XDR是安全威脅檢測(cè)和響應(yīng)平臺(tái),，是一種跨多個(gè)安全層收集并自動(dòng)關(guān)聯(lián)信息以實(shí)現(xiàn)快速威脅檢測(cè)的方法,，方案功能視廠商而有所不同。XDR方案價(jià)值包括：直接集成安全產(chǎn)品開箱即用,；統(tǒng)一的安全數(shù)據(jù)歸一化和中心化可供分析和查詢,；多種產(chǎn)品的配合和協(xié)調(diào),，改進(jìn)檢測(cè)的敏感性及響應(yīng)過程；降低獲得總體擁有成本（TCO）,。XDR解決方案目前還處于初期階段,，且多應(yīng)用于傳統(tǒng)信息系統(tǒng)，未有涉及工業(yè)互聯(lián)網(wǎng)領(lǐng)域,。由于工業(yè)互聯(lián)網(wǎng)對(duì)于提高安全運(yùn)營(yíng)的效率和價(jià)值,，增強(qiáng)檢測(cè)和響應(yīng)的能力的需求不斷增強(qiáng)，在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域借鑒XDR概念,，探索工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域XDR方案,，實(shí)現(xiàn)工業(yè)場(chǎng)景下跨產(chǎn)品的集成和分析統(tǒng)一以及安全數(shù)據(jù)歸一化,，基于多產(chǎn)品協(xié)調(diào)聯(lián)動(dòng)，改進(jìn)檢測(cè)敏感性和響應(yīng)效率,，并顯著減少警報(bào)的數(shù)量,，廣泛應(yīng)用于威脅分級(jí)、威脅調(diào)查和威脅狩獵等場(chǎng)景,。

XDR是一種基于SaaS的,，綁定到特定供應(yīng)商的安全威脅檢測(cè)和事件響應(yīng)工具，可以將(該供應(yīng)商的)多個(gè)安全產(chǎn)品原生地集成到一個(gè)統(tǒng)一的安全運(yùn)行系統(tǒng)中,，以統(tǒng)一所有授權(quán)的安全組件,。XDR是一種新的技術(shù)，更是一種解決方案,，可提高威脅檢測(cè)和事件響應(yīng)效率,。XDR在功能上與SIEM以及SOAR工具相似，區(qū)別在于其具備在部署時(shí)集成特定廠商產(chǎn)品的能力,，更加聚焦威脅檢測(cè)和事件響應(yīng),。XDR主要是用來保護(hù)終端用戶及其使用的應(yīng)用程序和數(shù)據(jù)，也可以擴(kuò)展到數(shù)據(jù)中心保護(hù),、身份和訪問管理等,。XDR的概念架構(gòu)如下圖，基于終端用戶的保護(hù)需要最上層的安全產(chǎn)品(EDR,、DLP,、FW、IPS,、NTA等),，然后是數(shù)據(jù)的歸一化，以及數(shù)據(jù)湖再到數(shù)據(jù)關(guān)聯(lián),，從而形成事件響應(yīng),、自動(dòng)化、工作流以及API的相關(guān)價(jià)值,。

　　工業(yè)互聯(lián)網(wǎng)是鏈接工業(yè)全系統(tǒng),、全產(chǎn)業(yè)鏈、全價(jià)值鏈,，支撐工業(yè)智能化發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施,，是新一代信息技術(shù)與制造業(yè)深度融合所形成的新興業(yè)態(tài)和應(yīng)用模式，是互聯(lián)網(wǎng)從消費(fèi)領(lǐng)域向生產(chǎn)領(lǐng)域,、從虛擬經(jīng)濟(jì)向?qū)嶓w經(jīng)濟(jì)拓展的核心載體,。工業(yè)互聯(lián)網(wǎng)通過系統(tǒng)構(gòu)建網(wǎng)絡(luò)、平臺(tái),、安全三大功能體系,，打造人,、機(jī)、物全面互聯(lián)的新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施,，形成智能化發(fā)展的新興業(yè)態(tài)和應(yīng)用模式,。工業(yè)互聯(lián)網(wǎng)為工業(yè)生產(chǎn)帶來機(jī)遇的同時(shí)，也引入了新的風(fēng)險(xiǎn),，設(shè)備種類數(shù)量多,，且設(shè)備廣泛互聯(lián)，導(dǎo)致漏洞后門資源多,，攻擊路徑多,，近年工業(yè)互聯(lián)網(wǎng)安全的事件頻發(fā)，為工業(yè)互聯(lián)網(wǎng)安全敲響了警鐘,。安全是工業(yè)互聯(lián)網(wǎng)的重要保障,，工業(yè)互聯(lián)網(wǎng)的發(fā)展需要完善的安全體系保駕護(hù)航。工業(yè)互聯(lián)網(wǎng)對(duì)于威脅檢測(cè)與事件響應(yīng)需求同樣迫切,，XDR理念在工業(yè)互聯(lián)網(wǎng)安全具有借鑒意義,。

