XDR技术之所以会出现，是由于企业安全团队对威胁检测和响应技术有了更高的要求。国际IT专业媒体TechTarget旗下的企业战略研究机构ESG日前开展了一项调查，面向381名企业安全专业人员进行了XDR应用访谈。研究发现，85%的组织计划在今后12到18个月内加大在XDR应用方面的支出。很显然，组织对现在实施的方案并不满意。对于企业的安全架构师而言，是时候改进优化现有的XDR应用策略了。

新一代XDR技术会是企业升级威胁检测和响应能力的灵丹妙药吗？ESG认为，如果企业把XDR看作一种安全产品的话，那么可能很难找到一款真正能够全面满足组织需求的XDR产品。

ESG研究团队认为，企业应该将XDR应用和部署看作是一个过程，只有持续性地关注XDR技术应用过程中改进检测和响应计划的必要性，才可以满足 IT 基础设施的多样性应用需求，更好地应对日益复杂的安全威胁。

XDR 的核心是按照优先级对各种类型的安全数据进行聚合、关联和分析，这反映了日益多样化的攻击面和更复杂的威胁形势，可以使高级威胁检测更优化。尽管有很多安全厂商都推出宣称是XDR的产品或解决方案，但是企业组织要找到真正能够满足自己安全应用需求的XDR方案并不容易。要克服这一过程中的挑战，企业可以从以下方面进行思考：

• 明确定义组织对 XDR 的看法和需求，将 XDR 视为一种全新的威胁检测和响应战略，而不是某个特定的产品工具；

   

• 根据组织的XDR战略，明确定义出对XDR方案的具体应用需求，并以此来确定企业已经拥有的XDR能力，同时发现需要投资优化的地方；

   

• 不要陷入产品化的XDR思维陷阱中。在实际应用中，实现XDR策略需要威胁情报等多种工具的支持，但这些工具不能被独立的标记为 XDR产品。

构建高效的威胁检测和响应能力对组织安全运营建设至关重要，但实现这一目标困难重重。在2023年，以XDR为代表的威胁检测和响应领域会成为安全投资热点。不同厂商围绕新一代XDR产品定义的争论还将持续，但是XDR确实能够帮助组织提高威胁检测和响应效率以及安全运营效率，所以仍将受到市场的热捧。

企业用户应该关注XDR的应用结果，而不是纠结于对XDR定义的争论。ESG研究数据显示：

• 36%的受访者希望，针对不断扩大的攻击面，通过应用XDR能帮助扩展并增强组织的威胁检测和响应能力。安全运营团队希望新一代XDR方案能够既有广度，又有深度，可以实现综合收集、分析并处理来自威胁情报、云端、身份系统和物联网设备等多种来源的安全检测数据，降低运营团队的人工工作压力；

   

• 33%的受访者希望，新一代XDR方案能够提高安全警报的准确性和优先级，从而更便捷地分析和响应事件。换句话说，安全运营团队希望XDR能够快速识别并检测正在进行中的攻击，而不是陷入到海量的安全事件分析中去；

   

• 29%的受访者希望，新一代XDR方案能够为企业创建集中式的威胁检测管理中心。安全运营团队想要一个真正统一化的协同工作平台，而不是来自不同工具的繁琐UI界面和管控仪表板。这一点对提高企业安全管理流程效率和员工生产力非常有帮助；

   

• 26%的受访者希望XDR能够缩短检测和响应威胁的平均时间。很显然，他们对XDR目前的表现并不满意，希望XDR能成为业务助推器；

   

• 25%的受访者希望新一代XDR方案，具有更强大的未知高级威胁检测能力。这需要对现有的分析工具、警报机制以及Mitre ATT&CK框架进行改良优化，以便深入了解攻击活动以及攻击者使用的战术、技术和程序（TTP）。

对于希望成功实施XDR策略的企业组织，ESG研究团队给出了以下7点建议：