XDR是安全威脅檢測和響應平臺，是一種跨多個安全層收集并自動關聯信息以實現快速威脅檢測的方法，方案功能視廠商而有所不同。XDR方案價值包括：直接集成安全產品開箱即用；統一的安全數據歸一化和中心化可供分析和查詢；多種產品的配合和協調，改進檢測的敏感性及響應過程；降低獲得總體擁有成本（TCO）。XDR解決方案目前還處于初期階段，且多應用于傳統信息系統，未有涉及工業互聯網領域。由于工業互聯網對于提高安全運營的效率和價值，增強檢測和響應的能力的需求不斷增強，在工業互聯網安全領域借鑒XDR概念，探索工業互聯網安全領域XDR方案，實現工業場景下跨產品的集成和分析統一以及安全數據歸一化，基于多產品協調聯動，改進檢測敏感性和響應效率，并顯著減少警報的數量，廣泛應用于威脅分級、威脅調查和威脅狩獵等場景。

XDR是一種基于SaaS的，綁定到特定供應商的安全威脅檢測和事件響應工具，可以將(該供應商的)多個安全產品原生地集成到一個統一的安全運行系統中，以統一所有授權的安全組件。XDR是一種新的技術，更是一種解決方案，可提高威脅檢測和事件響應效率。XDR在功能上與SIEM以及SOAR工具相似，區別在于其具備在部署時集成特定廠商產品的能力，更加聚焦威脅檢測和事件響應。XDR主要是用來保護終端用戶及其使用的應用程序和數據，也可以擴展到數據中心保護、身份和訪問管理等。XDR的概念架構如下圖，基于終端用戶的保護需要最上層的安全產品(EDR、DLP、FW、IPS、NTA等)，然后是數據的歸一化，以及數據湖再到數據關聯，從而形成事件響應、自動化、工作流以及API的相關價值。

　　工業互聯網是鏈接工業全系統、全產業鏈、全價值鏈，支撐工業智能化發展的關鍵基礎設施，是新一代信息技術與制造業深度融合所形成的新興業態和應用模式，是互聯網從消費領域向生產領域、從虛擬經濟向實體經濟拓展的核心載體。工業互聯網通過系統構建網絡、平臺、安全三大功能體系，打造人、機、物全面互聯的新型網絡基礎設施，形成智能化發展的新興業態和應用模式。工業互聯網為工業生產帶來機遇的同時，也引入了新的風險，設備種類數量多，且設備廣泛互聯，導致漏洞后門資源多，攻擊路徑多，近年工業互聯網安全的事件頻發，為工業互聯網安全敲響了警鐘。安全是工業互聯網的重要保障，工業互聯網的發展需要完善的安全體系保駕護航。工業互聯網對于威脅檢測與事件響應需求同樣迫切，XDR理念在工業互聯網安全具有借鑒意義。

　　XDR源于EDR，但XDR并不局限于終端，而是將多個來源（如網絡、情報）的信息組合起來以檢測威脅。XDR可以縱觀網絡威脅中的多種元素，將威脅情報、網絡數據、日志信息等都納入進來。從EDR到XDR，是安全技術演進的必然過程。為了應對高級攻擊，需要關聯來自終端和其他位置的數據進行威脅狩獵，XDR因而在2020年進入了Gartner成熟度曲線。成熟度曲線表明XDR進入創新啟動期，XDR方案將提高安全檢測準確性，并提高安全運營效率。

　　XDR是近兩年提出的新概念，在國外已經得到了主流客戶和咨詢機構的認可。國外大型安全廠商如思科、微軟、Fortinet、Fidelis Cybersecurity、McAfee、Palo Alto Networks、Symantec、Trend Micro、FireEye、Rapid7和Sophos是XDR的潛在供應商。思科XDR方案跨電子郵件、端點、服務器、云工作負載和網絡收集并關聯數據，從而實現對高級威脅的可見性。然后對威脅進行分析、排序、追蹤和修復，以防止數據丟失和安全漏洞。Fortinet XDR解決方案利用人工智能 （AI） 進行事件調查響應，可自動化完成通常由經驗豐富的安全分析人員處理的安全運營流程，實現跨廣泛的攻擊面更快速地緩解威脅。FireEye XDR方案提供可管理的檢測和響應服務，采取明確的措施來防止事件發生并減少漏洞帶來的影響。FireEye提供了針對端點安全、網絡安全和取證、電子郵件安全等的解決方案。

　　XDR目前主要應用傳統信息安全領域，不完全適用于工業互聯網安全場景。工業互聯網安全與傳統信息安全存在差異，工業系統以“可用性”為第一安全需求，而傳統信息安全以“機密性”為第一安全需求。工業互聯網安全在防護目標、網絡架構、數據傳輸、運行環境、管理維護等方面有其特殊性，故不能用傳統網絡安全防護思路解決工業互聯網安全問題。工業互聯網XDR方案不能完全照搬當前的傳統信息安全XDR方案。

　　從安全實戰出發，切實提升網絡安全的檢測與響應能力，是工業互聯網對未來安全要求。工業互聯網安全可借鑒XDR理念，結合工業互聯安全需求特點對XDR架構做針對性調整，通過集成工業互聯網安全產品（工業終端安全產品、工業防火墻、工業審計、工業入侵檢測、工業網閘、加密裝置、工業全流量分析系統），對日志數據、流量數據等安全數據進行數據歸一化處理、數據存儲、關聯分析，最終實現綜合的威脅檢測和響應平臺，打破安全數據壁壘，將安全產品天然融合在一起，通過實時的安全風險評估、違規\惡意行為挖掘、安全事件關聯分析、場景化的安全響應定制等功能，行成一套閉環優化的安全運營體系，有效提升工業互聯網企業安全運營效率與安全防護水平。

　　工業互聯網XDR方案提供了一種攻擊的檢測及響應方案，可基于全流量、日志、情報、資產等源數據，充分運用大數據、流式計算、AI等技術，發現網絡中存在網絡攻擊、異常行為等已知威脅和未知威脅并快速響應。XDR具備改進保護、檢測和響應能力提高安全運營員工的效率、降低獲得有效檢測和響應能力的總體擁有成本等優勢，對于沒有足夠的網絡安全人才或技能來推出自己的集成架構的工業企業更具吸引力。

　　建議從以下方面促進XDR方案在工業互聯網安全領域應用發展：1、加強技術投入。安全廠商提高產品的梳理和研發迭代能力，集成的安全產品API化打通，提供更廣泛更數據接入，提高威脅的檢出和處置能力。拓寬XDR場景適用性，針對性的開發工業互聯網XDR方案，無論與SIEM/SOC深度結合還是作為SIEM/SOC的高性價比替代品都將為工業互聯網安全防護體系建設增加助力。

　　2、加強XDR市場推廣。針對工業互聯網安全市場更廣泛宣傳推廣XDR方案。目前XDR處在發展初期，尚未形成統一的方案標準，廠商根據自身產品積累及集成能力來確定安全產品集成范圍。工業互聯網XDR市場尚未開發培育，小型創業公司和大型安全企業有同臺競技機會，共同做大做強XDR市場。

　　3、加快制定相關標準。目前XDR在國內外缺少相應方案標準，建議推動相關標準出臺，加速XDR的標準化進程，并積極推動XDR在工業互聯網應用的標準落地。