　　XDR源于EDR，但XDR并不局限于終端,，而是將多個(gè)來源（如網(wǎng)絡(luò)、情報(bào)）的信息組合起來以檢測(cè)威脅,。XDR可以縱觀網(wǎng)絡(luò)威脅中的多種元素,，將威脅情報(bào)、網(wǎng)絡(luò)數(shù)據(jù),、日志信息等都納入進(jìn)來,。從EDR到XDR，是安全技術(shù)演進(jìn)的必然過程,。為了應(yīng)對(duì)高級(jí)攻擊,，需要關(guān)聯(lián)來自終端和其他位置的數(shù)據(jù)進(jìn)行威脅狩獵，XDR因而在2020年進(jìn)入了Gartner成熟度曲線,。成熟度曲線表明XDR進(jìn)入創(chuàng)新啟動(dòng)期,，XDR方案將提高安全檢測(cè)準(zhǔn)確性，并提高安全運(yùn)營(yíng)效率,。

　　XDR是近兩年提出的新概念,，在國(guó)外已經(jīng)得到了主流客戶和咨詢機(jī)構(gòu)的認(rèn)可。國(guó)外大型安全廠商如思科,、微軟,、Fortinet、Fidelis Cybersecurity,、McAfee,、Palo Alto Networks,、Symantec、Trend Micro,、FireEye,、Rapid7和Sophos是XDR的潛在供應(yīng)商。思科XDR方案跨電子郵件,、端點(diǎn),、服務(wù)器、云工作負(fù)載和網(wǎng)絡(luò)收集并關(guān)聯(lián)數(shù)據(jù),，從而實(shí)現(xiàn)對(duì)高級(jí)威脅的可見性,。然后對(duì)威脅進(jìn)行分析、排序,、追蹤和修復(fù),，以防止數(shù)據(jù)丟失和安全漏洞。Fortinet XDR解決方案利用人工智能 （AI） 進(jìn)行事件調(diào)查響應(yīng),，可自動(dòng)化完成通常由經(jīng)驗(yàn)豐富的安全分析人員處理的安全運(yùn)營(yíng)流程,，實(shí)現(xiàn)跨廣泛的攻擊面更快速地緩解威脅。FireEye XDR方案提供可管理的檢測(cè)和響應(yīng)服務(wù),，采取明確的措施來防止事件發(fā)生并減少漏洞帶來的影響,。FireEye提供了針對(duì)端點(diǎn)安全、網(wǎng)絡(luò)安全和取證,、電子郵件安全等的解決方案,。

　　XDR目前主要應(yīng)用傳統(tǒng)信息安全領(lǐng)域，不完全適用于工業(yè)互聯(lián)網(wǎng)安全場(chǎng)景,。工業(yè)互聯(lián)網(wǎng)安全與傳統(tǒng)信息安全存在差異,，工業(yè)系統(tǒng)以“可用性”為第一安全需求，而傳統(tǒng)信息安全以“機(jī)密性”為第一安全需求,。工業(yè)互聯(lián)網(wǎng)安全在防護(hù)目標(biāo),、網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)傳輸,、運(yùn)行環(huán)境,、管理維護(hù)等方面有其特殊性，故不能用傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)思路解決工業(yè)互聯(lián)網(wǎng)安全問題,。工業(yè)互聯(lián)網(wǎng)XDR方案不能完全照搬當(dāng)前的傳統(tǒng)信息安全XDR方案,。

