Palo Alto 的 CTO Nir Zuk 在2018年首先提出了擴展檢測與響應(XDR)。在XDR的定義中，Palo Alto 將其描述為“打破傳統的安全孤島，將所有數據源用于安全檢測與響應”。這并非一家之言。隨著業務上云以及SaaS模式在全球的火熱，從所有孤立平臺、工具中獲取數據，應用于一處安全能力——即本文討論的XDR——近年來已經成為了大家公認的需求。

然而從概念到落地，往往還有相當長的一段距離。筆者認為，無論是單一廠商XDR還是混合型XDR，要想在市場中獲得成功，都有其先天的局限性。

單一廠商XDR的問題

單一廠商XDR承諾，用戶使用一家產品就能開箱即用成功實現多源數據的威脅檢測與響應，包括所需的采集、匯總、關聯、分析等多項能力。然而，期待某一家供應商具備最強的技術能力與商業能力，將各個分散數據與眾多獨立的安全工具有效整合在一起，是十分不現實的。即使有廠商聲稱能夠做到，也需要它以行業巨頭的身份，收購多家中小廠商，并將眾多中小廠商的能力分解、消化、整合為一個完整的安全能力集。雖然將這些各自分散獨立的技術緊密整合在一起，對構建一個功能完整的XDR平臺是有必要的，但是在商業上的收益卻十分有限。

另外，XDR的出現主要是為了應對安全信息與事件管理(SIEM)與安全運營中分析能力的不足。然而，作為最早的多源數據采集點，SIEM的規則與分析能力卻導致了海量的報警以及大量的誤報。包括后來出現的安全編排與自動化響應(SOAR)，如果這兩者都無法幫助我們在匯總數據后，通過上下文或相關信息提供準確的安全分析能力，給出可靠的響應決策建議，為什么我們認為XDR就可以做到呢?特別是在數據的種類與總量都越來越難以集中化的今天。

最后(其實還有，不僅僅這三條)，為了這一個單一廠商的XDR平臺，客戶需要割舍替代其已投資多年的原有技術棧。你可以想象一下，當客戶的CISO或安全團隊負責人要求拋棄之前花費的所有時間、資金、努力，轉而將其安全體系的雞蛋全部放進這一家XDR廠商的籃子里時——這家廠商號稱能夠集中所有數據提供更加精準的檢測與響應能力的承諾甚至還未得到驗證——客戶的 CEO或董事會成員會做何反應。

混合型XDR的問題

在這種XDR模式中，客戶可以以單點解決方案形式采購多個廠商混合而成的XDR。針對絕大多數已經構建了自有安全體系的企業客戶而言，這一模式解決了“割舍替代”的問題，但是就如同單一廠商XDR的問題一樣，這里也仍然需要一個安全中臺，將所有孤島安全工具整合在一起。這就導致了一個新問題：誰來負責做這件事?我們能夠指望某一家獨立廠商代替客戶承擔起無縫整合其他廠商產品的重任嗎?即便廠商愿意，客戶是否愿意被迫簽約接受托管檢測與響應(MDR)，將這個重任托付出去?

能否不要這個安全中臺呢?其實很好評估。若沒有中臺，各個獨立的工具與平臺就無法整合在一起，這就意味著所有孤島數據無法整合利用，幫助安全分析師理解數據之間的關系，從而給出可靠的響應措施建議，最終意味著XDR會失去它原有的目的。

還有一點需要考量的是：我們已經看到有XDR類的聯盟開始出現，目的是解決各聯盟成員間的的技術和工具在整合為一個生態過程中出現的問題，幫助分析師改進威脅檢測與響應的能力。然而，這類組織仍然屬于封閉生態，會限制客戶只能采用聯盟中的供應商提供的技術和工具。因此，客戶仍然需要割舍替代其原有的設備，重新申請預算和資源，花費時間部署實施這些新的技術和工具。

炒作過后是什么

那XDR還有希望實現其最初的目標嗎?答案是可能的。XDR供應商們已經開始意識到安全中臺的重要性，這個中臺需要位于整個安全生態的頂端，并提供對各安全工具所產生的全部數據的訪問能力。

問題是XDR的炒作還能夠持續多久，也許過不了幾年，它就會成為一個“過去”的技術。當那一天到來時，它也只是幾十年來人們提升安全能力有效性的眾多努力中一個新的嘗試而已。也許屆時人們會看到一個似曾相識的結果，就像與SIEM和SOAR打交道的經歷一樣——數百萬美元與數年時間的投入，換來的是疲于應對告警但卻收效甚微。

這里的要點是人們不應該將“炒作”誤認為真正的價值，只看著“新奇高大上”的縮寫字母就盲目投入。安全團隊在采購實施任何新技術前，都需要對其做足“盡職調查”。另外，無論是XDR、SIEM、SOAR亦或是其他以提升安全能力有效性為目的的技術工具，安全團隊都應當考慮將其加入安全中臺。只有這樣才能將安全分析所需的數據從之前的一個子集擴展為全部數據，從而給出更精確的分析結果，做出更可靠的響應決策。