1、 证券研究报告 请务必阅读正文之后的免责条款 XDR：信息安全下一步胜负手信息安全下一步胜负手 计算机行业信息安全专题 52022.6.6 中信证券研究部中信证券研究部 核心观点核心观点 杨泽原杨泽原 首席计算机分析师 S02 丁奇丁奇 首席云基础设施 分析师 S03 潘儒琛潘儒琛 云应用分析师 S01 XDR 作为可演进式集成安全架构，其作为可演进式集成安全架构，其联动终端、网络、云联动终端、网络、云、身份和邮件、身份和邮件等层面等层面的的安全产品安全产品，结合威胁情报、大数据处理和机器学习结合威胁情报、大数据处理和机器学习技

2、术技术，有效应对，有效应对安全安全威胁。威胁。我们看好我们看好 XDR 在中小型在中小型客户中客户中的广阔落地机会，以及同大型的广阔落地机会，以及同大型客户客户已有已有 SOC 能能力力的协同，的协同，综合型网络安全厂商凭借全产品线布局，有望从中深度受益，并通综合型网络安全厂商凭借全产品线布局，有望从中深度受益，并通过过 XDR 联动自身产品的交付方案带动客单价提升，增加客户粘性。未来，联动自身产品的交付方案带动客单价提升，增加客户粘性。未来，在在渗透率提升过程中，渗透率提升过程中， XDR 有望打开至少百亿级市场空间。有望打开至少百亿级市场空间。 推荐推荐深信服、 奇安信、深信服、 奇安信、

3、亚信安全、亚信安全、启明星辰启明星辰、安恒信息安恒信息、迪普科技迪普科技，建议建议关注关注绿盟科技、绿盟科技、山石网科。山石网科。 XDR 强调云强调云-网网-端全面防护，结合智能化技术帮助用户应对当前端全面防护，结合智能化技术帮助用户应对当前高级别高级别的攻击，的攻击，或将成为行业内主流部署方式。或将成为行业内主流部署方式。目前，网络攻击正在变得更加隐蔽和复杂，攻防对抗从原来的技术之争逐步演变为速度之争， 尽管政企机构此前已经配备了防火墙、IDPS、WAF 等安全设备，但是这些设备各自为战、检测割裂，安全团队及时跟进告警分析与事件响应的难度大。XDR 作为一种安全平台，其联动终端、网络、云、

4、身份和邮件等层面的安全产品，结合威胁情报、大数据处理和机器学习技术， 将提升安全威胁检测和事件响应能力， 帮助用户有效应对当前高级别的攻击手段。XDR 目标是取代“单点最佳”的网络安全建设思路，致力于打造一个统一的安全运行系统，在当前攻击手段越来越复杂化、隐蔽化的趋势下，XDR或将成为行业内主流的部署方式。 XDR 在大型政企机构可用于攻防实战，在中小机构有望成为安全建设首选，综在大型政企机构可用于攻防实战，在中小机构有望成为安全建设首选，综合型安全厂商布局具备显著优势。合型安全厂商布局具备显著优势。大型政企机构在 SOC 方面积累深厚，已建立SIEM、SOAR 等，XDR 的用武之地体现在对

5、 SOC 以及态势感知的增强上，更加聚焦高级威胁检测和事件响应， 可用于攻防实战、 HW 行动中。 对于中小客户，XDR 更为重要，有望成为其开箱即用版“EDR+SIEM+SOAR”，具有快速安装部署、快速配置集成、快速使用见效等优点。我们认为，XDR 仍处于初步产品化时期，距离提供成熟的跨厂商、跨产品的集成能力仍需一定时间，与此同时，综合型网络安全厂商更注重产品线的全面性，在集成自身产品基础上实现 XDR布局具备显著优势。目前，亚信安全于 2019 年在国内推出 XDR 解决方案，此后，头部网安公司加快 XDR 的布局，深信服、奇安信、启明星辰、安恒信息、迪普科技、山石网科等综合性安全厂商陆

6、续推出相应的 XDR 产品。 XDR 有望帮助安全厂商增强客户粘性，打开客单价提升空间，潜在市场空间达有望帮助安全厂商增强客户粘性，打开客单价提升空间，潜在市场空间达百亿级。百亿级。XDR 的推广将使网络安全厂商以用户与业务为中心，将产品服务与行业属性深度结合，提供匹配的解决方案，在此过程中，网络安全厂商与客户的粘性将得以强化，传统安全公司多销售硬件类产品，需要持续获取新客户、新销售机会，而 XDR 为客户提供逐步叠加的安全组件，使得供应商、客户的粘性增加，更易于拓展产品合作，打开了客单价增长空间。伴随 XDR 所蕴含的安全集约化理念逐步被市场所接受，Gartner 认为至 2027 年，XD

7、R 渗透率将由 2020 年的5%提升至 40%，Grand View Research 统计的狭义 XDR 潜在市场空间达百亿级。 风险因素：风险因素：政企机构安全投入不及预期，XDR 相关技术进展不及预期，网络安全行业竞争加剧。 投资策略投资策略：XDR 强调集约化理念，突出安全产品的协同联动，有望提升政企机构威胁检测与事件响应能力。我们认为，XDR 或成为行业内主流部署方式，看好 XDR 在国内中小型政企机构中的广阔落地机会，以及同大型政企机构安全运营中心的态势感知平台协同，在渗透率提升的过程中，XDR 有望带来百亿级市场空间，综合型网络安全厂商有望充分受益。推荐深信服深信服、奇安信奇安

