XDR是安全运营的最佳解决方案吗？

XDR是Gartner今年的《Top Security and Risk Management Trends》报告中提到的第一项技术和解决方案。在代表趋势的Hype Cycle中，有两个重点的Hype Cycle都提到了XDR这个关键技术。

图1：终端安全成熟度曲线2020

图2：安全运维成熟度曲线2020

同时，国外各大厂商也在不断的宣传自己的XDR解决方案，包括Palo Alto Networks、Trend Micro、Cisco、McAfee等。

此外，在今年Gartner线上的Summit在主题演讲《Top Trends in Security and Risk Management》中的八大趋势中，第一个也是XDR，作为SIEM和SOAR的替代方案出现在主流市场中。

图3:《Top Trends in Security and Risk

 Management》中介绍的Top8趋势

XDR演进路线及其定义

XDR是一种新技术，它的演进路线又是如何呢？提到XDR，不得不先提及一下EDR的发展路径。

图4：EDR的发展路径

EDR首先脱胎于EPP这种传统的安全产品，最终在使用机器学习、行为分析、威胁狩猎等领域极大加强了终端上的安全能力。EDR之前的核心能力还在于杀毒能力，加入了机器学习后作为高级的杀毒能力，再到后面变成了EDR，着重于检测和响应能力，将来会发展到响应能力的自动化，包括了威胁情报，以及SOAR的对接等。

图5：终端保护工具的演进

其核心能力金字塔跟CWPP类似，可以看出来EDR的重点区分点在于行为分析、异常检测和响应以及威胁狩猎。底层的能力都是传统EPP的范围，包括了杀毒、内存保护、应用控制等功能。

图6：终端控制措施金字塔

从名字的演进来看，以及厂商的解决方案来看，XDR跟EDR的关系最近，同时终端类型的安全产品也是在事件响应中最重要的产品。但是XDR是一种解决方案型的产品，在安全运营体系中加入了一些有实际安全价值的产品中，以此来提高整体的检测和响应效率。

XDR在Gartner的定义是：SaaS类型的安全威胁检测和响应平台，集成了大量的产品，并统一了相关license收费，具体产品功能视厂商而有所不同。XDR产品主要有三大价值：1. 直接集成安全产品开箱即用；2. 有统一的安全数据归一化和中心化可供分析和查询；3.由于有多种产品的配合和协调，因此可以改进检测的敏感性；4.多产品联动处理改变单一产品的响应过程。XDR产品的最小集合需要有威胁情报的持续更新，以及需要数据的归一化和中心化处理以便分析和关联。标准化的解决方案需要SaaS的存储，图数据库的支持分析，集成相关的安全产品，包括EDR、防火墙、SEG、CASB、CWPP等等。

如下图所示，XDR的概念架构主要集中在终端客户的保护形态上，当然也可以在数据中心保护，IAM或者是SASE的保护上。从下图可以看出，终端客户的保护上需要最上层的一些安全产品，然后是数据的归一化，以及数据湖再到数据关联，从而形成事件响应、自动化、工作流以及API的相关价值。当然在数据中心、身份安全以及SD-WAN的场景下也可以使用类似的架构来保证其特殊场景的安全。

图7：XDR概念架构

XDR的价值与风险

讲到XDR的价值，最直接就是两个：一个就是能够提高安全运营的效率和价值，增强检测和响应的能力，可以通过集成多种安全产品并统一进行安全理解；另一个就是降低安全运营的复杂度。一个统一的解决方案，可以统一在一个产品界面进行安全问题的解决，而不需要每个产品进行单独的对接调整，降低了安全运营的对接成本和使用成本。

讲到这个价值，自然而然就会想到SIEM这种类型的产品，他们之间的区别又是什么？XDR跟SIEM最大的区别在于集成模式的部署上以及目的上。XDR可能自带一个统一界面以供直接集成相关的安全产品，而SIEM更多的需要一些单点的产品与其进行定制的对接。XDR更多的关注与威胁的检测和响应，而SIEM更多的在于报警的集中处理和存储以及合规的考虑。

XDR的厂商本身会拥有相关的安全研究团队，针对于每一种安全攻防技术和产品检测会有深入的研究。然后再集成相关的安全产品来解决这些安全问题，可以使用SaaS交付甚至可以使用云原生的架构。但是目前XDR的解决方案都是一个安全厂商整体提供的，一般来说都是有比较长的产品线的厂商，从中选取比较有安全运营价值的安全产品形成整体解决方案，包括Cisco、 Fortinet、 McAfee、Microsoft、 Palo Alto Networks、 Trend Micro、 Sophos、 FireEye 和Symantec等厂商。

