信息安全行业专题报告：XDR，信息安全下一步胜负手_

（报告出品方/作者：中信证券，杨泽原、丁奇、潘儒琛）

XDR 集多个安全产品能力于一体，实现云-网-端全面防护

XDR 是近几年产业热点安全技术之一，其联动多个安全产品功能，提高整体安全建设和安全运营方案的有效性。XDR（Extended Detection and Response）是指扩展威胁检测与响应平台，其联动网络、终端、云等层面的安全产品，结合威胁情报、大数据处理和机器学习技术，有效提升安全威胁检测和事件响应能力。根据 Gartner 的定义，XDR 是一个安全平台，将特定供应商的多个安全产品，原生地集成到一个统一的安全运行系统中。在 Gartner 新发布的《Market Guide for Extended Detection and Response》中，已经将 XDR 技术扩展至 FWaaS、NDR、SWG、EDR、UEM、DLP 等能力的综合体，因此，XDR 中的“X”代表着安全能力的持续扩展，结合数据中台技术、自动化编排技术及安全分析技术，形成面向多种甚至未知安全场景的综合型安全解决方案。

伴随网络攻击逐渐复杂化、隐蔽化，传统单点防御无法应对持续性威胁，XDR 有望消除政企机构安全孤岛导致的运营低效。目前，网络攻击正在变得更加隐蔽和复杂，攻防对抗从原来的技术之争逐步演变为速度之争。尽管政企机构此前已经配备了防火墙、IDS、 IPS、WAF 等安全设备，但是这些设备每天产生海量告警，且来自不同厂商的设备各自为战、检测割裂，难以将多个节点的痕迹自动关联成一个完整的安全事件，安全团队及时跟进告警分析与事件响应的难度大。根据 ESG 的调查，76%的安全人员认为，当前的威胁检测和响应工作比两年前困难得多，一方面是因为威胁数量大幅增加，另一方面是因为安全人员仍然依靠手动流程来工作。鉴于此，XDR 通过集成各自为战的单点安全产品，形成整体检测和响应策略来消除安全孤岛。

与 EDR 相比，XDR 是 EDR 的扩展和增强版，具备更强大的检测能力、响应处置能力，将减轻政企机构安全运营负担，聚焦实质性安全威胁。XDR 的优势体现在：多元化的检测能力、体系化的响应处置能力、各类环境的广泛适配、不断强化的订阅能力。相较于端点安全产品 EDR，XDR 的告警更加完整，安全调查更加高效，同时，XDR 关注的不仅仅是技术问题，还有政企机构的运营需求。XDR 可大幅减少政企机构安全人员低价值的重复工作，自动将告警汇集成安全事件，使得安全人员聚焦到应对真正具备威胁的风险上。

XDR 于 2018 年由 Palo Alto 首席技术官 Nir Zuk 提出，2020-2021 年连续入选 Gartner 端点安全、安全运营技术成熟度曲线，目前处于创新启动期。早在 2017 年，Gartner 指出，未来 5 年企业的网络安全支出战略、预算结构将发生重大改变，重心将从阻止向检测和响应倾斜。2019 年，在国际信息安全领域规模最大的产业盛会——RSA 大会上，有关 XDR 的讨论开始升温。此后，Gartner 将 XDR 列为 2020 年第一大安全技术趋势，以及 2020-2021 年十大安全项目之一。在有科技产业界风向标之称的 Gartner 技术成熟度曲线中，端点安全和安全运营两个领域在 2021 年都提及了 XDR，位置处于创新启动期，说明 XDR 依然处于早期成长阶段，潜在的发展空间广阔。

XDR 潜在市场空间达百亿级，综合型厂商具备布局优势

XDR 有望成为行业内主流部署方式，渗透率将快速提升

对于大型政企机构而言，XDR 能力可以分阶段被集成在已建成的 SOC 中，亦可用于攻防实战。许多大型政企已经在 SOC 上拥有积累，如建立 SIEM、SOAR 等，XDR 可增强现有的 SOC 技术和流程。SIEM 从整个企业聚合和分析日志数据，但只是一种发出警报的被动工具，很少用到上下文分析和安全产品的关联分析，安全团队或被海量警报淹没；根据 Solarwinds 白皮书调查数据，拥有一千名员工公司部署的 SIEM，每秒钟记录的安全事件数多达 2.2 万个。由此，XDR 可与 SIEM 协同，充分利用其产生的安全日志数据。SOAR 对于 SIEM 产生的报警和安全事件进一步进行流程化自动化分析&处置，对企业的安全建设及业务配合要求更高，目前在国内市场仍处于初级阶段。相较于 SOAR，XDR 在部署时集成特定供应商产品的能力更强，更加聚焦威胁检测和事件响应，且轻量化、标准化。此外，相较于主要采集网络流量和第三方安全设备日志信息的态势感知平台，XDR 补齐对终端侧的感知，并且能在众多的告警中关联查找、发现真正的威胁。根据安全牛的观点，XDR 在大型政企机构的应用场景还包括：在网络攻防实战、HW 行动中，使用 XDR 平台，实现快速联动分析。

