别人说的：

XDR加戏太多 画饼容易，落地却不容易 成熟还需要假以时日

22.03.17-两大收购案拉开XDR市场整合大幕

谷歌和SentinelOne都希望通过收购为客户提供XDR或类似XDR的架构和方案。

短短一周之内，XDR市场的两笔大规模收购拉开了XDR行业整合的大幕。继上周谷歌宣布达成协议以54亿美元收购身份安全公司Mandiant后，本周三SentinelOne又宣布以6.165亿美元收购Attivo Networks。
这两次收购的共同点是，谷歌和SentinelOne都希望通过收购为客户提供XDR或类似XDR的架构和方案（SentinelOne收购Attivo为了支持其Singularity XDR平台）。
虽然不同供应商的XDR方案的功能可能有所不同，但XDR的基本概念是集成和关联来自众多安全工具以及来自不同环境的数据，以帮助客户确定威胁的优先级。
根据Gartner最近的一份报告，虽然目前只有不到5%的组织使用XDR，但预计到2027年这一比例将飙升至40%。
Gartner研究副总裁兼分析师Firstbrook指出：“XDR为如何整合企业购买的各种安全组件中的所有威胁情报，做出适当的事件响应，并且帮助人员快速理解这些警报？”这一关键问题提供了答案。
换而言之，XDR能帮助安全团队“快速解决警报并继续前进”。他说：“因为现在，大多数企业都忙于处理过量的安全警报。”
据报道，在谷歌介入之前，微软曾想收购Mandiant，被谷歌“截胡”后，微软也许会考虑购买SecureWorks或Reliaquest或eSentire等厂商来启动自己的XDR计划。

有备而来

谷歌豪赌XDR

转向采用类似XDR的架构似乎是谷歌对Mandiant产生兴趣的因素之一，也是谷歌在一月份收购Siemplify的原因。
Mandiant首席执行官Kevin Mandia在上周的新闻发布会上表示：“我认为Mandiant和Google Cloud之间的这种合并使我们能够成为安全团队仰赖的各种安全控制背后的大脑。”Mandia指出，此举将把Mandiant的威胁情报和服务与Google Chronicle安全分析服务和Siemplify结合起来。
Chronicle和Siemplify强调“安全技术之间的互操作性，二者都与市场上的众多防火墙公司合作，也与所有端点安全公司合作，处理从不同应用程序生成的日志。”
同时，随着今天SentinelOne宣布收购Mandiant，业界对XDR的关注度进一步提升。SentinelOne在新闻稿中表示，对Attivo的收购将于7月31日前完成。将扩展Singularity XDR平台的功能“以应对跨端点、云工作负载、物联网设备、移动设备和数据的基于身份的威胁”。

XDR的短板

身份威胁检测和响应

值得注意的是，Gartner最近预测的一个安全趋势——身份威胁检测和响应（ITDR），也是SentinelOne计划收购Attivo的重要因素。身份威胁检测和响应是Gartner创造的概念，指的是帮助保护身份验证系统的工具和最佳实践的集合。
SentinelOne首席运营官Nicholas Warner在新闻稿中表示，身份是“新的边界”。“身份威胁检测和响应是整体XDR和零信任策略中缺失的环节。”
Forrester分析师Jeff Pollard和Allie Mellen在上周的博客文章中指出，谷歌对Mandiant的收购只是一个开始，谷歌的收购优先级列表中的下一个目标可能是端点检测和响应(EDR)解决方案。
分析师在博客中写道：“鉴于GCP（谷歌云平台）需要EDR来获得构成其XDR产品的技术的完全所有权，它的下一个收购目标可能包括一个EDR工具。”“GCP希望成为顶级网络安全参与者，其收购行动符合其目标。”
更广泛地说，收购Mandiant“将对整个网络安全领域产生重大的连锁反应，因为亚马逊和微软现在将被迫并购并进一步扩大其云平台。”Wedbush Securities股票研究董事总经理丹尼尔艾夫斯在上周给投资者的一份报告中写道。
Wedbush认为，包括Varonis、Qualys、Tenable、Rapid7、CyberArk、SailPoint和Ping Identity在内的网络安全供应商都可能是谷歌的收购对象，因为这些供应商“专注于保护云工作负载免受攻击”。