对于每个厂商来说，要真正实现XDR解决方案所宣称的价值都是巨大的挑战。所以在客户自行进行对接时，比如使用SIEM来对接每个单点的安全产品，也会出现更大的问题，比如要协调沟通各个厂商。由于每个厂商并不熟悉其他厂商的产品，所以很难做相关的关联分析和联动。鉴于缺乏数据，对于数据缺乏理解，没有归一化，不同产品的数据库也不一致，这就很难打通不同厂商的不同产品，甚至打通一个厂商都有挑战，因此，建设一个有效的XDR解决方案还是比较困难的。

另外，对于企业来说，安全运营在以下两个方面始终面临着挑战：一是员工的招聘、培养和留存；另一个是安全运营体系的在威胁检测和响应上的高效。同时这两个问题交织在一起很难解决。

XDR的核心优势体现在三个层面：1. 改进保护、检测和响应的能力；2. 提高安全运营员工的效率；3. 降低获得有效检测和响应能力的总体拥有成本（TCO）。

在改进保护、检测和响应能力上，可以使用共享的威胁情报联动对每个安全组件进行检测，比如网络和终端的安全组件；也可以将一些低级别的告警合并形成一个高级别的事件；同时通过关联分析和自动化报警确认发现报警；对警告进行相关的分类分级。

在提高员工的生产率上，可以将大量的告警转换为少量需要人工调查处理的事件；提供所有安全组件的能力，让安全调查更加快捷方便；提供更多的响应方式，包括网络和终端等方面的；对于重复的工作可以做到自动化；可以减少对Tier 1人员的培训，只需要相关的工作流和管理流程；提供相对高质量的检测方法，并不需要太多的调整。

XDR解决方案本身的特质决定了这种产品的开箱即用的特性，所以客户一般只在乎是否能够实现实际价值，在交付中并不用考虑跟SIEM产品一样要对接各种各样的安全产品，然后还要考虑整体UseCase的设计以及关联分析的深度问题。

一般来说，安全市场都是在每个细分行业选择最好的安全产品，而不是选择这种方案型的套装。一个安全产品成熟了，市面上安全产品的领导者就会成为这个市场的定义者。安全行业发展到目前，基础架构的产品趋于成熟，一部分厂商已经拥有了相关的产品组合，所以集成这些安全产品变成了水到渠成的事情。同时利用大数据和机器学习又可以很好地提升安全能力。

在每个品类中采购最好的产品的思路会导致安全产品太多，但是很少有集成和联动。安全报警会过多，经常会无人值守，也没人经常性地去调整策略或者测试其有效性，升级一般也比较滞后。传统的企业的结合点在SIEM上，但是SIEM的优势在于收集日志，但是很少能改进检测的效率和真实性，也很少用到上下文分析和相关安全产品的关联分析。所以，对于企业来说，开发SIEM的Use Case以及深度和丰富的集成异构环境的产品是很难的事情。

XDR这类解决方案型产品就是应对这些挑战而出现的。XDR降低了对接各个厂商的成本，同时就可以开箱即用一些现成的安全事件剧本；也可以让一些务实的企业不用采购每个细分行业的最佳产品，而是直接打包一个产品来提高整体的安全运营效率。

XDR的核心能力要求有两个：一个是使用大数据技术，可以进行数据的收集、归一化、索引、搜索等等；另外一个能力使用多种检测技术，将每个安全技术检测点进行结合放大，把报警归结为事件。

XDR这类解决方案的产品目前还处于初期阶段，后续的发展演进路线可能出现风险。比如事件管理的基础问题就是新的事件源和数据量不断增加，所以会导致更复杂的分析、集成、检测和响应，XDR只能改进这个状况，并不能解决这个问题。XDR可能会导致对单一厂商过度依赖，会导致厂商锁定，也有可能牺牲某些组件的能力，而不能选择某个品类中最好的厂商。XDR可以提高效率，但是有可能牺牲一些能力。虽然集成了一些安全组件和能力，并不见得可以解决某些深度的安全问题。XDR的厂商一般只会提供自家的产品，但是产品是否有效就不见得，XDR可能变成一个集成方案而不是真正有价值的产品。提供XDR的厂商一般都是大厂商，一般来说演进速度要慢于创业公司，尤其是某个品类中的最好的公司。为了保证领先性，还需要通过收购或者集成的方式来保证竞争力。XDR厂商同样有一些盲点，需要集成其他安全厂商的产品，所以要考虑盲点的问题，来解决安全场景100%覆盖。一些新兴的SIEM或者SOAR厂商在集成某个门类中最优秀的产品来形成解决方案，这对XDR产品有极大的冲击。这种叫做OTT的安全能力，比如SOAR的一些新兴厂商就使用这种杠杆来实现这种效果。XDR的采购周期一般会比较长，可能企业安全负责人的任职周期都没有采购周期长，这可能会影响XDR产品的成功。

