重新定义XDR市场的6个关键趋势

面对不断升级的网络安全威胁以及企业整合零散安全技术的需求，扩展检测与响应（XDR）市场正经历显著增长。

通过将端点检测与响应（EDR）、网络检测与响应（NDR）、安全信息与事件管理（SIEM）和威胁情报等技术整合到统一的XDR平台中，企业能够更快、更高效地检测威胁并做出响应。
 

Business Research Insights预测XDR市场的复合年增长率将达到14%，到2033年达到50亿美元。Grand View Research则估计市场每年将增长20.7%，到2030年将超过34亿美元。
 

尽管XDR技术作为威胁缓解手段前景广阔，但其复杂性和缺乏标准化阻碍了更广泛的采用。行业分析师和安全供应商认为，市场整合以及AI技术融入XDR平台也推动了市场的演进。

 

一．统一平台 vs. 最佳单点方案
 

企业实施XDR技术的主要挑战在于其与传统EDR平台相比可能更昂贵而且更复杂。不过，这种劣势可以被安全工具整合所带来的效益所抵消。
 

全球研究和业务发展总监Joe Turner表示，向统一XDR平台的转变主要是为了应对客户因管理太多分散工具（如EDR、NDR、SIEM等）而产生的“疲劳”。 特别是对于缺乏大型安全运营中心的中小企业而言，围绕EDR、NDR、SIEM等单点解决方案构建安全堆栈是一件非常复杂的事情。
 

Huntress的主管Nisarg Desai指出，XDR最初的愿景是通过整合跨端点、网络、身份和云的检测与响应来简化安全性，但在实践中却往往增加了更多复杂性，尤其对于缺乏完善SOC团队的组织。大多数XDR解决方案默认无管理，需要大量调优和专业知识，主要面向已具备内部人员、流程和基础设施的大型企业构建。此外，试图在现有XDR平台上增加管理检测和响应（MDR）服务，还可能导致信号相关性差、响应时间慢、运营开销增加等。

 

 

对于许多企业来说，完全配备人员的SOC遥不可及，这推动了XDR即服务的兴起，以满足对可托管、可扩展安全功能日益增长的需求。
 

Acronis首席安全研究员Santiago Pontiroli表示：“随着团队规模的扩大和攻击面的扩大，许多组织都转向可信赖的供应商，以提供全天候的检测和响应，这种模式是企业从集成的威胁可见性和更快的事件响应中受益，而无需自己构建和维护基础设施的开销”。
 

而根据Context的Turner的说法，对XDR即服务的需求蓬勃发展主要受两个因素驱动：一方面是许多中小企业负担不起自己的SOC，另一方面是MSP和MSSP寻求经常性收入和可扩展的服务交付。XDR即服务使MSP能够转售管理检测和响应功能，而无需自己构建整个堆栈，并且分销商也越来越多地通过云市场提供XDR即服务捆绑包。

 

 

人工智能和机器学习在使XDR系统更具可扩展性和有效性方面发挥着关键作用。
 

Acronis的Pontiroli指出“这些技术有助于识别模式、减少误报，并从海量数据中提取高质量警报。此外，机器学习模型可以学习跨多个层级（如端点、网络和用户活动）的行为，从而检测不依赖已知特征的威胁。人工智能也越来越多地被用于通过上下文丰富警报，并驱动自动化或半自动化的响应操作，使得人力有限的安全团队能够跟上复杂攻击的步伐。”
 

目前，网络安全厂商普遍在大力投资AI技术。具体到XDR，AI可以在警报分诊、行为分析和异常检测等功能上提供帮助。然而，在铺天盖地的以AI为重点的网络安全产品营销中，产品开发的这些细节往往被买家忽略。
 

Context的Turner说：“我们从合作伙伴那里听到的主要挑战是差异化问题。实际上每个供应商现在都在宣传他们的平台是人工智能驱动的。”

 

 

在过去的几年里，XDR市场通过兼并和收购经历了重大整合，改变了竞争格局。
 

Context的Turner表示：“EDR供应商正在收购NDR或SIEM厂商以构建自己的XDR愿景”，比如 SentinelOne收购了Attivo，CrowdStrike向身份安全领域拓展，而Palo Alto和微软等则通过整合而非收购来构建更广泛的产品组合。
 

NetScout的CTO办公室高级总监Jerry Mancini说：“大型安全供应商正在积极寻求并购，目的不仅是建立他们全面的XDR产品，而且还创建封闭的XDR解决方案，其中所有安全都可以由一个供应商提供，包括托管服务。”

 

 

并购活动不断增加，但安全供应商几乎都无法提供全面的服务，这促使XDR市场平行发展出另一种趋势：合作伙伴关系的增长。
 

正如 NetScout 的 Mancini 所说：“尽管进行了兼并和收购，XDR 供应商往往仍有所欠缺，难以满足那些需要最佳安全组合方法的买家需求，而合作伙伴关系正是填补这些空白的关键途径，它允许 XDR 提供商与现有的安全解决方案集成，使数据生产者能够将其信息输入 XDR 平台。因此，这个协作生态系统，供应商必须支持开放架构。”

 

 

与XDR即服务不同，托管XDR更进一步，提供7x24小时监控和增强的自动化能力。据行业观察人士称，这种模式近来日益普及。
 

托管XDR模式使组织能够显著提升其威胁检测和响应能力，包括帐户接管和勒索软件等复杂攻击，而无需依赖多种安全解决方案或专业网络安全人员。
 

Barracuda Networks EMEA 地区 XDR 咨询解决方案架构师 Yaz Bekkar 说：“自动化在威胁检测和响应中固然至关重要，但真正提升托管XDR价值的是其背后成熟的SOC团队，他们确保威胁检测能够保持准确、检测规则可以持续优化、事件得到深入调查。没有人为监督的自动化可能会导致盲区。”

 

参考链接：https://www.csoonline.com/article/4012841/6-key-trends-redefining-the-xdr-market.html