XDR（可扩展威胁检测和响应）一直被誉为解决安全威胁检测孤岛问题的“瑞士军刀”方案。相比传统的单点式威胁检测工具，它代表了一种较先进的安全技术理念，旨在实现多种威胁检测能力的集成和融合，并成为能够上下联动、前后协同的有机整体。

不过尽管XDR的技术理念听起来很棒，但是在实际应用时，如何保障对各种单点能力整合的有效性却并不容易。这是因为目前标准化的XDR方案需要从多个安全工具或传感器探针捕获威胁数据，并将这些数据处理为XDR威胁分析引擎可以理解的标准化数据格式。考虑到这些数据的复杂性、时效性和不一致性，目前大多数的XDR方案都还不能像厂商宣传的那样，高效、准确、快速地执行威胁检测工作。

为了提升XDR方案的实际可用性，一些安全厂商目前正在积极研发并推广基于SASE（安全访问服务边缘）的新型XDR解决方案（SASE-based XDR），从云原生的角度提升XDR的威胁检测性能。SASE是一种将安全性和网络应用融合到云端的创新方法，其应用特点似乎天然适合与XDR威胁检测服务应用集成，因为SASE平台中本身就存在了许多原生化的探针传感器。在Gartner对SASE定义中，也谈到了SASE平台除了需要包含SD-WAN、SWG、CASB、NGFW等必需功能外，还可以包括一些高级安全功能，例如远程浏览器隔离、网络沙箱以及XDR检测服务等。

与标准XDR方案不同，基于SASE的XDR不再需要连接复杂的单点检测设备，而是从内置于SASE平台的本地传感器以及第三方传感器捕获威胁数据，并将这些数据存储到统一的数据湖中。因此，对基于SASE的XDR方案而言，不需要再对原始数据进行清洗就可以快速、及时地获得高质量的可用数据。这一特点使得基于SASE的XDR方案有望成为现有XDR方案的改变者。

如之前所述，标准化的XDR方案在实际应用时会面临难以解决的数据质量限制，其在规范化和理解安全数据的过程中可能会丢失关键的威胁信息，这样无疑会影响到威胁检测的准确性和事件响应效率。而在SASE平台的支撑和帮助下，新一代XDR方案的实际应用性能会得到显著增强，因为它能获取到更高质量的源数据，而高质量的数据也可以训练出更准确的AI/ML威胁检测模型，从而提升威胁关联、检测和响应威胁事件的能力。

基于SASE的XDR不仅可以是一个独立的安全产品，还可以作为更广泛SASE云服务的一部分。它可以充分利用SASE平台的所有资源：传感器、分析模型、配置工具等，从而有效解决传统XDR工具应用时的局限性。对于企业用户而言，应用基于SASE的XDR方案可获得以下价值优势：

· 云原生优势：SASE平台的云原生架构具有更好的可扩展性和灵活性，能够高效地满足各种规模企业用户的XDR应用需求。此外，基于统一的SASE平台可确保一致性的XDR能力集成体验，减少应用时的兼容性问题，同时还可以简化对客户端的管理复杂度；

· 快速创新和部署：基于云原生系统的敏捷性，可实现快速的新功能更新和版本迭代。这意味着企业用户可以更及时地获取到最新威胁检测技术能力，在快节奏的网络攻防对抗博弈中保持领先地位；

· 简化管理：通过SASE平台的集成应用，可以帮助企业安全团队降低日常安全运营工作的复杂性。这意味着企业用户的支持成本和资源需求更低，使他们能够专注于其他促进业务发展的战略领域；

· 与新技术发展趋势保持一致：基于SASE的XDR依托了云原生建设模式，能够支持企业用户从预算支出沉重的本地模式向更灵活的目标管理模式转变，这与组织不断变化的数字化转型需求和IT技术应用演变趋势高度吻合的；

· 应用灵活性：SASE平台的服务全面性可以为企业组织提供更多的可选择性。企业可以在应用XDR方案的同时，轻松扩展其所需要的服务范围，这样也为安全服务提供商创造了更多增加收入来源的途径。

据网络安全厂商 Cato Networks 最新开展的用户调查数据显示表明，超过半数的受访组织都对使用XDR和SASE相结合的威胁检测技术表示出兴趣。而考虑到现有XDR方案所面临的应用挑战和局限性，企业组织评估试用基于SASE的XDR解决方案是非常有必要的。

参考链接：