21.07.18-Gartner XDR研究报告

概述

扩展检测和响应描述了一个统一的安全事件检测和响应平台，它自动收集和关联来自多个专有安全组件的数据。安全和风险管理领导者应考虑 XDR 解决方案的风险和优势。

主要发现

安全和风险管理领导者正在努力应对来自不同供应商的太多安全工具，而几乎没有数据集成或事件响应。扩展检测和响应( XDR) 产品开始在通过警报和事件关联以及内置自动化提高安全运营生产力方面具有真正的价值。XDR产品可能能够降低安全配置和事件响应的复杂性，以提供比孤立的同类最佳组件更好的安全结果。
XDR 产品具有巨大的前景，但也存在供应商锁定等风险。XDR 市场还不成熟，不同供应商的产品之间的功能差异很大。

分析

新兴的 XDR 产品将多种安全产品整合为一个面向主流市场的有凝聚力的安全事件检测和响应平台。XDR产品是一个自然演进的端点检测和响应（EDR）平台，这已经成为一个主要的事件响应工具的安全团队。
XDR 产品的主要价值主张是通过将更多安全组件集成到一个统一的整体中来提高安全运营生产力并增强检测和响应能力，该整体提供多个遥测流，提供多种检测形式的选项并同时启用多种响应方法.
XDR 产品的另一个好处是它们可以提供传统上是复杂的安全运营能力，让没有资源来定制更多单点解决方案的安全团队更容易获得这些能力。
XDR 在功能上类似于安全信息和事件管理 (SIEM) 以及安全编排、自动化和响应(SOAR ) 工具；但是，XDR 的区别在于其产品在部署时的集成级别，以及对威胁检测和事件响应用例的关注。
尽管 SIEM 市场已经成熟，但许多组织尚未部署 SIEM 工具、实施失败或不完整，或者仅将 SIEM 用于日志存储和合规性。
XDR 产品旨在解决 SIEM 产品的主要挑战，例如有效检测和响应针对性攻击，包括对行为分析、威胁情报、行为分析的原生支持和分析。
SIEM 供应商通常没有与 XDR 供应商相同级别的威胁检测和研究分析实验室。此外，虽然 SIEM 市场现在可以作为 SaaS 交付，但大多数 XDR 产品都是使用新的云原生架构和服务开发的，使它们成为现有SIEM工具的新兴替代品或补充（请参阅“安全信息和事件魔力象限”管理” ）。但是，XDR 并不能替代所有 SIEM 用例，例如通用日志存储或合规性。

XDR 系统的三个主要要求是：

1. 标准化数据的集中化，但主要只关注 XDR 供应商的生态系统
2. 相关安全数据和警报到事件
3. 作为事件响应或安全策略设置的一部分，可以更改单个安全产品的状态的集中式事件响应功能

最初的 XDR 重点主要是保护最终用户及其使用的应用程序和数据（参见下图 1）。但是，XDR 概念可以扩展到数据中心保护、身份和访问管理以及安全访问服务边缘产品组合。

