（報告出品方/作者：中信證券，楊澤原、丁奇、潘儒琛）

XDR 集多個安全產品能力於一體，實現雲-網-端全面防護

XDR 是近幾年產業熱點安全技術之一，其聯動多個安全產品功能，提高整體安全建 設和安全運營方案的有效性。XDR（Extended Detection and Response）是指擴展威脅 檢測與響應平台，其聯動網路、終端、雲等層面的安全產品，結合威脅情報、大數據處理 和機器學習技術，有效提升安全威脅檢測和事件響應能力。根據 Gartner 的定義，XDR 是 一個安全平台，將特定供應商的多個安全產品，原生地集成到一個統一的安全運行系統中。 在 Gartner 新發布的《Market Guide for Extended Detection and Response》中，已經將 XDR 技術擴展至 FWaaS、NDR、SWG、EDR、UEM、DLP 等能力的綜合體，因此，XDR 中的「X」代表著安全能力的持續擴展，結合數據中台技術、自動化編排技術及安全分析 技術，形成面向多種甚至未知安全場景的綜合型安全解決方案。

伴隨網路攻擊逐漸複雜化、隱蔽化，傳統單點防禦無法應對持續性威脅，XDR 有望 消除政企機構安全孤島導致的運營低效。目前，網路攻擊正在變得更加隱蔽和複雜，攻防 對抗從原來的技術之爭逐步演變為速度之爭。儘管政企機構此前已經配備了防火牆、IDS、 IPS、WAF 等安全設備，但是這些設備每天產生海量告警，且來自不同廠商的設備各自為 戰、檢測割裂，難以將多個節點的痕迹自動關聯成一個完整的安全事件，安全團隊及時跟 進告警分析與事件響應的難度大。根據 ESG 的調查，76%的安全人員認為，當前的威脅 檢測和響應工作比兩年前困難得多，一方面是因為威脅數量大幅增加，另一方面是因為安 全人員仍然依靠手動流程來工作。鑒於此，XDR 通過集成各自為戰的單點安全產品，形成 整體檢測和響應策略來消除安全孤島。

與 EDR 相比，XDR 是 EDR 的擴展和增強版，具備更強大的檢測能力、響應處置能 力，將減輕政企機構安全運營負擔，聚焦實質性安全威脅。XDR 的優勢體現在：多元化的 檢測能力、體系化的響應處置能力、各類環境的廣泛適配、不斷強化的訂閱能力。相較於 端點安全產品 EDR，XDR 的告警更加完整，安全調查更加高效，同時，XDR 關注的不僅 僅是技術問題，還有政企機構的運營需求。XDR 可大幅減少政企機構安全人員低價值的重 復工作，自動將告警彙集成安全事件，使得安全人員聚焦到應對真正具備威脅的風險上。

XDR 於 2018 年由 Palo Alto 首席技術官 Nir Zuk 提出，2020-2021 年連續入選 Gartner 端點安全、安全運營技術成熟度曲線，目前處於創新啟動期。早在 2017 年，Gartner 指出，未來 5 年企業的網路安全支出戰略、預算結構將發生重大改變，重心將從阻止向檢 測和響應傾斜。2019 年，在國際信息安全領域規模最大的產業盛會——RSA 大會上，有 關 XDR 的討論開始升溫。此後，Gartner 將 XDR 列為 2020 年第一大安全技術趨勢，以 及 2020-2021 年十大安全項目之一。在有科技產業界風向標之稱的 Gartner 技術成熟度曲 線中，端點安全和安全運營兩個領域在 2021 年都提及了 XDR，位置處於創新啟動期，說 明 XDR 依然處於早期成長階段，潛在的發展空間廣闊。

