（一）扩展检测和响应

在网络安全风险和威胁更加复杂的今天，企业的安全与风险管理人员需要面临不同供应商所提供的越来越多的安全工具，这些安全工具往往缺乏集成和兼容，用户友好度较低。为解决这一问题，扩展检测和响应（ExtendedDetectionandResponse，XDR）理念由此产生。在一定程度上，XDR可被视为端点检测与响应（EndpointDetectionResponse，EDR）的升级版，是EDR的自然演变。EDR实时监测端点上发生的各类行为，采集端点运行状态，在后端进行处理分析，以检测并发现恶意活动，并快速做出响应。但是，EDR仅仅解决了终端上的检测响应，XDR则可以提供跨终端、网络、服务器、云工作负载等的检测、分析和响应。

根据Gartner的定义，XDR是“一种基于SaaS的、绑定到特定供应商的安全威胁和事件响应工具，它原生地将多个安全产品集成到一个统一的安全运营系统中，该系统统一了所有许可组件。”换句话说，XDR可以被视为一个统一的安全事件检测和响应平台，可以跨区域收集来自多种安全设施的检测数据，并对其进行统一的集成、关联和上下文等事件化分析，以全局视角进行威胁研判，从而获得更准确和全面的检测结果6。随着技术更加成熟和业务逐渐演进，XDR从保护终端用户及其应用程序和数据，逐渐扩展到数据中心保护、身份和访问管理等产品组合。目前最成熟的集成方式是云、网、端三大类防护能力，形成统一和标准的XDR产品形态，实现全维度纵深防御体系。

XDR通过选择端点检测和网络检测方式，对检测到的原始事件进行自动关联，从而分析形成浓缩的威胁事件，提供更加丰富且详细的上下文信息，有助于进行风险溯源。同时，相比传统的安全事件和信息管理(Securityinformationandeventmanagement，SIEM）类产品，XDR不仅做到数据的统一，在交互层和业务层也可以实现高度统一，其整体性、系统性更高。此外，由于采用了统一的策略规格，以及原厂的统一接口对接，在做威胁响应时，除了基础的策略响应外，还能够实现对已下发策略的自动聚合等能力，显著提升威胁响应效率。XDR旨在高效集成产品，打破信息孤岛，降低企业内的无效告警和安全运营成本，具有巨大的应用前景，但现阶段市场尚不成熟，不同供应商的产品之间的功能差异较大，容易产生供应商锁定或兼容性低等问题7。

（二）攻击面管理

近年来，勒索软件、供应链攻击等网络安全威胁愈发猖獗，网络攻击手段更多元、方式更具弹性、频次多快、深度更大，政府、企业、组织面临的风险敞口愈发触目惊心，而采取的网络安全防护措施还往往局限于静态防御、被动防御、刚性防御，存在着重大攻击防御水平偏低、平均检测和响应时间长等问题。在这种情况下，网络安全产品和服务提供者需要从攻击者视角出发，进行动态的主动防御。因此，攻击面管理（AttackSurfaceManagement，ASM）应运而生，越来越受到业界