XDR（擴展威脅檢測和響應）是近年網(wǎng)絡安全行業(yè)的熱詞，具體指是企業(yè)現(xiàn)有防御無法涵蓋范圍廣泛的威脅攻擊媒介時，所使用的擴展方案。

　　簡而言之，XDR包含至少兩種及以上類型的威脅檢測。因為企業(yè)所面臨的威脅可能來自臺式機、Web、SaaS應用程序、云提供商等，所以需要多個檢測功能來保護企業(yè)的系統(tǒng)。

　　在安全?！丁案F人”的SOC？XDR面臨三大挑戰(zhàn)》一文中，我們將XDR稱為“窮人的SOC”，面對日益增長的威脅攻擊面和矢量，對于那些沒有或者無法擁有“滿級配置”SOC的中小企業(yè)或者小型安全團隊來說，XDR擁有重要價值。

　　需要注意的是，一些安全廠商提供的安全方案僅覆蓋了幾個威脅媒介，但他們也稱之為XDR。這只是一個很好的營銷術(shù)語，可以掩蓋他們提供的服務不足。

　　為什么要使用XDR？

　　Gartner將XDR產(chǎn)品定義為平臺，該平臺可以自動收集和關(guān)聯(lián)來自多個組件的數(shù)據(jù)。XDR承諾通過統(tǒng)一格式的集中式歷史和實時事件數(shù)據(jù)，以及可擴展的高性能存儲，快速索引的搜索和自動化驅(qū)動的響應，使安全團隊更高效、更有效率。

　　但是，XDR解決方案正在從可能由更多工具組成的多種解決方案集中提取數(shù)據(jù)，并且它們使分析人員面臨大量要分析的威脅數(shù)據(jù)。

　　XDR代表了端點威脅檢測和響應（EDR）解決方案的自然發(fā)展。它尋求提供一個多檢測功能的平臺，其中包括端點保護、云訪問安全代理（CASB）、安全Web網(wǎng)關(guān)（SWG）、安全電子郵件網(wǎng)關(guān)（SEG）、網(wǎng)絡防火墻、網(wǎng)絡入侵防御系統(tǒng)（NIP）、統(tǒng)一威脅管理（UTM）以及身份和訪問管理（IAM）。

　　但是，有些網(wǎng)絡安全廠商對于XDR的研發(fā)會失敗，是因為他們經(jīng)常會遺漏一個關(guān)鍵因素：人。XDR只是一個工具。為了獲得該工具的任何潛在價值，企業(yè)需要具備通過智能分析能對噪聲中的真實事件進行排序并確定響應優(yōu)先級的人才。沒有這些人才，使用XDR就等于簡單地將可能收集到的所有有關(guān)威脅的信息傾倒在一個大鍋里“亂燉”，同時繼續(xù)給了攻擊者可乘之機。

　　XDR與更傳統(tǒng)的安全行業(yè)主打產(chǎn)品，安全信息和事件管理產(chǎn)品（SIEM）相似，為具有多個不同分析人員和控制臺的企業(yè)提供了方案。通過SIEM，企業(yè)期望通過匯總所有控制臺并將所有內(nèi)容（包括入侵信息）放在一個地方來消除這些低效率的問題。因此，SIEM和XDR從本質(zhì)上講是相同的，并且受同一問題的困擾：即企業(yè)需要精通這些工具的人員，以從中獲得收益。

　　在解決人才短缺這一問題時，企業(yè)正在逐漸選擇另一個解決方案：MDR（托管檢測和響應服務）。這種安全即服務（SaaS）產(chǎn)品使公司可以訪問外部分析師，這些分析師掌握所有XDR功能的專業(yè)知識，能夠連續(xù)、有效地接收告警事件并確定事件的優(yōu)先級，從而減輕了內(nèi)部IT團隊的分流負擔，并在誤報事件升級之前調(diào)查高風險事件，從而減少誤報，同時為企業(yè)提供最新的情報。

　　換句話說，MDR可被理解為托管的XDR。因此，企業(yè)的安全團隊成員不必購買自己的情報源，解決方案不只是一種工具。他們每天無需再處理數(shù)量過萬的警報，或者遭受頻繁警報的困擾。他們從這些負擔中解脫出來，可以專注于更大范圍安全戰(zhàn)略計劃，以改善公司的整體安全狀況。

　　由于具有這些優(yōu)勢，MDR可以被更廣泛地采用，因為現(xiàn)在有四分之一的企業(yè)正在使用MDR服務，其中72％的組織將解決攻擊所需的時間減少了25％到100％。在目前不使用該服務的公司中，有79％正在評估或正在考慮采用這種服務，這些公司目前仍在使用XDR。但是，如前所述，他們也正在嘗試托管服務，這將幫助企業(yè)安全專業(yè)人才進一步發(fā)揮的深度價值。

　　如果XDR解決方案沒有足夠的專業(yè)人才，那么它將永遠只是一種工具。通過采用托管服務模型，企業(yè)才可能獲得更多的技術(shù)功能和使之起作用所需的專業(yè)人員。