XDR 潛在市場空間達百億級，綜合型廠商具備布局優勢

XDR 有望成為行業內主流部署方式，滲透率將快速提升

對於大型政企機構而言，XDR 能力可以分階段被集成在已建成的 SOC 中，亦可用於 攻防實戰。許多大型政企已經在 SOC 上擁有積累，如建立 SIEM、SOAR 等，XDR 可增 強現有的 SOC 技術和流程。SIEM 從整個企業聚合和分析日誌數據，但只是一種發出警報 的被動工具，很少用到上下文分析和安全產品的關聯分析，安全團隊或被海量警報淹沒； 根據 Solarwinds 白皮書調查數據，擁有一千名員工公司部署的 SIEM，每秒鐘記錄的安全 事件數多達 2.2 萬個。由此，XDR 可與 SIEM 協同，充分利用其產生的安全日誌數據。SOAR 對於 SIEM 產生的報警和安全事件進一步進行流程化自動化分析&處置，對企業的安全建 設及業務配合要求更高，目前在國內市場仍處於初級階段。相較於 SOAR，XDR 在部署時 集成特定供應商產品的能力更強，更加聚焦威脅檢測和事件響應，且輕量化、標準化。此 外，相較於主要採集網路流量和第三方安全設備日誌信息的態勢感知平台，XDR 補齊對終 端側的感知，並且能在眾多的告警中關聯查找、發現真正的威脅。根據安全牛的觀點，XDR 在大型政企機構的應用場景還包括：在網路攻防實戰、HW 行動中，使用 XDR 平台，實 現快速聯動分析。

對於中小客戶而言，XDR 未來有望成為安全建設的首選。對於未建立 SOC 或態勢感 知全面配置的中小客戶，XDR 具有更為重要的價值，在快速安裝部署、快速配置集成、快 速使用見效等方面具備明顯優勢。XDR 通過統一、高度集成的方案，為簡化企業的安全運 營人力需求提供了便利性和回報率，有望成為中小客戶以及教育醫療機構、地方政府等的 首選。XDR 的目標是「SOC-lite」，中小客戶無需部署複雜、昂貴的 SIEM 和 SOAR，而 是在預算和安全人員有限的情況下，上線輕量化的、「開箱即用」的 XDR 平台。

綜合型廠商在 XDR 布局上具備優勢，客戶粘性和客單價有望進一步提升

綜合型廠商在 XDR 布局上具備優勢，未來或通過併購投資實現安全能力的持續生長。 結合 XDR 定義，網路安全公司提供 XDR 的能力需要循序漸進地形成。亞信安全對 XDR 的發展提出具體設想：首先，布局集成的探針類產品終端、網路、雲、郵件以及身份安全； 然後，基於廠商已有能力提出場景化的 XDR 解決方案；最後，通過 XDR 集成各類安全設 備，以及提升自動化程度、檢測效果。我們認為，XDR 仍處於初步產品化時期，距離實現 提供成熟的跨廠商、跨產品的集成能力仍需一定時間。與此同時，綜合型網路安全廠商更 注重產品線的全面性，在集成自身產品基礎上實現 XDR 布局具備顯著優勢。專精型廠商 在一些細分領域的技術演進速度或領先於綜合型廠商，因此伴隨 XDR 發展，網路安全行 業的投資併購活動或更加頻繁，綜合型廠商通過併購新興安全廠商以追求擴大 XDR 的場 景覆蓋與競爭力。海外圍繞 XDR 的投資活動十分活躍，如 Google 宣布斥資 54 億美元收 購網安公司 Mandiant。

中長期看，XDR 或推動安全行業開放標準建設，打破廠商之間的隔閡。總體來看， 網路安全廠商提供 XDR 有三種路徑：1）原生 XDR，由單一供應商提供所有設備，特別 是本身在 EDR 上積澱深厚的廠商更傾向於此，優點是集成度高，缺點是用戶可能已經部 署多家廠商的產品，不願意重複投資；2）開放 XDR，廠商集成多家第三方廠商的產品與 技術，適合於 SIEM、SOAR 廠商，難題是如何說服其他同行參與；3）混合 XDR，廠商 提供幾乎所有的 XDR 組件，但允許集成第三方工具，使得客戶充分利用此前在安全基礎 設施上的投資。在當前背景下，網路安全廠商期望客戶在 XDR 基礎架構中整合自身提供 的所有設備，但考慮到安全行業的多樣化以及客戶原有部署的安全基礎設施可能來自不同 的品牌，廠商需要支持一定程度的開放性，包括開源消息匯流排集成、開放的 API、合作伙 伴生態系統、行業標準等。因此，中長期看，安全行業內部的設備互聯互通標準、數據格 式標準等有望逐步建設，推動廠商之間打破隔閡。