目前，XDR 工具主要由安全解决方案提供商销售，这些提供商拥有由自己的 SaaS 交付的 XDR 管理统一的基础设施保护产品组合。作为云交付，XDR 也有可能从新的分析用例中受益。这些 XDR 产品的范围仅限于供应商自己的产品和技术。早期的 XDR 供应商候选者包括Bitdefender、Cisco、Fortinet、Fidelis Cybersecurity、McAfee、Microsoft、Palo Alto Networks、Trend Micro 、Sophos、FireEye 和赛门铁克。这些供应商已经对底层数据中的关系有了专有理解，并且可以提供私有 API 以比尝试集成来自多个供应商的产品更有效地启用自动化操作。这些 XDR 产品的一大吸引力在于，由于开箱即用的集成和跨产品的预调检测机制，可以快速实现价值。
随着行业的成熟，SIEM 和 SOAR 工具以及新进入者可能会声称拥有 XDR 功能。例如，Hunters.AI 是一个早期的 XDR 产品，它集成了多个产品。但是，为拥有所有组件并可以本地获取数据的供应商构建有用的 XDR 的复杂性说明了独立供应商在跨多个供应商集成时将面临的挑战。今天的现实是，在这个级别上几乎没有通用的数据集成标准，或者可以跨多个供应商的产品实现自动化的广泛 API 。
但是，构建有效的 XDR 比看起来更具挑战性。缺乏数据收集、通用数据格式和 API，以及建立在传统数据库结构上的产品，使得即使在同一供应商的产品组合中也难以集成安全工具。旧产品的开发决策并不总是能很好地扩展或与云原生工具集成。营销炒作可以在工具成熟之前领先于市场，而供应商可能无法交付。
尽管存在这些挑战，下面列出了更多挑战，但主流市场更高效、更有效的安全运营的总体回报使 XDR 成为一种很有前途的企业安全新方法。所有安全组织面临的两个最大挑战是雇用和留住技术娴熟的安全运营人员，以及建立可以自信地配置和保持防御态势以及提供快速检测和响应能力的安全运营能力。主流组织经常被这两个问题的交叉性所淹没。
安全市场一直在同类最佳组件与套件组合之间不断摆动。随着安全产品的成熟，同类最佳的产品功能往往会成为更广泛的平台产品的功能。目前，安全基础设施保护的许多主要组成部分正在达到功能成熟度，许多供应商提供了广泛的产品组合。整合它们是很自然的下一步。同时，云大数据存储和分析以及机器学习功能正在支持更集中的安全方法。
同类最佳的安全产品采购导致供应商和产品太多，而几乎没有集成或协调。安全警报通常过多、不协调并且经常无人看管。配置没有积极维护或测试有效性，安全产品升级太少。大多数企业的传统集成点一直是 SIEM 工具，它们擅长收集日志，但在大多数实施中很少提高检测保真度，使用上下文指标组合多个警报或提供完整的事件响应能力. 组织很难在异构环境中开发 SIEM 手册并构建更深入、更丰富的集成。较新的 SOAR 工具旨在提供跨多个组件的集成，但由于缺乏可用的 API、数据合并问题以及与可有效启动响应活动的检测活动断开的工作流而陷入困境。
XDR 产品旨在缓解这些挑战。他们将多个供应商特定的安全产品整合到一个有凝聚力的安全事件检测和响应平台中，主流市场无需进行大量集成工作即可访问该平台。
XDR 产品将吸引没有资源将最佳安全产品组合集成到 SIEM 或 SOAR工具中的务实的企业安全购买者。
XDR 系统的核心要求是以通用数据格式集中收集历史和实时事件数据。事件数据必须可用于在可扩展和高性能存储中无限期地进行快速索引搜索。另一个要求是使用多种检测技术将来自多个产品的微弱信号组合成恶意活动的有力证据。此外，XDR 旨在通过自动化实现更快、更高效的响应能力。最后，XDR 有可能通过使其更易于维护来改善安全状况。

XDR 的主要优势应该有三方面：

• 提高保护、检测和响应能力。
• 提高整体运营安全人员的生产力。
• 降低总拥有成本以创建有效的检测和响应能力。

  理想情况下，XDR 可以通过以下方式提高保护能力：

  在组件安全产品之间立即共享本地威胁情报，以有效阻止所有组件之间的威胁。此外，在多种不同的检测方法（例如，网络和端点）中利用外部获取的威胁情报。将来自多个组件的微弱信号组合成恶意意图的更强信号。通过自动关联和确认警报来减少错过的警报。集成相关数据以实现更快、更准确的警报分类。通过加权指导提供集中配置和强化功能，以帮助确定活动的优先级。