对于中小客户而言，XDR 未来有望成为安全建设的首选。对于未建立 SOC 或态势感知全面配置的中小客户，XDR 具有更为重要的价值，在快速安装部署、快速配置集成、快速使用见效等方面具备明显优势。XDR 通过统一、高度集成的方案，为简化企业的安全运营人力需求提供了便利性和回报率，有望成为中小客户以及教育医疗机构、地方政府等的首选。XDR 的目标是“SOC-lite”，中小客户无需部署复杂、昂贵的 SIEM 和 SOAR，而是在预算和安全人员有限的情况下，上线轻量化的、“开箱即用”的 XDR 平台。

综合型厂商在 XDR 布局上具备优势，客户粘性和客单价有望进一步提升

综合型厂商在 XDR 布局上具备优势，未来或通过并购投资实现安全能力的持续生长。结合 XDR 定义，网络安全公司提供 XDR 的能力需要循序渐进地形成。亚信安全对 XDR 的发展提出具体设想：首先，布局集成的探针类产品终端、网络、云、邮件以及身份安全；然后，基于厂商已有能力提出场景化的 XDR 解决方案；最后，通过 XDR 集成各类安全设备，以及提升自动化程度、检测效果。我们认为，XDR 仍处于初步产品化时期，距离实现提供成熟的跨厂商、跨产品的集成能力仍需一定时间。与此同时，综合型网络安全厂商更注重产品线的全面性，在集成自身产品基础上实现 XDR 布局具备显著优势。专精型厂商在一些细分领域的技术演进速度或领先于综合型厂商，因此伴随 XDR 发展，网络安全行业的投资并购活动或更加频繁，综合型厂商通过并购新兴安全厂商以追求扩大 XDR 的场景覆盖与竞争力。海外围绕 XDR 的投资活动十分活跃，如 Google 宣布斥资 54 亿美元收购网安公司 Mandiant。

中长期看，XDR 或推动安全行业开放标准建设，打破厂商之间的隔阂。总体来看，网络安全厂商提供 XDR 有三种路径：1）原生 XDR，由单一供应商提供所有设备，特别是本身在 EDR 上积淀深厚的厂商更倾向于此，优点是集成度高，缺点是用户可能已经部署多家厂商的产品，不愿意重复投资；2）开放 XDR，厂商集成多家第三方厂商的产品与技术，适合于 SIEM、SOAR 厂商，难题是如何说服其他同行参与；3）混合 XDR，厂商提供几乎所有的 XDR 组件，但允许集成第三方工具，使得客户充分利用此前在安全基础设施上的投资。在当前背景下，网络安全厂商期望客户在 XDR基础架构中整合自身提供的所有设备，但考虑到安全行业的多样化以及客户原有部署的安全基础设施可能来自不同的品牌，厂商需要支持一定程度的开放性，包括开源消息总线集成、开放的 API、合作伙伴生态系统、行业标准等。因此，中长期看，安全行业内部的设备互联互通标准、数据格式标准等有望逐步建设，推动厂商之间打破隔阂。

此外，安全托管服务的重要性或将提升，与 XDR 相辅相成。XDR 与 MDR（托管检测和响应服务）存在一定的竞争关系，但事实上，企业 CISO 关注的是威胁检测和响应的效果，XDR 供应商未来也有可能建立自己的托管服务团队或与 MDR 服务商达成合作。从海外来看，CrowdStrike、FireEye、Secureworks、Trend Micro 等厂商正在提供 XDR 和 MDR 集成的产品服务组合。许多中小企业通过 MSS（安全托管服务）来获得业务系统的安全保障，XDR 与 MSSP（安全托管服务提供商）同样存在合作机遇：一方面，XDR 的成功落地仍然需要借助安全专家的专业技能，企业需要具备通过智能分析对噪声中的真实事件进行排序并确定响应优先级能力的人才；同时，对于 MSSP 而言，借助于 XDR，可以投入更少的人力、花费更低的成本，来搭建一套有效的安全技术架构，为客户提供可靠的安全服务，并获得运营收益。