　　從安全實(shí)戰(zhàn)出發(fā)，切實(shí)提升網(wǎng)絡(luò)安全的檢測(cè)與響應(yīng)能力,，是工業(yè)互聯(lián)網(wǎng)對(duì)未來安全要求,。工業(yè)互聯(lián)網(wǎng)安全可借鑒XDR理念，結(jié)合工業(yè)互聯(lián)安全需求特點(diǎn)對(duì)XDR架構(gòu)做針對(duì)性調(diào)整,，通過集成工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品（工業(yè)終端安全產(chǎn)品,、工業(yè)防火墻,、工業(yè)審計(jì)、工業(yè)入侵檢測(cè),、工業(yè)網(wǎng)閘,、加密裝置、工業(yè)全流量分析系統(tǒng)）,，對(duì)日志數(shù)據(jù),、流量數(shù)據(jù)等安全數(shù)據(jù)進(jìn)行數(shù)據(jù)歸一化處理、數(shù)據(jù)存儲(chǔ),、關(guān)聯(lián)分析,，最終實(shí)現(xiàn)綜合的威脅檢測(cè)和響應(yīng)平臺(tái)，打破安全數(shù)據(jù)壁壘,，將安全產(chǎn)品天然融合在一起,，通過實(shí)時(shí)的安全風(fēng)險(xiǎn)評(píng)估、違規(guī)\惡意行為挖掘,、安全事件關(guān)聯(lián)分析,、場(chǎng)景化的安全響應(yīng)定制等功能，行成一套閉環(huán)優(yōu)化的安全運(yùn)營(yíng)體系,，有效提升工業(yè)互聯(lián)網(wǎng)企業(yè)安全運(yùn)營(yíng)效率與安全防護(hù)水平,。

　　工業(yè)互聯(lián)網(wǎng)XDR方案提供了一種攻擊的檢測(cè)及響應(yīng)方案，可基于全流量,、日志,、情報(bào)、資產(chǎn)等源數(shù)據(jù),，充分運(yùn)用大數(shù)據(jù)、流式計(jì)算,、AI等技術(shù),，發(fā)現(xiàn)網(wǎng)絡(luò)中存在網(wǎng)絡(luò)攻擊、異常行為等已知威脅和未知威脅并快速響應(yīng),。XDR具備改進(jìn)保護(hù),、檢測(cè)和響應(yīng)能力提高安全運(yùn)營(yíng)員工的效率、降低獲得有效檢測(cè)和響應(yīng)能力的總體擁有成本等優(yōu)勢(shì),，對(duì)于沒有足夠的網(wǎng)絡(luò)安全人才或技能來推出自己的集成架構(gòu)的工業(yè)企業(yè)更具吸引力,。

　　建議從以下方面促進(jìn)XDR方案在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域應(yīng)用發(fā)展：1、加強(qiáng)技術(shù)投入,。安全廠商提高產(chǎn)品的梳理和研發(fā)迭代能力,，集成的安全產(chǎn)品API化打通，提供更廣泛更數(shù)據(jù)接入,，提高威脅的檢出和處置能力,。拓寬XDR場(chǎng)景適用性,，針對(duì)性的開發(fā)工業(yè)互聯(lián)網(wǎng)XDR方案，無(wú)論與SIEM/SOC深度結(jié)合還是作為SIEM/SOC的高性價(jià)比替代品都將為工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系建設(shè)增加助力,。

　　2,、加強(qiáng)XDR市場(chǎng)推廣。針對(duì)工業(yè)互聯(lián)網(wǎng)安全市場(chǎng)更廣泛宣傳推廣XDR方案,。目前XDR處在發(fā)展初期,，尚未形成統(tǒng)一的方案標(biāo)準(zhǔn)，廠商根據(jù)自身產(chǎn)品積累及集成能力來確定安全產(chǎn)品集成范圍,。工業(yè)互聯(lián)網(wǎng)XDR市場(chǎng)尚未開發(fā)培育,，小型創(chuàng)業(yè)公司和大型安全企業(yè)有同臺(tái)競(jìng)技機(jī)會(huì)，共同做大做強(qiáng)XDR市場(chǎng),。

　　3,、加快制定相關(guān)標(biāo)準(zhǔn)。目前XDR在國(guó)內(nèi)外缺少相應(yīng)方案標(biāo)準(zhǔn),，建議推動(dòng)相關(guān)標(biāo)準(zhǔn)出臺(tái),，加速XDR的標(biāo)準(zhǔn)化進(jìn)程，并積極推動(dòng)XDR在工業(yè)互聯(lián)網(wǎng)應(yīng)用的標(biāo)準(zhǔn)落地,。