此外，安全託管服務的重要性或將提升，與 XDR 相輔相成。XDR 與 MDR（託管檢 測和響應服務）存在一定的競爭關係，但事實上，企業 CISO 關注的是威脅檢測和響應的 效果，XDR 供應商未來也有可能建立自己的託管服務團隊或與 MDR 服務商達成合作。從 海外來看，CrowdStrike、FireEye、Secureworks、Trend Micro 等廠商正在提供 XDR 和 MDR 集成的產品服務組合。許多中小企業通過 MSS（安全託管服務）來獲得業務系統的 安全保障，XDR 與 MSSP（安全託管服務提供商）同樣存在合作機遇：一方面，XDR 的 成功落地仍然需要藉助安全專家的專業技能，企業需要具備通過智能分析對雜訊中的真實 事件進行排序並確定響應優先順序能力的人才；同時，對於 MSSP 而言，藉助於 XDR，可 以投入更少的人力、花費更低的成本，來搭建一套有效的安全技術架構，為客戶提供可靠 的安全服務，並獲得運營收益。

隨著 XDR 的應用逐步深化，安全廠商在銷售策略上或更加關注客戶的業務與戰略， XDR 有助於客戶粘性提升，進一步帶來客單價的增長。XDR 的價值主張是用一整套集成 的專有產品套件，代替來自不同網路安全公司的工具，對於政企機構而言，這需要分步驟 進行，因為已經投資建設或部署的安全設備需要時間周期進行替換。XDR 供應商需要說服 政企機構認同 XDR 的理念，同時，對於網路安全廠商而言，這意味著要從交易型銷售轉 變為戰略型銷售，以用戶與業務為中心，將產品服務與行業屬性深度結合，提供匹配的解 決方案。在此過程中，網路安全廠商與客戶的粘性將得以強化，傳統安全公司多銷售硬體 類產品，需要持續獲取新客戶、新銷售機會，而 XDR 為客戶提供逐步疊加的安全組件， 使得供應商、客戶的粘性增加，更易於拓展產品合作，打開了客單價增長空間。（報告來源：未來智庫）

網安廠商加快布局，推出多形式 XDR 產品

海外 XDR 市場表現火熱，各類安全廠商踴躍探索前進方向

海外 XDR 市場火熱，安全廠商積極探索方向，XDR 技術在實際場景中發揮作用。從 海外來看，網路安全先進技術發展方向出現變化，廠商通過著重發展雲化、服務化方式交 付核心安全能力，通過產業促進、自發開放等方式擴大廠商間、產品間對接，以提升整體 安全效果，而 XDR 充分符合這一發展趨勢。目前，海外大型網路安全廠商紛紛發布 XDR 套件，不限於 Palo Alto、Check Point、Fortinet、Trend Micro、Trelix（FireEye & McAfee）、 Cisco 等，反映了 XDR 市場前景的廣闊。同時，各類廠商的具體思路不同，如趨勢科技、 Palo Alto、Crowdstrike 等廠商基於 EDR 構建 XDR 能力，而 Exabeam、LogRhythm 等 廠商基於 SIEM 發力 XDR，不同稟賦或決定其 XDR 能力的差異。

Palo Alto 於 2019 年推出業界首個原生集成網路、終端、雲和第三方數據來阻止攻擊 的 XDR 平台——Cortex XDR。Cortex XDR 是基於雲的應用，在調查方面，支持接入第 三方數據引擎，開發自定義收集解析規則，對第三方數據源進行規範化；在分析檢測方面， 使用雲主機、流量和審計日誌 Prisma Cloud 警報對以云為中心的威脅進行檢測，通過防 火牆、IAM（Okta、Ping Azure AD）、AD、HR 平台（Workday）、SASE 網關分析用戶活 動；在事件響應方面，Cortex XDR 本地分析引擎以機器學習技術為驅動，實現業界領先 的惡意軟體檢測率，並藉助敏捷架構實現模型快速更新，從而應對多變的攻擊技術。