随着 XDR的应用逐步深化，安全厂商在销售策略上或更加关注客户的业务与战略， XDR 有助于客户粘性提升，进一步带来客单价的增长。XDR 的价值主张是用一整套集成的专有产品套件，代替来自不同网络安全公司的工具，对于政企机构而言，这需要分步骤进行，因为已经投资建设或部署的安全设备需要时间周期进行替换。XDR 供应商需要说服政企机构认同 XDR 的理念，同时，对于网络安全厂商而言，这意味着要从交易型销售转变为战略型销售，以用户与业务为中心，将产品服务与行业属性深度结合，提供匹配的解决方案。在此过程中，网络安全厂商与客户的粘性将得以强化，传统安全公司多销售硬件类产品，需要持续获取新客户、新销售机会，而 XDR 为客户提供逐步叠加的安全组件，使得供应商、客户的粘性增加，更易于拓展产品合作，打开了客单价增长空间。（报告来源：未来智库）

网安厂商加快布局，推出多形式 XDR 产品

海外 XDR 市场表现火热，各类安全厂商踊跃探索前进方向

海外 XDR 市场火热，安全厂商积极探索方向，XDR 技术在实际场景中发挥作用。从海外来看，网络安全先进技术发展方向出现变化，厂商通过着重发展云化、服务化方式交付核心安全能力，通过产业促进、自发开放等方式扩大厂商间、产品间对接，以提升整体安全效果，而 XDR 充分符合这一发展趋势。目前，海外大型网络安全厂商纷纷发布 XDR 套件，不限于 Palo Alto、Check Point、Fortinet、Trend Micro、Trelix（FireEye & McAfee）、 Cisco 等，反映了 XDR 市场前景的广阔。同时，各类厂商的具体思路不同，如趋势科技、 Palo Alto、Crowdstrike 等厂商基于 EDR 构建 XDR 能力，而 Exabeam、LogRhythm 等厂商基于 SIEM 发力 XDR，不同禀赋或决定其 XDR 能力的差异。

Palo Alto 于 2019 年推出业界首个原生集成网络、终端、云和第三方数据来阻止攻击的 XDR 平台——Cortex XDR。Cortex XDR 是基于云的应用，在调查方面，支持接入第三方数据引擎，开发自定义收集解析规则，对第三方数据源进行规范化；在分析检测方面，使用云主机、流量和审计日志+Prisma Cloud 警报对以云为中心的威胁进行检测，通过防火墙、IAM（Okta、Ping Azure AD）、AD、HR 平台（Workday）、SASE 网关分析用户活动；在事件响应方面，Cortex XDR 本地分析引擎以机器学习技术为驱动，实现业界领先的恶意软件检测率，并借助敏捷架构实现模型快速更新，从而应对多变的攻击技术。

Cortex XDR 持续升级产品，不断提高安全效率。随着安全威胁的发展，Cortex XDR 在不断创新的基础上，致力于提供新功能，以提高安全效率并简化操作，目前 3.0 系列产品已经发布。2021 年 11 月，Palo Alto 和普华永道中国宣布扩大合作，将把普华永道提供的托管安全服务与 Cortex XDR、Cortex XSOAR 安全平台相结合，在中国市场提供安全运营服务，减轻安全运营人员的负担，实现从警报管理、调查到事件响应的全天候覆盖，从而进一步提高安全运营效率。

CrowdStrike 基于 EDR 发展 XDR，强调 EDR 的突出地位，2021 年发起成立 CrowdXDR 联盟。CrowdStrike 正从单一的 EDR 供应商转型为包括 XDR、SOAR 和 SIEM 的多产品安全平台公司。CrowdStrike 强调终端安全依然是其基本盘，CTO Sentonas 认为，“好的 EDR 本身就构成了 XDR 方案的 90%”，同时指出，“XDR 并不是日志管理，我们实现 XDR 的方法是在不损失 EDR 能力的前提下去增加 XDR 的功能”。2021 年初， CrowdStrike宣布将以4亿美元收购日志管理平台Humio，将其打造为安全数据集成平台。 2021 年 10 月，CrowdStrike 推出 XDR 模块，同时发起成立 CrowdXDR 联盟，启动合作伙伴包括来自云、Web、电子邮件、身份、网络、OT 和 IT 运营等安全和 IT 行业的领导者。