  XDR 可以通过以下方式潜在地提高运营安全人员的生产力：

  将大量警报转换为数量少得多的需要手动调查的事件提供集成的事件响应选项，这些选项具有来自所有安全组件的必要上下文，以快速解决警报提供超出基础设施控制点（即网络和端点）的响应选项为重复性任务提供自动化能力通过提供跨安全组件部分的通用管理和工作流体验，减少培训和升级第 1 层支持提供可用的和高质量的检测内容，几乎不需要调整一些 XDR 专注于集成基础设施安全工具，例如将网络和端点安全结合在一起。但是，更高级的 XDR 通过与身份、数据保护和应用程序访问进行集成，将重点放在堆栈上。这些安全服务更接近事件的商业价值。例如，端点拥有敏感数据或对关键 IT 或业务应用程序的特权访问的知识丰富了事件响应。
  目前，新兴的 XDR 产品主要侧重于防止针对端点、数据和应用程序的恶意攻击。

  XDR 系统中包含的主要安全服务类型通常包括：

  端点保护平台 (EPP) 和端点检测和响应 (EDR) 产品云访问安全代理 (CASB)安全 Web 网关 (SWG)安全电子邮件网关 (SEG)网络防火墙、网络入侵防御系统 (NIPS) 和统一威胁管理产品身份和访问管理产品数据丢失防护产品用户和实体行为分析网络流量分析全球威胁情报XDR 概念可以扩展到数据中心保护，包括以下工具：
  云工作负载保护平台云安全态势管理产品网络应用防火墙由于 XDR 的目标是提高检测准确性和安全运营中心 (SOC) 的生产力，因此最初的目标是集成能够将常见杀伤链中的事件响应活动情境化并告知事件响应活动的产品。将不常参与同一攻击杀伤链的安全产品组合起来，价值会降低。
  XDR 的定义
  XDR 是一种基于 SaaS 的、特定于供应商的安全威胁检测和事件响应工具，它原生地将多个安全产品集成到一个统一的安全运营系统中，该系统统一了所有许可的安全组件。
  XDR 系统的四个主要功能是：
  1. 成为开箱即用的通用安全产品集合
  2. 集中和规范化中央存储库中的数据以进行分析和查询
  3. 多种安全产品协同工作，提高检测灵敏度
  4. 作为恢复过程的一部分，相关的事件响应能力可以改变单个安全产品的状态
  XDR 是特定于供应商的威胁检测和事件响应工具，可将多个安全产品统一到一个安全运营系统中。 主要功能包括安全分析、警报关联、事件响应和事件响应手册自动化。
  至少，XDR 工具需要不断更新有关攻击者工具策略和技术的情报。 他们还需要数据规范化和其他形式的预处理来支持分析和关联。 它们通常还需要大量基于 SaaS 的数据存储，最好是在能够连接未预定义事件的图形数据库中。 XDR 工具将面向威胁的安全组件（例如 EPP/EDR、防火墙、NIPS、SEG、CASB 和 SWG）结合到一个有凝聚力的安全运营系统中。
  XDR的好处和用途
  XDR 仍然是一个新兴的产品类别；因此，大多数好处仍未得到证实。
  理想情况下，XDR 供应商可以提供统一的关键安全功能组合，从而提供：
  更精准的检测和预防能力更高的安全运营生产力和更低的采购成本推动了更低的总拥有成本更快实现价值（相对于整合同类最佳产品的买家）适应不断变化的基础设施和应用程序架构的安全性盲点更少更快、更准确和更明智的检测——即警报关联和完整的事件响应数据关联更快的修复时间——剧本和运营集成——以及自动化更好的可见性和可搜索性将产品配置和软件漏洞管理作为整个产品组合的集成任务进行优先强化，而不是孤立的孤立活动数据的集中化和规范化通过组合来自更多组件的更软的信号来检测可能被忽略的事件来改进检测。跨组件检测还可以检测棘手的问题，例如帐户接管攻击、内部威胁和检测 IoT/OT 系统中的事件。还可以通过在组件之间更快速地共享本地 IOC 信息来提高安全性，从而为所有设备提供更快的保护。例如，事件响应可以收集唯一的 IOC 信息并将其传播给所有安全组件，同时检查类似事件的历史数据。