厂商的解决方案

下文将介绍厂商的一些评估标准。

Hunters.AI

Hunters.AI在介绍自身时是说开放的XDR解决方案，并能够利用丰富的终端、网络和云端的数据进行自动的威胁狩猎。这是一家专业的XDR厂商，重点在于强调其威胁狩猎能力。

图8：Hunters.AI XDR产品界面

这张产品截图说明了很多问题，最上面Raw Events主要是指收集的终端、网络、云端以及身份认证的数据，Leads条目可以理解为一些潜在的线索，Hot Leads是比较重要的线索也是经过AI算法或者做了优先级排序得到的相关数据，Hot Stories可以按照事件的时间、地点、路径、上下文等相关信息把威胁进行串接，形成一个完整的安全故事。这个产品最核心的能力就是自动化威胁狩猎发现所有其他安全产品无法发现的安全问题。产品实现分为四步走：第一步收集相关的数据，包括终端数据、防火墙数据、云平台数据、身份认证数据、甚至是wifi数据，可以通过各种方式包括syslog或者API的方式进行对接。第二步做自动化的调查分析以及威胁狩猎，使用威胁情报，以及TTP的相关行为，主要基于MITRE ATT&CK框架进行分析，使用机器学习，最终也对事件进行分级排序。第三步做相关的关联分析以及可视化表示。根据相关威胁的关联性，包括时间维度、位置、威胁上下文、IP等信息进行聚合，并利用图数据库来表示威胁的前因后果，可以按照完整的“安全故事”呈现出来。最后一步就是将分析的结果对接给SIEM或者SOAR这些产品，可以进一步归总或者进行相关的响应。

Palo Alto Networks

PA的XDR解决方案也集成了网络、终端和云端的各种数据，基于存储和分析的能力，对外提供威胁发现和狩猎，以及自动化调查和威胁响应。

图9：XDR打破了检测与响应的传统竖井

XDR中的X被PA解读为各种数据来源。根据PA多年的积累以及与所收购的各类公司的良好集成，PA的XDR解决方案包括了SIEM、UEBA、NTA和EDR等产品，能够很好的集成在一个解决方案中，打破了之前的每个产品都是一个竖井的情况。按照自适应架构最终形成了闭环，从保护、检测、调查、响应四个阶段都能有相关的数据、功能得到实现。

图10：XDR不断进行自适应调整，增强防御能力

根据PA对XDR的理解，XDR常见的使用场景包括：威胁分级、威胁调查和威胁狩猎。在威胁分级方面，又包含5个步骤的动作：第一步是评估，包括外部报警、集成在SIEM中的报警、也包括内部的报警，主要是一些安全产品的报警，去确定是否是潜在的威胁行为；第二步是优先级排序，对这些报警进行自动分组进而变成安全事件，对于这些事件进行安全优先级排序，以便于安全分析师进行进一步分析；第三步分析，分析师可以进行可视化攻击链分析，这点是核心能力表现。第四步信息富化处理，根据攻击链的需要，需要更多的上下文以及不同设备的数据，所以需要更多的相关攻击信息上下文，可以做到根本原因分析；最后一步是验证，根据上述所有步骤的自动化，可以极大减少分析人员的手动行为，分析人员只用在信息富化的环节参与，可以将大量的事件投入在如何响应的环节，考虑如何缓解威胁等。

图11：使用XDR实现攻击链可视化

为了减少手动的调查威胁的事件，XDR可以加速这个过程，比如查询报警、查询威胁情报、查看相关网络相关细节等。如果在传统的方式下，需要手工的收集，在脑子中将这些信息进行聚合，并且要花费大量的时间。XDR可以自动化这些过程，并且分析出根本原因，并且进行攻击的时间线绘制。

威胁狩猎也是XDR重点解决的高级威胁问题。威胁狩猎根据内容的驱动不同分为：基于情报、基于知识、基于经验、基于合规、基于机器学习这五大类威胁狩猎能力。威胁狩猎一般都是针对于高级威胁而进行的人工动作，在这里可以自动化的通过产品进行分析。