Cortex XDR 持續升級產品，不斷提高安全效率。隨著安全威脅的發展，Cortex XDR 在不斷創新的基礎上，致力於提供新功能，以提高安全效率並簡化操作，目前 3.0 系列產 品已經發布。2021 年 11 月，Palo Alto 和普華永道中國宣布擴大合作，將把普華永道提供 的託管安全服務與 Cortex XDR、Cortex XSOAR 安全平台相結合，在中國市場提供安全 運營服務，減輕安全運營人員的負擔，實現從警報管理、調查到事件響應的全天候覆蓋， 從而進一步提高安全運營效率。

CrowdStrike 基於 EDR 發展 XDR，強調 EDR 的突出地位，2021 年發起成立 CrowdXDR 聯盟。CrowdStrike 正從單一的 EDR 供應商轉型為包括 XDR、SOAR 和 SIEM 的多產品安全平台公司。CrowdStrike 強調終端安全依然是其基本盤，CTO Sentonas 認 為，「好的 EDR 本身就構成了 XDR 方案的 90%」，同時指出，「XDR 並不是日誌管理，我 們實現 XDR 的方法是在不損失 EDR 能力的前提下去增加 XDR 的功能」。2021 年初， CrowdStrike宣布將以4億美元收購日誌管理平台Humio，將其打造為安全數據集成平台。 2021 年 10 月，CrowdStrike 推出 XDR 模塊，同時發起成立 CrowdXDR 聯盟，啟動合作 夥伴包括來自雲、Web、電子郵件、身份、網路、OT 和 IT 運營等安全和 IT 行業的領導者。

國內亞信安全較早提出 XDR，頭部網安公司近幾年陸續布局

亞信安全是國內較早提出 XDR 的網路安全廠商，2019 年正式推出 XDR 解決方案。 AIS XDR 具備集成套件產品、統一配置管理、場景化分析處置、威脅情報聯動等四大核心 能力。前端由終端、主機、網路、身份、郵件網關類產品構成，為高級威脅檢測提供了最 重要的遙測數據；XDR 統一威脅運營平台基於安全大數據分析技術，構建了威脅建模，報 警收斂、事件聚合等核心技術，通過威脅情報的賦能，有效聯動各類產品，遏制報警風暴、 還原攻擊鏈路、自動處置高級威脅。亞信安全通過 XDR 套件，為客戶提供了更全面的聯 動安全防護能力，同時以持續授權方式提供實時更新的威脅情報庫、威脅情報分析及專業 服務，使得廠商與客戶之間產生了長期的用戶粘性，更易於合作的深化。

亞信安全募資建設「智能聯動安全產品建設項目」，形成基於 XDR 和安全中台的智能 化聯動安全平台，未來 XDR 還將提升安全服務價值。智能化聯動安全平台將以 XDR 產品 套件、安全中台解決方案或綜合服務的方式交付給客戶，具有三大特點：1）全雲化，全 線產品 SaaS 服務化交付，實現雲 XDR 和雲態勢驅動的 SaaS 安全中心；2）全連接，產 品之間數據介面聯通、數據情報共享，實現管理平台聯動編排、客戶本地威脅分析中心情 報共享、雲端威脅情報聯動全網免疫；3）全智能，通過威脅情報和機器學習分析，實現 安全可視化、自動化、智能化，從而顯著降低安全配置和事件響應的複雜性。亞信安全未 來還將 XDR 與安全服務相結合。傳統的安全服務往往重人力投入，在成本端壓力較大。 亞信安全在建立成規模的安全專家團隊的同時，將服務結合 XDR 平台、優勢產品的能力， 助力客戶切實解決安全問題，為客戶提供更多戰略價值，也保證了自身安全服務業務未來 的毛利率企穩。以 XDR 產品套件為核心工具平台的託管安全服務，以風險管理為中心， 提供暴露面管理、高級威脅分析、安全事件管理、本地威脅情報管理、威脅獵捕等服務內 容，驅動客戶網路安全建設、攻防對抗能力整體提升。