  理想情况下，这种改进的关联、上下文和分析将通过自动化操作和提供更强大的预验证功能来减少需要人工干预的安全警报。好处是分析师将更多时间花在“事件”上，而在通常缺乏上下文的“警报”流上花费的时间更少。例如，可以通过端点活动分析来确认或消除网络警报。通过将单个产品警报合并到系统范围的事件中，可以将警报总量减少几个数量级。例如，在电子邮件、端点和网络上引起警报的攻击可以合并为一个事件。然后，分析师拥有明显更多的实时“上下文”，以便能够更快地做出更好的决策。XDR 产品还旨在通过以易于理解的方式整合和关联所有证据，提高安全团队的工作效率并提升 1 级 SOC 操作员的事件响应能力 管理平台，而不是传播必须在多个控制台之间浏览的古老“上下文切换”问题。集中式数据还支持跨多个组件的更快查询功能。与 SIEM 一样，这将是功能强大的 XDR 解决方案的关键优势。作为市场上的新成员，XDR 不仅有承诺，而且还有从一开始就内置 API 的现实。这为更快和部分自动化的事件响应能力以及与各种其他流程和系统（如 SOAR、漏洞管理、ITSM 和 CMDB）的集成提供了更多机会。
  XDR的采用率
  XDR 产品的开发正在进行中，很少有产品完全集成。因此，对于大多数产品，XDR 的采用仍主要处于 Beta 版和早期试验阶段。不到 5% 的组织拥有 XDR 产品战略。
  XDR的风险
  牛逼XDR产品的出现，他仍处于发展阶段，有一些可以破坏这种新方法多种风险。
  事件管理存在一个基本问题——新事件源和事件量的增长速度超过了处理它们的技术。集成、检测、响应和自动化的每一次复杂程度的提高，只能部分弥补问题的规模和复杂性。虽然 XDR 可能会改善这种情况，但不太可能解决它。
  XDR 可能导致过度依赖单一供应商。XDR 可能有助于提高安全效率，但也可能导致供应商锁定，并可能牺牲组件部分与同类最佳组件的功能。
  XDR 可以提高效率，但这样做也会牺牲安全效率。仅仅因为供应商正在做多个集成的事情并不意味着它一定做得很好。效率将成为 IT 安全领导者关注的关键指标。您不仅要回答它是否找到东西的问题，而且它实际上是否找到了您现有工具没有找到的东西。
  供应商最初主要集成他们自己的产品，因此可能缺少关键集成或组件以使其有效。XDR 可能只是成为一种尝试锁定特定供应商而不提供真正好处的机制，并成为一套单点解决方案而不是真正精心编排的整体。因此，买家在选择 XDR 提供商时需要具有战略意义。
  只有一小部分供应商可以真正提供 XDR 方法。许多 XDR 产品都不成熟，没有完全集成所有组件。大多数组织没有来自单一 XDR 供应商的完整产品组合，也没有购买它们的预算。因此，大多数组织需要三到五年的时间才能实现 XDR产品的全部价值。
  事实上，如果先驱 XDR 供应商提供的安全性或生产力价值太少，或者解决方案提供商根本没有按照他们的路线图交付，或者 XDR 产品最终需要与现代 SIEM 工具相同级别的集成工作，那么 XDR 很可能会死于幻灭的低谷。
  能够提供 XDR 产品的大型供应商在应对新威胁方面的执行速度通常比同类最佳的初创公司慢得多。为了保持吸引力，XDR 解决方案提供商必须与最新技术保持同步，或者进行收购并吸引新供应商集成到他们的平台中。
  XDR 供应商将在其产品组合中存在缺口，需要不与 XDR 解决方案集成的单点产品，从而造成盲点。大多数组织已经存在盲点，因此即使 XDR 不是 100% 集成，它们也可以增加价值。但是，领先的 XDR 供应商将与选定的合作伙伴集成以提高覆盖范围。
  大型的多个产品供应商在提供开箱即用的 XDR 体验方面具有内部优势，因为理论上他们已经拥有许多组件。然而，随着越来越多的安全产品附带 API 和信息共享机制，独立初创公司、MSSP 或 SIEM/SOAR 解决方案可能能够集成同类最佳的组件，以在没有供应商的情况下提供与 XDR 相同的价值锁定。他们将以创新的方式做到这一点，这些方式可以简单地归类为“顶级”(OTT) 功能。例如，今天的 SOAR 解决方案通过在现有解决方案上提供一个抽象层来实现这一点. 这种模式取得成功是完全可行的，特别是如果该初创公司提供更好的分析和存储，并且可以从云中做到这一点。