国内亚信安全较早提出 XDR，头部网安公司近几年陆续布局

亚信安全是国内较早提出XDR 的网络安全厂商，2019 年正式推出 XDR 解决方案。 AIS XDR 具备集成套件产品、统一配置管理、场景化分析处置、威胁情报联动等四大核心能力。前端由终端、主机、网络、身份、邮件网关类产品构成，为高级威胁检测提供了最重要的遥测数据；XDR 统一威胁运营平台基于安全大数据分析技术，构建了威胁建模，报警收敛、事件聚合等核心技术，通过威胁情报的赋能，有效联动各类产品，遏制报警风暴、还原攻击链路、自动处置高级威胁。亚信安全通过 XDR 套件，为客户提供了更全面的联动安全防护能力，同时以持续授权方式提供实时更新的威胁情报库、威胁情报分析及专业服务，使得厂商与客户之间产生了长期的用户粘性，更易于合作的深化。

亚信安全募资建设“智能联动安全产品建设项目”，形成基于 XDR 和安全中台的智能化联动安全平台，未来 XDR 还将提升安全服务价值。智能化联动安全平台将以 XDR 产品套件、安全中台解决方案或综合服务的方式交付给客户，具有三大特点：1）全云化，全线产品 SaaS 服务化交付，实现云 XDR 和云态势驱动的 SaaS 安全中心；2）全连接，产品之间数据接口联通、数据情报共享，实现管理平台联动编排、客户本地威胁分析中心情报共享、云端威胁情报联动全网免疫；3）全智能，通过威胁情报和机器学习分析，实现安全可视化、自动化、智能化，从而显著降低安全配置和事件响应的复杂性。亚信安全未来还将 XDR 与安全服务相结合。传统的安全服务往往重人力投入，在成本端压力较大。亚信安全在建立成规模的安全专家团队的同时，将服务结合 XDR 平台、优势产品的能力，助力客户切实解决安全问题，为客户提供更多战略价值，也保证了自身安全服务业务未来的毛利率企稳。以 XDR 产品套件为核心工具平台的托管安全服务，以风险管理为中心，提供暴露面管理、高级威胁分析、安全事件管理、本地威胁情报管理、威胁猎捕等服务内容，驱动客户网络安全建设、攻防对抗能力整体提升。

深信服发布 SaaS XDR，提升安全事件处置效率。基于网络安全领域多年积累的检测、响应等能力，深信服面向攻防实战设计了深度关联分析和联动响应机制，有效打通了跨品类安全产品能力的融合。在数据采集方面，公司 SaaS XDR 将端、网、云等遥测数据构建为完整的攻击链，把海量告警转换为安全事件，实现告警削减近 90%；在安全检测方面，结合 IOA、IOC 检测技术，叠加云端专家提供的 XTH 威胁鉴定能力，实现事件检测精准度达到 99%。此外，开放性让深信服 XDR 不仅可以集成自家的安全产品，也可以和产业内的产品融合，帮助用户复用现有投资，将各类产品有效联动应对攻击威胁。

未来，深信服将开放 SASE 3.0 能力对接 XDR，提供一站式安全服务。以 SASE、MSS、 XDR 思想在云端构建安全防护体系，未来，SASE、XDR、零信任、开发安全有望成为深信服四大安全平台。SASE 3.0 最核心的技术升级体现为在 SASE 节点上实现全安全栈，通过编排的方式实现按需使用和分类防护，包括上网流量接入审计、管控和防火墙能力，内网流量接入零信任、内网 WAF 等能力。SASE 3.0 通过平台方式把安全工具化、服务化，深信服将开放 SASE 3.0 能力对接 MSS、XDR 平台以及广大安全生态伙伴，以便给用户提供更高阶的和一站式的安全服务。（报告来源：未来智库）

奇安信 XDR 解决方案以天眼系统为主，全线产品联动，突出实战攻防，打造“云管端”一体化安全防护能力。奇安信天眼系统以攻防渗透和数据分析为核心竞争力，聚焦威胁检测和响应，为安全服务和分析人员提供一套在监测预警、威胁检测、溯源分析和响应处置上得心应手的威胁检测平台。2018 年开始，天眼系统与奇安信安服体系整合，顺利进入政企客户攻防对抗一线，实战化水平、防守效果得到验证。凭借天眼系统的优势，奇安信在国内威胁检测与响应市场领先，根据数世咨询 2020年发布的《威胁检测与响应（TDR）市场指南》报告，奇安信在应用创新力和市场执行力两个维度，均位列 15家入围厂商第一名。通过天眼系统与终端管理系统（天擎）、下一代智慧防火墙（NGFW）、服务器安全管理系统（椒图云锁）、攻击诱捕系统（蜜罐）等产品的协同联动，奇安信能够帮助客户更好更快地发现攻击方的攻击行为。2021 年，奇安信还发布天眼 MDR 安全托管服务，助力提升企业安全运营效率。