深信服發布 SaaS XDR，提升安全事件處置效率。基於網路安全領域多年積累的檢測、 響應等能力，深信服面向攻防實戰設計了深度關聯分析和聯動響應機制，有效打通了跨品 類安全產品能力的融合。在數據採集方面，公司 SaaS XDR 將端、網、雲等遙測數據構建 為完整的攻擊鏈，把海量告警轉換為安全事件，實現告警削減近 90%；在安全檢測方面， 結合 IOA、IOC 檢測技術，疊加雲端專家提供的 XTH 威脅鑒定能力，實現事件檢測精準 度達到 99%。此外，開放性讓深信服 XDR 不僅可以集成自家的安全產品，也可以和產業 內的產品融合，幫助用戶復用現有投資，將各類產品有效聯動應對攻擊威脅。

未來，深信服將開放 SASE 3.0 能力對接 XDR，提供一站式安全服務。以 SASE、MSS、 XDR 思想在雲端構建安全防護體系，未來，SASE、XDR、零信任、開發安全有望成為深 信服四大安全平台。SASE 3.0 最核心的技術升級體現為在 SASE 節點上實現全安全棧， 通過編排的方式實現按需使用和分類防護，包括上網流量接入審計、管控和防火牆能力， 內網流量接入零信任、內網 WAF 等能力。SASE 3.0 通過平台方式把安全工具化、服務化， 深信服將開放 SASE 3.0 能力對接 MSS、XDR 平台以及廣大安全生態夥伴，以便給用戶 提供更高階的和一站式的安全服務。（報告來源：未來智庫）

奇安信 XDR 解決方案以天眼系統為主，全線產品聯動，突出實戰攻防，打造「雲管 端」一體化安全防護能力。奇安信天眼系統以攻防滲透和數據分析為核心競爭力，聚焦威 脅檢測和響應，為安全服務和分析人員提供一套在監測預警、威脅檢測、溯源分析和響應 處置上得心應手的威脅檢測平台。2018 年開始，天眼系統與奇安信安服體系整合，順利 進入政企客戶攻防對抗一線，實戰化水平、防守效果得到驗證。憑藉天眼系統的優勢，奇 安信在國內威脅檢測與響應市場領先，根據數世諮詢 2020 年發布的《威脅檢測與響應 （TDR）市場指南》報告，奇安信在應用創新力和市場執行力兩個維度，均位列 15 家入 圍廠商第一名。通過天眼系統與終端管理系統（天擎）、下一代智慧防火牆（NGFW）、服 務器安全管理系統（椒圖雲鎖）、攻擊誘捕系統（蜜罐）等產品的協同聯動，奇安信能夠 幫助客戶更好更快地發現攻擊方的攻擊行為。2021 年，奇安信還發布天眼 MDR 安全託管 服務，助力提升企業安全運營效率。

啟明星辰 XDR 安全運營服務「遠程 本地」協同聯動，相較於傳統安全運營服務更加 輕量化。啟明星辰 XDR 方案是以緊耦合方式實現快速威脅檢測和響應的工具集，完整覆 蓋 EDR、加密隧道檢測、全流量取證分析、沙箱樣本分析、攻擊鏈還原等核心能力。XDR 安全運營服務的優勢體現在：1）輕量化，運營所需的平台、技術工具均可以租賃的形式 提供，減少客戶的一次性建設投入；2）基於實戰演練視角，將服務劃分為脆弱性閉環管 理和持續性威脅管理，前者側重於對客戶資產的安全監測和漏洞發現，後者側重於對客戶 網路安全事件的監測和響應處置，通過對兩類服務的組合，為客戶的網路安全監測與防禦 技術堆棧提供有效性驗證機制，幫助客戶構建起基於實戰視角的網路安全監測、分析、響 應和防禦體系。啟明星辰堅持「第三方獨立安全運營」的理念，已在全國各地 30 多個城 市開展安全運營業務，XDR 安全運營服務有望迎來持續發展。

