XDR未来市场前景被广泛看好 “百花齐放”或将成为主要特点

XDR（Extended Detection And Response，扩展检测与响应）在当前仍然还可以算是一个新的概念，自2018年由Palo Alto Networks提出至今，也未满五年，不可否认的是，这几年来它一直广受追捧，而在Gartner于2020年将其列入《安全和风险管理趋势》的第一项技术趋势之后，一时间XDR概念热潮更是汹涌，在我国同样如此。

根据Gartner给出的XDR定义显示，XDR是一种基于软件即服务（SaaS）化的，绑定于特定供应商的安全威胁检测和事件响应工具，它可将多个安全产品集成到一个统一了所有许可安全组件的安全运营系统内。

通过定义我们可以简单地理解为，XDR并非是一个单品，而是一个“套件”，几乎可以接纳所有面向威胁检测与相应的产品或模块，并最终通过一个系统去进行管理。那么从这一点上就不难看出它为何会广受追捧，一方面它可与众多安全产品、设备相结合，无需增加重复投入，降低企业安全建设成本；另一方面，可以直接将安全能力“平台化”，破除安全数据的孤岛现象。

优势突出的XDR正处在市场形成阶段 众多企业入场期望赢得“未来之战”

随着当前网络攻击愈加复杂，且通过各类技术、工具的自动化攻击也令攻击数量显著增长，传统安全产品无论是在应对这种持续性威胁的能力上有明显不足，尤其是企业安全建设必备的如防火墙、IDS、IPS等等设备也因攻击数量的增加而产生的告警数量日益增长，加之这些安全产品彼此之间相互割裂，告警数量呈现多源并发增长，也令企业的安全运营效率进一步降低。同时，安全团队或相关人员也在威胁处置方面也将面临更大的压力，在人才缺口依旧庞大，人员技能水平不足等状况下，再加上多数传统产品需要人工操作等问题，更是加剧了企业在应对当前网络威胁方面的难度。

据调查，当前威胁检测和响应工作和两年前相比更加困难，一是威胁数量大幅增加，运营层面没有将攻击痕迹自动关联成攻击案件；二是有效攻击识别及处置不够智能化，安全人员在无效事件处理上耗费大量时间；三是响应手段不够实战化，当安全事件发生时，响应时间按天计算；四是业务安全能力无法做到精细化和场景化，处在宏观可视层面，难落地。

通过上述问题不难看出为何XDR会如此受到热捧，其重点在于它将传统安全彼此孤立的现象打破，以一种统一视角帮助组织应对当前日益复杂的网络威胁挑战。相比一些终端安全防护产品，XDR可支持从更为广泛的来源收集安全数据并进行整理，从而可以实现更快速、更有效的威胁检测与响应。也正因如此，它可以帮助企业看到更多可能此前不可见的威胁和相关相信的信息，而此前部分无法处理的安全事件也因此可以展现在眼前并予以应对，另外，对于企业安全相关人员的工作效率也会有较大的提升。

于是我们可以看到，XDR概念从诞生至今虽然才寥寥数年，凭借众多优点于一身，已然被视作安全领域未来发展的重要趋势之一，相关市场也逐渐升温。据此前机构报告的调研数据显示，2021年应用XDR的组织比例尚不足5%，而至2027年结束时，这一比例将会达到40%。同时也预测，由于XDR概念的火爆以及用户需求侧的翘首以盼，将会刺激不少此前从事与EDR或SIEM的厂商介入XDR市场，而这一现象将会在2023年变得更加普遍。

另据Omdia于今年发布的XDR相关报告显示，XDR这一细分市场的全球收入将在五年内增长超过800%，并在2026年达到30.22亿美元。而Grand View Research的研究数据显示，预计XDR的市场规模将会在2028年达到20.6亿美元，这期间（2021-2028年）的年复合增长率将接近20%。总体来看，虽然两者给出的预测数据存有较大出入，但XDR市场规模在未来数年内的高速增长已是可预见的结果。

通过上述内容可以看出，从整体来看，无论是国外还是国内，XDR市场都仍处在形成阶段，而从大家所预测的时间线来看，仍属于持续高速增长而非爆发式增长，结合威胁发展态势、需求增长速度、企业支付能力等多个角度考量，这种能力集合或增强型的概念在短时间内尚不具备一统威胁检测与响应市场整个大局的能力。

不过，毕竟XDR热浪已至，众多厂商纷纷涌入这一赛道也是不争的事实，不少大型企业也挥舞着钞票本在这一领域进行真金白银的投入，如今年早些时候，谷歌以54亿美元收购了Mandiant，而SentinelOne则掏出6.165亿美元拿下了Attivo Networks，而XDR正是这两笔收购交易的共同点。

国内市场中，也同样是一番繁荣景象，综合性安全厂商、拥有XDR定义下某一类产品的专业厂商甚至一些初创厂商都在这一被称之为“下一个安全发展方向”的领域增加投入，期望能够令自己赢下未来之战。

市场需求广泛存在 综合性厂商将在竞争中占据优势地位

从用户群体的需求看，XDR可以满足不同规模的企业在安全建设中的需要。大型企业可能先前已经建立了如EDR、SIEM/SOAR等解决方案，但XDR的引入可有利于进一步增强整体的安全能力，如XDR 可与 SIEM 协同，利用后者产生的安全日志数据，进行上下文分析并与其他安全产品进行关联和分析，同时，XDR还可补足此前在海量告警中进行关联查找并发现真实威胁能力上的不足。

对于中小规模的企业或机构用户，XDR的轻部署、高集成、见效快的优势令其实用价值更强，相比价格昂贵且更加复杂的SIEM/SOAR，XDR会是一个更为平衡的选择。通过统一的安全管理能力，可以有效简化企业的安全运营，且有利于降低安全相关人员的需求，这一点对于包括教育、医疗等行业在内的中小企业用户有着更高的实际价值，实现安全建设上的降本增效。

当然，这些优势并不代表XDR产品就能够一帆风顺，尤其是要想发挥其统一能力，就意味着行业需要一个更为开放的环境，愿意将自身产品的能力、安全数据共享给其他厂商的XDR产品。另外，对于大型企业，XDR所能提供的能力在他们看来会与此前已部署的一些安全产品、解决方案相一致，因此很可能不愿意新增在XDR方面的投入。不过，对于一个尚处在形成阶段的市场而言，能够克服众多初期问题并最终走向成熟，这一过程终归也是必经之路。

前文提到，随着XDR概念的火爆以及未来市场高速增长的预期，众多厂商纷纷用于这一领域，我们可以看到，包括深信服、启明星辰、奇安信、绿盟科技、山石网科以及亚信安全等国内上市的综合性安全企业，均推出了XDR相关产品和解决方案。

此外，中睿天下、微步在线等专业网络安全企业也先后宣布将以XDR产品作为未来发展的主线之一，而以未来智安、极盾科技为代表的初创企业也在涉足这一领域，国内XDR市场竞争格局可谓呈现出一种百花齐放的局面。

在当前这一阶段之下，我们认为，考虑到XDR高集成的特点以及不同品牌、产品之间的相对不够开放的情况影响，综合性安全厂商依靠自身在产品线的多方位布局、深厚的实战经验沉淀、丰富的客户资源等多方面优势，将会在当前阶段整体的XDR市场竞争格局中具备较强优势，而专业厂商和XDR领域的初创企业，其所具备更强创新驱动力将有利于为行业提供更多的新思路，充分发挥在“专”方面的优势，同样是推动XDR产品能力进步的重要动能，伴随着市场的逐渐成熟，他们必将拥有更广阔的发展空间。