chǎn)品組合。

從理論上講，XDR可以解決這些問題，并且可以像定制西裝一樣滿足威脅檢測和響應(yīng)需求。你可以將XDR視為一種現(xiàn)代的“即插即用”的SOC，具備集成控件、標準化遙測、提供高級分析并自動執(zhí)行響應(yīng)。用術(shù)語來說，XDR能夠符合安全操作和分析平臺架構(gòu)（SOAPA）的要求。

像Broadcom（Symantec）、Check Point、Cisco、FireEye、McAfee、Microsoft、Palo Alto Networks、趨勢科技和VMware這樣的重量級企業(yè)，都在加緊將安全控制融合在一起，以提供某種形式的XDR。同樣，對于像CrowdStrike、Cybereason和SentinelOne之類的EDR廠商，它們從端點開始并與其他伙伴合作滲透XDR市場。

從理論上講，XDR是一個“對的產(chǎn)品”，隨著時間的推移可能會成功。但是對于企業(yè)用戶和廠商來說，在跳上XDR的花車前，還需要清楚XDR面臨的三大挑戰(zhàn)：

01

部署挑戰(zhàn)

當(dāng)今的安全技術(shù)基礎(chǔ)設(shè)施大多是各種各樣的“同類最佳”點工具。例如，許多企業(yè)和組織使用多個端點安全軟件產(chǎn)品、防火墻、IDP等等。這些“萬國工具”千差萬別，使用不同的預(yù)算購買，并且由不同的個人和團隊操作。XDR的終極價值主張是用一整套集成的專有產(chǎn)品套件代替工具大雜燴。但幾乎沒有企業(yè)愿意通過一次“刪除和替換”所有安全工具而跳入XDR的“大坑”。因此，XDR供應(yīng)商需要使CISO相信XDR的戰(zhàn)略優(yōu)勢，然后與他們合作進行分階段的部署項目。XDR供應(yīng)商還必須說服安全人員為了網(wǎng)絡(luò)安全技術(shù)的和諧愿景，放棄他們眼下最喜歡的點工具。

所有這些表明，XDR供應(yīng)商必須從交易銷售轉(zhuǎn)變?yōu)閼?zhàn)略銷售。他們需要通過提供與行業(yè)解決方案、企業(yè)安全體系結(jié)構(gòu)和軟件定制有關(guān)的知識和技能來支持客戶。事實上，XDR對于企業(yè)客戶和安全廠商來說都是一次重大的文化變革！

02

SOC的挑戰(zhàn)

XDR假定其目標客戶要么沒有SOC技術(shù)（即SIEM、SOAR、威脅情報平臺等），要么這些系統(tǒng)已經(jīng)可以替換。對于沒有SOC積累和包袱的中型市場和小型企業(yè)而言，這不是個問題，但對于大型企業(yè)而言，就是個大問題。實際上，許多大型企業(yè)和組織不僅在SOC技術(shù)、自定義服務(wù)和員工培訓(xùn)上花費了上千萬元，而且還擁有完全獨立的SOC技術(shù)集成項目，這些項目與諸如終端安全軟件和防火墻之類的基礎(chǔ)安全控件無關(guān)。

對于此類客戶，XDR供應(yīng)商將不得不解決如何互操作和增強現(xiàn)有SOC技術(shù)和流程的問題，而不是試圖“顛覆”SOC。對于構(gòu)成XDR市場主體的大部分安全控制供應(yīng)商來說，SOC并不是一塊好啃的骨頭。

03

MDR/MSSP的挑戰(zhàn)

隨著威脅檢測和響應(yīng)變得越來越困難，許多企業(yè)需要幫助，但不一定是通過直接購買技術(shù)產(chǎn)品。ESG的研究表明，目前有51％的企業(yè)使用托管的檢測和響應(yīng)（MDR）服務(wù)，而27％的組織正在積極采用MDR服務(wù)。一些企業(yè)將MDR服務(wù)提供商看作是接管一切的外包商，也有一些企業(yè)在MDR服務(wù)基礎(chǔ)上去增強自身的安全團隊和技能無論哪種方式，MDR提供者都將影響或承擔(dān)威脅檢測和響應(yīng)技術(shù)決策。

顯然，XDR供應(yīng)商需要通過提供本地托管服務(wù)或使用已有的MDR/MSSP服務(wù)進行響應(yīng)。

面對上述三大挑戰(zhàn)，XDR供應(yīng)商要想在市場競爭中脫穎而出需要重點關(guān)注以下四個方面：

·一個開放的體系結(jié)構(gòu)，可以與現(xiàn)有的安全控件進行互操作。

·強大的項目管理、安全架構(gòu)和部署服務(wù)。

·可管理服務(wù)。

·可以立即提高現(xiàn)有SOC技術(shù)和流程效率的解決方案。

任何XDR供應(yīng)商如果能在以上四個方面表現(xiàn)出色，將有很大幾率成為XDR市場的下一代領(lǐng)導(dǎo)者。