  销售和上市行动极有可能无法吸引正确的购买受众，从而耗尽供应商对 XDR 的热情。很明显，XDR 的购买周期将比购买单个零部件更长、更复杂。CISO 的平均任期可能比实施更具战略性的 XDR 组件采购计划的时间要短。此外，在 XDR 战略完成之前，一次收购可以在组合中引入新产品。
  XDR 策略需要高度依赖单一供应商。这引发了多个潜在问题，包括：
  供应商锁定单点故障威胁情报和防御技术缺乏多样性供应商支持或更新问题随着供应商的依赖而增加供应商未能适应不断变化的威胁或市场格局买家担心如果选择错误的 XDR 产品会带来更高的战略风险大型 XDR 供应商可能拥有足够多的威胁情报和足够广泛的安全工具组合，每种工具都采用不同的检测和预防技术，因此 XDR 产品可以实现深入防御，而无需多供应商策略的复杂性。
  众所周知，安全领域专家想要市场上最新最好的工具，即使他们不确定是否需要所有最新功能。通常，CISO 很难对高级功能的需求提出异议，因此很难坚持战略购买以随着时间的推移获得更多 XDR 功能。
  XDR 不太可能消除对满足合规性或其他需求的日志存储机制的需求。
  尽管存在这些风险，但很明显，安全市场进行整合的时机已经成熟，XDR 产品将吸引更多因安全复杂性和缺乏熟练安全运营人员而不堪重负的务实组织。
  XDR的评价因素
  XDR 供应商将主要在集成安全工具的范围和质量、SOC 的生产力提高以及检测和预防方面的改进方面展开竞争。
  其他关键功能将包括：
  组件的质量——安全效率仍然很重要集成到XDR 系统中的产品数量，因为更多的可见性是有益的跨组件的集成深度（例如，无论是仅数据级集成还是允许XDR 系统手动或自动更改组件状态的深度配置集成）警报与事件关联的准确性使用UEBA 等高级分析来检测更复杂的威胁用户界面和情境化可实现更快的修复检测能力的质量，以检测更微妙的攻击自动化功能的范围和深度，包括预定义的剧本和自定义自动化的能力可以立即集成到 XDR 系统中的合作伙伴范围供应商完成其路线图并将新产品和收购整合到XDR 系统中的执行提供商提供高级支持的能力，包括托管服务产品和培训云原生服务架构买家应专注于提供以下解决方案：
  通用数据模式通用编程标准/框架，供平台上内部开发的应用程序和第三方遵循丰富的API来自多个来源的丰富/相关数据支持用例，例如威胁搜寻和高级 AI/分析仅不使用端点代理/遥测的检测超出仅操作端点的响应操作在一个工具中启动并在另一个工具中执行的操作在同一门户/用户界面中的集成工具之间切换管理员使用门户并链接到自动化的工作流程启动常见任务的自动化SIEM 和 SOAR
  XDR 的替代方案是使用现代的基于 SaaS 的 SIEM 和 SOAR ，它们针对检测和响应用例进行了优化（请参阅“安全信息和事件管理魔力象限” ）。另一种选择是使用托管安全服务来提供类似 XDR 的体验。MSSP 不提供专门标记为 XDR 的服务，但 MSSP 的主要价值主张是通过执行集成和警报关联的艰苦工作来承担 XDR 提供的角色。
  建议
  与利益相关者合作确定XDR 策略是否适合您的组织。评估现有和潜在XDR 提供商的XDR 产品功能和路线图。制定符合您的 XDR 战略的内部采购政策，包括允许例外的时间和原因。确保未来的安全采购与长期XDR 集成战略保持一致。提高集成和自动化在采购决策中的重要性。XDR的代表供应商
  以下是具有代表性但并非详尽无遗的未来潜在 XDR 供应商列表：Bitdefender、Cisco、Fortinet、Fidelis Cybersecurity、McAfee、Microsoft、Palo Alto Networks、Symantec、Trend Micro、FireEye、Rapid7 和Sophos。