Trend Micro

趋势科技也较早在全球范围内推出了XDR的解决方案，其口号是“看到你之前错过的”。根据收集自身相关产品的相关安全事件，包括了云工作负载、终端、邮件、网络的信息，收集到所谓的数据湖中，在此之上进行自动化的检测、威胁狩猎、根本原因分析等，可以将这些结果数据对接给SIEM或者SOAR，同时也可以搭配相关的安全服务以便于此种类型的产品体系的良好运营。

图12：趋势科技的XDR服务

其解决方案的重要突出特点是脱离仅仅一个视角，进行关联的检测和集成的调查和响应。XDR将分析的结果报警发送给SIEM，如果SIEM对这种高可信度的报警需要进一步的分析，需要在XDR的分析界面进一步调查，并采取相关动作。同时可以利用趋势科技的威胁情报资源对XDR进行赋能。很多的检测技术是参照ATT&CK的攻击战术和技术来进行检测技术的提升和覆盖。

Cynet

Cynet是一家从事EDR的以色列公司，同时也有其XDR的方案，其XDR的方案会与SOAR和MDR的服务一块表述，统一叫做自动化泄露保护平台。从下图可以看出其XDR的解决方案有EDR、UBA、NTA和蜜罐，基本的产品矩阵跟上述类似，唯一的区别就是用户层面的保护和蜜罐。

图13：Cynet自动化泄露保护平台

根据这些产品组合和统一化分析，Cynet可以做到的也是根本原因分析以及攻击时间轴表示。

图14：Cynet XDR产品界面

其XDR带来的价值包括提高威胁的可见性和精确性，综合相关威胁的指标，有些威胁可能由大变小，有些威胁可能由小变大；同时可以降低很多威胁噪音。另一方面的价值在于提高效率，自动化降低误报的几率，让人员充分关注真正的威胁，从而让人员的效率得到了极大地提升。还有一方面就是降低成本，Cynet提供的服务都是免费的，同时其产品综合了一揽子安全产品，比单点采购要便宜一些。最后一个角度是，对于安全运营人员来说就是睡个好觉，这主要是通过7*24的服务体现的。

还有很多其他公司的XDR方案也集成了其自身的安全产品，进行了相关的威胁的检测和响应的组合。

总结

XDR作为新的解决方案出现也就是近一两年的事情，但是在国外其已经得到了主流客户和主流咨询机构的认可，这也侧面印证一些其自身价值。XDR这种解决方案主要是面临实际的威胁检测和响应而存在，之前EDR仅仅解决了终端上的检测响应，但是其他层面解决的较少，所以才出现了XDR这种综合的威胁检测和响应平台。这种解决方案的价值主要存在于，可以打破壁垒，可以将安全产品天然融合在一起，可以产生1+1>2的效果，将终端、流量、认证、邮件等相关安全产品的报警集成在一起，可以关联分析。同时可以降低实际的采购成本和拥有成本。还有重要的一点就是可以提高个人和组织的综合效率。

这些特点都是针对于SIEM这种产品进行对标表述的，可能SIEM实际的中心地位会受到XDR这种产品的挑战，SIEM的部署成本极高，需要对接每个安全产品，同时进行关联分析，需要了解每个产品的报警属性，变相增加了产品拥有成本，也让这种每种都采购最好的安全产品集成的采购成本居高不下。同时SIEM形成的SOC，也会分Tier1、Tier2、分析师等角色，存在大量报警需要人员进行确认，需要安全运营人员花费大量时间处理简单而繁琐的事件甚至是误报。

其实短期内不存在XDR代替SIEM的情况，大部分XDR的解决方案都将其报警对接给SIEM，然后SIEM接收到的其他报警也可以通过XDR进行进一步分析。两者目前还是配合状态，SIEM还是发挥其报警归并、日志存储等基本核心功能。

XDR也有其自身的局限性，比如一般来说都是单一厂商提供的解决方案，基本都是全家桶性质的，这个要做好区分，必须能够实际带来威胁检测和响应的特殊场景和效率的，更进一步说必须要提高安全运营的效率和效果。也可能会有供应商锁定的情况，同时采购周期一般也会比较长，需要有远见并有长期规划的单位才适合。

XDR在国外已经有一些供应商提供了相关的解决方案，可以作为一些参考，其核心解决方案的产品也有一定的共性。攻击链可视、根本原因分析以及威胁狩猎都是此类解决方案的核心场景。XDR这种解决方案在国内的落地可能还有一段的距离，但是可能是未来安全运营的一种思路和解决方案，但是不是最佳解决方案，具体要看实际情况。