XDR是安全威胁检测和响应平台，是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法，方案功能视厂商而有所不同。XDR方案价值包括：直接集成安全产品开箱即用；统一的安全数据归一化和中心化可供分析和查询；多种产品的配合和协调，改进检测的敏感性及响应过程；降低获得总体拥有成本（TCO）。XDR解决方案目前还处于初期阶段，且多应用于传统信息系统，未有涉及工业互联网领域。由于工业互联网对于提高安全运营的效率和价值，增强检测和响应的能力的需求不断增强，在工业互联网安全领域借鉴XDR概念，探索工业互联网安全领域XDR方案，实现工业场景下跨产品的集成和分析统一以及安全数据归一化，基于多产品协调联动，改进检测敏感性和响应效率，并显著减少警报的数量，广泛应用于威胁分级、威胁调查和威胁狩猎等场景。

XDR是一种基于SaaS的，绑定到特定供应商的安全威胁检测和事件响应工具，可以将(该供应商的)多个安全产品原生地集成到一个统一的安全运行系统中，以统一所有授权的安全组件。XDR是一种新的技术，更是一种解决方案，可提高威胁检测和事件响应效率。XDR在功能上与SIEM以及SOAR工具相似，区别在于其具备在部署时集成特定厂商产品的能力，更加聚焦威胁检测和事件响应。XDR主要是用来保护终端用户及其使用的应用程序和数据，也可以扩展到数据中心保护、身份和访问管理等。XDR的概念架构如下图，基于终端用户的保护需要最上层的安全产品(EDR、DLP、FW、IPS、NTA等)，然后是数据的归一化，以及数据湖再到数据关联，从而形成事件响应、自动化、工作流以及API的相关价值。

　　工业互联网是链接工业全系统、全产业链、全价值链，支撑工业智能化发展的关键基础设施，是新一代信息技术与制造业深度融合所形成的新兴业态和应用模式，是互联网从消费领域向生产领域、从虚拟经济向实体经济拓展的核心载体。工业互联网通过系统构建网络、平台、安全三大功能体系，打造人、机、物全面互联的新型网络基础设施，形成智能化发展的新兴业态和应用模式。工业互联网为工业生产带来机遇的同时，也引入了新的风险，设备种类数量多，且设备广泛互联，导致漏洞后门资源多，攻击路径多，近年工业互联网安全的事件频发，为工业互联网安全敲响了警钟。安全是工业互联网的重要保障，工业互联网的发展需要完善的安全体系保驾护航。工业互联网对于威胁检测与事件响应需求同样迫切，XDR理念在工业互联网安全具有借鉴意义。

　　XDR源于EDR，但XDR并不局限于终端，而是将多个来源（如网络、情报）的信息组合起来以检测威胁。XDR可以纵观网络威胁中的多种元素，将威胁情报、网络数据、日志信息等都纳入进来。从EDR到XDR，是安全技术演进的必然过程。为了应对高级攻击，需要关联来自终端和其他位置的数据进行威胁狩猎，XDR因而在2020年进入了Gartner成熟度曲线。成熟度曲线表明XDR进入创新启动期，XDR方案将提高安全检测准确性，并提高安全运营效率。

　　XDR是近两年提出的新概念，在国外已经得到了主流客户和咨询机构的认可。国外大型安全厂商如思科、微软、Fortinet、Fidelis Cybersecurity、McAfee、Palo Alto Networks、Symantec、Trend Micro、FireEye、Rapid7和Sophos是XDR的潜在供应商。思科XDR方案跨电子邮件、端点、服务器、云工作负载和网络收集并关联数据，从而实现对高级威胁的可见性。然后对威胁进行分析、排序、追踪和修复，以防止数据丢失和安全漏洞。Fortinet XDR解决方案利用人工智能 （AI） 进行事件调查响应，可自动化完成通常由经验丰富的安全分析人员处理的安全运营流程，实现跨广泛的攻击面更快速地缓解威胁。FireEye XDR方案提供可管理的检测和响应服务，采取明确的措施来防止事件发生并减少漏洞带来的影响。FireEye提供了针对端点安全、网络安全和取证、电子邮件安全等的解决方案。

　　XDR目前主要应用传统信息安全领域，不完全适用于工业互联网安全场景。工业互联网安全与传统信息安全存在差异，工业系统以“可用性”为第一安全需求，而传统信息安全以“机密性”为第一安全需求。工业互联网安全在防护目标、网络架构、数据传输、运行环境、管理维护等方面有其特殊性，故不能用传统网络安全防护思路解决工业互联网安全问题。工业互联网XDR方案不能完全照搬当前的传统信息安全XDR方案。

　　从安全实战出发，切实提升网络安全的检测与响应能力，是工业互联网对未来安全要求。工业互联网安全可借鉴XDR理念，结合工业互联安全需求特点对XDR架构做针对性调整，通过集成工业互联网安全产品（工业终端安全产品、工业防火墙、工业审计、工业入侵检测、工业网闸、加密装置、工业全流量分析系统），对日志数据、流量数据等安全数据进行数据归一化处理、数据存储、关联分析，最终实现综合的威胁检测和响应平台，打破安全数据壁垒，将安全产品天然融合在一起，通过实时的安全风险评估、违规\恶意行为挖掘、安全事件关联分析、场景化的安全响应定制等功能，行成一套闭环优化的安全运营体系，有效提升工业互联网企业安全运营效率与安全防护水平。

　　工业互联网XDR方案提供了一种攻击的检测及响应方案，可基于全流量、日志、情报、资产等源数据，充分运用大数据、流式计算、AI等技术，发现网络中存在网络攻击、异常行为等已知威胁和未知威胁并快速响应。XDR具备改进保护、检测和响应能力提高安全运营员工的效率、降低获得有效检测和响应能力的总体拥有成本等优势，对于没有足够的网络安全人才或技能来推出自己的集成架构的工业企业更具吸引力。

　　建议从以下方面促进XDR方案在工业互联网安全领域应用发展：1、加强技术投入。安全厂商提高产品的梳理和研发迭代能力，集成的安全产品API化打通，提供更广泛更数据接入，提高威胁的检出和处置能力。拓宽XDR场景适用性，针对性的开发工业互联网XDR方案，无论与SIEM/SOC深度结合还是作为SIEM/SOC的高性价比替代品都将为工业互联网安全防护体系建设增加助力。

　　2、加强XDR市场推广。针对工业互联网安全市场更广泛宣传推广XDR方案。目前XDR处在发展初期，尚未形成统一的方案标准，厂商根据自身产品积累及集成能力来确定安全产品集成范围。工业互联网XDR市场尚未开发培育，小型创业公司和大型安全企业有同台竞技机会，共同做大做强XDR市场。

　　3、加快制定相关标准。目前XDR在国内外缺少相应方案标准，建议推动相关标准出台，加速XDR的标准化进程，并积极推动XDR在工业互联网应用的标准落地。