  21.03.16-XDR必备的五大能力

  跨安全图谱的可视化能力

  XDR中的“X”意为“扩展”，因此XDR工具需要有广泛的可视化能力，但是指望一家安全厂商能针对所有威胁都有相关的安全产品，显然不现实。那么，XDR厂商应该至少提供终端、云、和网络的可视化能力，然后在电子邮件、应用相关数据等其他领域能整合第三方数据。理论上，XDR厂商应该有三个支柱能力，然后通过合作伙伴模式输出其他能力。在不同系统中将相应能力联系到一起是一项挑战，但是依然可行。

  基于机器学习的分析能力

  安全系统会生成海量的数据，多到甚至最顶尖的犯罪专家都无法手动分析。机器学习算法可以发现能表明攻击的最小的异常点。尽管说一些安全专家不愿意将可视化权限让渡给机器，但是这是唯一能大规模部署XDR的途径。医疗行业早在几年前就遇到过同样的问题：医生不愿意让机器学习系统阅读核磁共振图，但是他们很快发现，如果让机器学习去处理这些问题，那么医生自己就有了更多时间治疗病人，而不是浪费在看数据上。在这一点上，安全和XDR也一样。

  自动化响应

  和基于机器学习的分析能力类似，对安全事件进行自动化响应也需要一定的信任。有些人认为自动化威胁响应有风险，但是手动处理反而会降低响应速度，从而一旦真有泄露事件发生就会导致企业数百万元的损失。一个好的折中方案，可以让XDR系统进行响应方案推荐，而由安全团队验证这个方案并实施。这就跟特斯拉的自动驾驶类似：驾驶员依然需要把手放在方向盘上，但是车却是控制驾驶的一方。

  协同响应

  自从网络安全诞生以来，无法让网络、终端、和云协同响应的问题始终困扰着安全团队。网络方面团队可能注意到了威胁并及时阻断，但是没有告诉终端负责团队，导致一些恶意软件在企业内部悄悄运行。XDR需要有一个集成的响应系统，让安全团队从一个显示表消除网络、终端、和云的威胁。这样就能形成快速响应，并且将威胁半径保持在可控范围内。

  简化工作流

  安全当中有句话，叫做“复杂即敌人”，这对XDR同样适用。如今，细分化的安全工具会造成一条几乎看不到边的告警流，充满了各种误报噪音。结果上来看，在过去几年的重大安全事件中，安全厂商都宣称自己检测到了事件，但是安全团队并未采取任何措施。太多的告警和无告警并没本质区别。XDR系统需要提供一个基于简化调查的完整视图，从而能够轻松发现问题根源、事件的发生顺序、以及从多个来源获取的威胁情报详细信息。

  21.02.18-奇安信、深信服、亚信安全、绿盟、安恒，EDR产品到底哪家强？

  EDR即端点检测与响应，是终端安全领域的新兴技术：
  
  那么，EDR到底哪家强？

  01EDR最新的市场格局

  
  
  这张图数据源于IDC年前新鲜出炉的报告
  《IDC MarketScape：中国终端安全检测与响应市场2020，厂商评估》
  这份报告基本上囊括了国内市场上活跃的EDR产品&服务供应商
  比较有特色的是
  除了大家熟悉的“传统”安全厂商之外
  还评估了几大公有云服务商
  总计14家，看点十足！
  14家厂商根据能力和战略评分
  被划分成了4档
  ↓
  第1档，领导者，9家
  奇安信、阿里云、亚信安全、深信服
  腾讯、华为云、卡巴斯基、绿盟、天融信
  第2档，主要厂商，4家
  安天、安恒信息、杰思安全、厦门服云(安全狗)
  第3档，竞争者，1家
  江民科技
  第4档，参与者，0家……
  孰强孰弱，一图了然