安恆信息新發布 AXDR 高級威脅檢測與分析系統，作為態勢感知方案組成，全方位 覆蓋日常運維、重保、攻防演練等場景。AXDR 是基於安恆信息的威脅檢測和數據分析能 力，構建的一種跨多個安全層收集並自動關聯信息以實現快速威脅檢測和事件響應的解決 方案。AXDR 結合網路、終端告警，自動化提取安全事件，具備威脅檢測、攻擊溯源、場 景感知、威脅響應和威脅狩獵等功能。在日常安全運維中，AXDR 提供豐富的檢測手段， 如規則引擎檢測、語義分析檢測、機器學習檢測、情報庫碰撞、異常行為檢測等，支持與 其他安全設備聯動。在重大場景保障中，AXDR 提供多視角檢測方案以及態勢感知大屏， 通過安全事件聚合、關聯分析等手段進行分析，幫助安全分析人員及時捕捉重要威脅來源， 同時對危險來源進行追蹤溯源，保障網路環境安全。在實戰化攻防演練中，AXDR 結合安 全專家紅藍對抗，組織網路安全實戰化攻防演練，構建「檢測-預警-監測-防護-分析-溯源」 網路安全攻防體系，提高單位網路安全意識，增強安全防護能力，檢驗單位應急響應能力。

迪普科技檢測與響應系統（XDR）以安全大數據、雲計算、人工智慧引擎、威脅情報、 檢測與響應等新技術為支撐，保障政企用戶全網終端安全。迪普科技 XDR 系統主要面向 政企用戶，集惡意代碼防禦、漏洞修復、檢測與響應（EDR）、桌面管控等功能於一體， 兼容不同操作系統和計算平台，基於單一代理、單一管理控制台幫助客戶建立面向已知和 未知威脅防護以及統一管控、高效運維的新一代網路安全立體防護體系。

綠盟科技智能安全運營平台（ISOP）作為 XDR 的核心平台，整合建立數據湖，構建 全面安全運營能力。綠盟智能安全運營平台（ISOP）融合 XDR 的能力，利用人工智慧（AI） 進行事件調查響應，以集成、開放的架構設計簡化了安全防護工作，通過低成本的安全編 排與響應能力降低安全運營複雜性、加快檢測速度，協調各個安全組件響應跨整改組織的 威脅攻擊，在專有界面中提供全面的可視性，從根本上減少威脅駐留時間和人工操作，幫 助企業抵禦攻擊。

山石網科規劃落地以智源安全運營平台為中心的 XDR 方案，聯動自身已有的多類安 全組件。山石網科通過智源平台聯動 NGFW、IDPS、HSM、WAF、雲格、雲界、EDR 等 多組件，關聯各層面安全數據，進行攻擊事件樹的繪製，對威脅的影響範圍、發生過程進 行溯源，同時聯合 SOAR 實現威脅的精準檢測和快速響應。山石網科 XDR 方案功能涵蓋： 1）多組件、多手段感知資產並梳理分類，全網溯源，威脅定位具體資產；2）探針進行全 流量採集，深度檢測勒索、挖礦等 APT 投遞途徑，及早發現異常；3）將智源平台的網路 監測數據與 EDR 的終端進程日誌、安全設備日誌、情報等進行關聯分析，秒級定位威脅， 同時大幅消減無效告警；4）通過 SOAR 幫助用戶對惡意行為進行自動響應，結合情報， 配置阻斷策略，無需人工干預即完成主動安全強化。

（本文僅供參考，不代表我們的任何投資建議。如需使用相關信息，請參閱報告原文。）

精選報告來源：【未來智庫】。未來智庫 - 官方網站

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！