今年你关注 XDR 了吗？谷歌云安全和七家公司成立 XDR 联盟

 8 月 3 日，Exabeam 联合其他七家网络安全公司宣布成立 XDR 联盟。XDR 是一种新兴的安全产品集成套件，全称是 Extended Detection and Response（扩展检测和响应），其目标在于构建一个集合多种安全产品的框架，建立关于威胁检测、调查和响应的服务流程。XDR 联盟成员皆为网络安全供应商，分别是：Google Cloud Security、Mimecast、Netskope、SentinelOne、Armis、Expel 和 ExtraHop。根据联盟内成员此前在媒体上的发言，成立 XDR 联盟主要是为了应对不容乐观的网络安全形势，包括“隐藏 AI 和自动攻击”。

新生的 XDR 联盟

对于新出现的 XDR 联盟，其官网有一条说明代表了 XDR 和联盟的本质：“所有成员必须属于以下类别之一：拥有 XDR 解决方案或至少提供 XDR 技术堆栈的一个‘组件’。”

这说明其关键在于提供一套新的网络安全解决方案，能够跨越混合型 IT 架构，这种方案将囊括联盟内成员企业的主要产品方向，提供“一步到位”的网络安全平台。举个例子，成员 Mimecast 的主要业务方向是邮件安全，Netskope 主要业务方向是云、Web、私有应用的安全。当八家企业聚拢在一起，才形成全栈式的 XDR 服务。

作为联盟创始人，Exabeam 首席战略官 Gorka Sadowski 在媒体采访中表示：“我们正处于一个非常分散的行业转折点，需要我们供应商社区中的所有人齐心协力加强组织的网络安全管理平台。”

他称联盟成员是“网络安全领域最有远见的人士”，正在构建一个开放的 XDR 框架。

谷歌云副总裁兼云安全总经理 Sunil Potti 在媒体采访中表示，行业现在需要一个统一的平台，来高效存储、分析所有安全数据，这样才能充分检测新威胁。

在 XDR 的官网上，联盟也发布了一份 XDR 三层模型，这三层分别是：

• 数据源与控制点（Data Sources & Control Points）

这一层主要由一流解决方案组成；

• 引擎层（Engine）

这一层是 XDR 平台的 TDIR （TDIR 全名为：threat detection, investigation, and response）基础；

• 内容层（Content）

这一层包括规范的、预先打包的内容，可推动、丰富 TDIR 工作流程。

XDR 并非一个全新的概念，从 2020 年末至今，XDR 不断地出现在大众的视线里，热度越来越高，Cisco、Fortinet、McAfee、Microsoft、Palo Alto Network 都推出了自己的 XDR 产品，这些公司的产品线较长，往往能以一己之力组装出一个完整的 XDR 解决方案，无需借助其他 SaaS 厂商的力量。

但到了 2021 年初，ESG 咨询公司发布了一份关于 XDR 的研究报告，报告却显示，现阶段 XDR 仍有许多问题：

• 市场认知度差：报告显示，只有 24%的受访者表示熟悉 XDR，剩余 76% 表示稍有了解或完全不了解；

• 如何与 SIEM（安全信息与事件管理） 保持协同：与大部分技术革新一样，如何与旧体系协作是个大问题，大多数公司需要的是增强 SIEM，而不是替换 SIEM；

• 数据管理问题：受访者希望 XDR 能在底层的安全数据管道方面做得更好一些；

• XDR 即服务：受访者希望 XDR 框架内的安全企业能够迅速转变服务模式。

而这些问题，相信也是促使 XDR 联盟成立的重要原因。

从 SIEM 到 XDR，关于网络安全的一个行业痛点

说 XDR 发展火热，是有 Gartner 的研究结果做参考的。

在 Gartner 发布的 2020 《Top Security and Risk Management Trends》报告中，在终端安全成熟度曲线、安全运维成熟度曲线中，XDR 皆出现在“创新触发”（Innovation Trigger）阶段。

虽然尚属早期，XDR 已被普遍认作为 SIEM 和 SOAR （全称为：Security Operations, Analytics, and Reporting）的可选替代方案。

单纯从技术角度，XDR 并没有什么出现技术进步，它更重要的意义是改变了安全产品的服务模式。举个例子，从前使用 SIEM 的厂商，要自己对接各类安全产品，做定制化的对接和开发，非常复杂；但用了 XDR ，所有的安全组件都被一键打包好了。

这值得网络安全圈兴师动众的研究、理解、实践，甚至围绕 XDR 成立相关联盟吗？毕竟，很多企业曾斥巨资建设 SIEM 。

如今，我们再次查看了 Gartner 发布的 《2021 年八大安全和风险管理趋势》，其中有一点或许间接解答了这个问题：

趋势五：安全厂商整合（Security Vendor Consolidation）

Gartner 2020 年首席信息调查官效力调查发现，78%的首席信息安全官从其网络安全厂商组合中获得的工具达到 16 个以上；12%达到 46 个以上。企业机构中数量众多的安全产品增加了复杂性、集成成本和人员需求。在 Gartner 最近的一项调查中，80%的 IT 组织表示，他们计划在未来三年内整合厂商。

Firstbrook 先生认为：“首席信息安全官希望整合他们必须使用的安全产品和厂商数量。通过减少安全解决方案的数量，他们可以更加轻松地正确配置这些解决方案并对警报作出响应，进而改善安全风险态势。但购买一个功能广泛的平台可能会带来成本和部署时间方面的不利影响。我们建议关注长期总拥有成本（TCO），以此作为衡量成功的标准。

在技术没有出现飞跃性进步的情况下，部署和维护成本却在飞快增加，这或许已经引起了业内整体的反思。从 SIEM 到 XDR，甚至到 DevSecOps，大家始终在强调无论是从产品层面，还是组织层面，都要用合力替代点状发力。

XDR 或许就是这种趋势下，相对具象的行业变化。未来 XDR 联盟是否能在一定程度对安全行业的发展方向施加影响，我们拭目以待。