  02再来看看，这些EDR玩家的战斗力

  在MarketScape图中
  气泡大小反映的是
  相关企业2019年的EDR市场营收
  这个数据更为直观
  我们可以得到一份营收排名
  
  第一集团军的竞争相当惨烈
  根据MarketScape图的玩法
  横轴代表战略，纵轴代表能力
  位置越在右上角就越牛掰
  奇安信、阿里云、亚信安全
  可算作EDR综合实力（能力+战略）前三甲
  除了“图说”
  这份报告对14家入选厂商
  都进行了详细的优势和挑战点评
  就不在这里啰嗦了
  大家可以下载报告查看

  03买EDR，怎么选？

  在这份报告中
  IDC给出了对技术买家的建议

  ①技术为王

  优先考虑并全面评估产品核心技术能力
  在充分“POC”的基础上
  选择高性价比的产品和服务
  ☆划重点：要做POC验证，不要轻信忽悠

  ②提升威胁可见性

  什么意思呢？
  买EDR产品的目标
  绝非仅仅对终端信息进行简单收集和存储
  更重要的是
  提升对潜在威胁的监测和取证能力
  ☆划重点：存储和收集信息不是目的
  提升威胁时间的响应和处置效率更关键

  ③安全专家至关重要

  EDR不可能一劳永逸
  处理所有的威胁判定和响应
  还需要专业安全人员参与其中
  对自动化输出的威胁信息进行深入分析
  ☆划重点：采购和部署了产品并非万事大吉
  还需要培养企业安全专家或者引入专业服务

  ④托管安全服务是大势所趋

  IDC定义了三种托管安全服务
  驻场安全服务、本地托管安全服务
  云托管安全服务
  ☆划重点：自家专业安全人员不足怎么破？
  利用托管模式，找安全服务商当外援

  ⑤安全防护关注统一和整体性

  一方面，企业终端类型越来越多
  EDR需要“照单全收”
  把各种类型的终端都纳入
  另一方面
  终端安全不能孤立于整体方案之外
  需要和企业整体安全方案联动
  ☆划重点：企业不能为了EDR而EDR
  终端安全只是整体安全方案的一块拼图

  04最后，再科普一下

  EDR究竟是个啥，咋就火了？
  EDR，英文全称是
  Endpoint Detection & Response
  端点检测与响应
  这是一种“主动式”的端点安全方案
  所谓端点，其实是各种类型的终端
  按照IDC的评估范围，EDR所保护的端点类型
  不仅包含传统PC、智能移动终端、嵌入式终端
  还包括传统服务器端、虚拟机/云主机
  随着云的普及
  云上“新端点”的保护，是个新趋势
  那么，既然是对终端进行保护
  和传统终端安全产品EPP有啥不一样？
  传统EPP产品，侧重点是“防御”
  主要是识别和阻断已知威胁
  
  而EDR产品，侧重点是“检测”和“反应”
  它保护的并不局限于端点本身
  而是以端点为基础，收集更多信息
  结合大数据和机器学习的技术
  发现潜在的未知威胁，并作出响应
  
  它会贯穿安全威胁事件的整个生命周期
  事前监控/加固、事中检测/分析/响应、事后追溯
  将威胁检测的时间线进行了延长
  有效发现那些隐蔽且缓慢进行的恶意威胁
  
  因此
  对于当下APT、0day、无文件攻击等复杂威胁
  EDR产品能够起到较好的防御作用
  从端点安全的发展史看
  传统防病毒是第一代
  EPP平台是第二代
  而EDR属于第三代
  
  但是，EDR相对于EPP和AV
  并非完全替代关系
  老中青三代组合拳
  共同来保障终端/端点的安全
  在EDR之后，还有XDR的概念被提出来
  其实是将威胁检测和响应的范围扩得更广
  不止局限于“端点”
  
  但凡事总有利弊，XDR加戏太多
  画饼容易，落地却不容易
  成熟还需要假以时日

  05如果你是大甲方，你会选择谁？

  IDC在研究报告中
  把国内的EDR玩家划分为4种出身
  
  而目前，EDR落地最广泛的行业是
  政府、通信、金融、能源…
  都是妥妥的“大甲方”啊

  20.10.26-Gartner：EDR和XDR成为终端安全热点

  20.10-IDC MarketScape：中国终端安全检测与响应市场2020厂商评估