启明星辰 XDR 安全运营服务“远程+本地”协同联动，相较于传统安全运营服务更加轻量化。启明星辰 XDR 方案是以紧耦合方式实现快速威胁检测和响应的工具集，完整覆盖 EDR、加密隧道检测、全流量取证分析、沙箱样本分析、攻击链还原等核心能力。XDR 安全运营服务的优势体现在：1）轻量化，运营所需的平台、技术工具均可以租赁的形式提供，减少客户的一次性建设投入；2）基于实战演练视角，将服务划分为脆弱性闭环管理和持续性威胁管理，前者侧重于对客户资产的安全监测和漏洞发现，后者侧重于对客户网络安全事件的监测和响应处置，通过对两类服务的组合，为客户的网络安全监测与防御技术堆栈提供有效性验证机制，帮助客户构建起基于实战视角的网络安全监测、分析、响应和防御体系。启明星辰坚持“第三方独立安全运营”的理念，已在全国各地 30 多个城市开展安全运营业务，XDR 安全运营服务有望迎来持续发展。

安恒信息新发布 AXDR 高级威胁检测与分析系统，作为态势感知方案组成，全方位覆盖日常运维、重保、攻防演练等场景。AXDR 是基于安恒信息的威胁检测和数据分析能力，构建的一种跨多个安全层收集并自动关联信息以实现快速威胁检测和事件响应的解决方案。AXDR 结合网络、终端告警，自动化提取安全事件，具备威胁检测、攻击溯源、场景感知、威胁响应和威胁狩猎等功能。在日常安全运维中，AXDR 提供丰富的检测手段，如规则引擎检测、语义分析检测、机器学习检测、情报库碰撞、异常行为检测等，支持与其他安全设备联动。在重大场景保障中，AXDR 提供多视角检测方案以及态势感知大屏，通过安全事件聚合、关联分析等手段进行分析，帮助安全分析人员及时捕捉重要威胁来源，同时对危险来源进行追踪溯源，保障网络环境安全。在实战化攻防演练中，AXDR 结合安全专家红蓝对抗，组织网络安全实战化攻防演练，构建“检测-预警-监测-防护-分析-溯源” 网络安全攻防体系，提高单位网络安全意识，增强安全防护能力，检验单位应急响应能力。

迪普科技检测与响应系统（XDR）以安全大数据、云计算、人工智能引擎、威胁情报、检测与响应等新技术为支撑，保障政企用户全网终端安全。迪普科技 XDR 系统主要面向政企用户，集恶意代码防御、漏洞修复、检测与响应（EDR）、桌面管控等功能于一体，兼容不同操作系统和计算平台，基于单一代理、单一管理控制台帮助客户建立面向已知和未知威胁防护以及统一管控、高效运维的新一代网络安全立体防护体系。

绿盟科技智能安全运营平台（ISOP）作为 XDR 的核心平台，整合建立数据湖，构建全面安全运营能力。绿盟智能安全运营平台（ISOP）融合 XDR 的能力，利用人工智能（AI）进行事件调查响应，以集成、开放的架构设计简化了安全防护工作，通过低成本的安全编排与响应能力降低安全运营复杂性、加快检测速度，协调各个安全组件响应跨整改组织的威胁攻击，在专有界面中提供全面的可视性，从根本上减少威胁驻留时间和人工操作，帮助企业抵御攻击。

山石网科规划落地以智源安全运营平台为中心的 XDR 方案，联动自身已有的多类安全组件。山石网科通过智源平台联动 NGFW、IDPS、HSM、WAF、云格、云界、EDR 等多组件，关联各层面安全数据，进行攻击事件树的绘制，对威胁的影响范围、发生过程进行溯源，同时联合 SOAR 实现威胁的精准检测和快速响应。山石网科 XDR 方案功能涵盖： 1）多组件、多手段感知资产并梳理分类，全网溯源，威胁定位具体资产；2）探针进行全流量采集，深度检测勒索、挖矿等APT 投递途径，及早发现异常；3）将智源平台的网络监测数据与 EDR 的终端进程日志、安全设备日志、情报等进行关联分析，秒级定位威胁，同时大幅消减无效告警；4）通过 SOAR 帮助用户对恶意行为进行自动响应，结合情报，配置阻断策略，无需人工干预即完成主动安全强化。