8、信、亚信安全、亚信安全、启明星辰启明星辰、安恒信息安恒信息、迪普科技迪普科技，建议关注绿盟科技、绿盟科技、山石网科山石网科。 计算机计算机行业行业 评级评级 强于大市（维持）强于大市（维持） 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 证券研究报告 请务必阅读正文之后的免责条款 重点公司盈利预测、估值及投资评级重点公司盈利预测、估值及投资评级 简称简称 收盘价收盘价 EPS PE 评级评级 2021 2022E 2023E 2024E 2021 2022E 2023E 2024E 深信服 98.72 0.66 1.53 2.67 4.50 149.6 64.5 37.0

9、21.9 买入 奇安信-U 52.25 -0.81 0.12 0.44 1.39 -64.5 435.4 118.8 37.6 买入 亚信安全 22.70 0.45 0.47 0.53 0.63 50.4 48.3 42.8 36.0 增持 启明星辰 18.57 0.92 1.09 1.31 1.58 20.2 17.0 14.2 11.8 买入 安恒信息 131.99 0.18 1.49 3.17 6.19 733.3 88.6 41.6 21.3 买入 迪普科技 15.41 0.72 0.89 1.08 1.33 21.4 17.3 14.3 11.6 增持 资料来源：Wind，中信证券研

10、究部预测 注：股价为 2022 年 6 月 2 日收盘价 nMsNqRtQwOnQtRpMwPoMmNaQ8QbRnPnNpNoMfQnNqOlOnNrO7NpPwPNZoMrMMYpNqM 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 目录目录 创新之处创新之处 . 1 XDR 集多个安全产品能力于一体，实现云集多个安全产品能力于一体，实现云-网网-端全面防护端全面防护 . 1 XDR潜在市场空间达百亿级，综合型厂商具备布局优势潜在市场空间达百亿级，综合型厂商具备布局优势 . 3 XDR 有望成为行业内主流部署方式，渗透率将快速提升 .

11、3 综合型厂商在 XDR 布局上具备优势，客户粘性和客单价有望进一步提升 . 5 网安厂商加快布局，推出多形式网安厂商加快布局，推出多形式 XDR 产品产品 . 7 海外 XDR 市场表现火热，各类安全厂商踊跃探索前进方向 . 7 国内亚信安全较早提出 XDR，头部网安公司近几年陆续布局 . 10 风险因素风险因素 . 17 投资策略投资策略 . 17 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 插图目录插图目录 图 1：XDR 概念架构 . 1 图 2：用户安全分析能力需求 . 2 图 3：Gartner 端点安全成熟度曲线（2021

12、年） . 3 图 4：Gartner 安全运营成熟度曲线（2021 年） . 3 图 5：XDR 是中小企业的潜在首选 . 4 图 6：XDR 使用比例 . 5 图 7：外国企业安全投入意向 . 5 图 8：XDR 的发展阶段 . 5 图 9：XDR 技术成熟度模型 . 6 图 10：MDR 服务需求分布情况 . 7 图 11：安全托管服务模式 . 7 图 12：XDR 供应商矩阵 . 8 图 13：Cortex XDR 安全事件调查界面. 8 图 14：Cortex XDR 产品发展历程 . 9 图 15：CrowdXDR 联盟 . 9 图 16：亚信安全 XDR 解决方案 . 10 图 1

13、7：亚信安全 XDR 联动能力 . 11 图 18：亚信安全“产品+平台+服务”安全道路 . 11 图 19：深信服 SaaS XDR 结合云网端遥测数据、远程专家能力 . 12 图 20：深信服 SaaS XDR 高效交付与工作 . 12 图 21：深信服 SaaS XDR 可对接 MDR. 12 图 22：深信服 SASE 全景图 . 13 图 23：奇安信天眼威胁感知产品体系 . 14 图 24：启明星辰 XDR 运营体系的核心是专业运营人员 . 14 图 25：启明星辰 XDR 服务采用全标准化运营流程管理 . 14 图 26：安恒信息 AXDR 平台 . 15 图 27：迪普终端检测

14、与响应系统（XDR）结构 . 16 图 28：绿盟智能安全运营平台（ISOP）结构 . 16 图 29：山石网科智源 XDR 安全运营解决方案 . 17 表格目录表格目录 表 1：XDR 的核心能力 . 2 表 2：XDR 与 NDR、SIEM、SOC 对比 . 4 表 3：亚信安全 XDR 四大核心能力 . 10 表 4：安恒信息 AXDR 平台核心功能 . 15 表 5：重点公司盈利预测、估值及投资评级 . 18 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 1 创新之处创新之处 1、 市场上首篇对 XDR 进行专题详细分析的报告； 2

15、、 总结了 XDR 的特点及优势，分析了 XDR 在大中小型客户的落地机会； 3、 梳理了国内外网络安全厂商在 XDR 的布局情况。 XDR 集多个安全产品能力于一体集多个安全产品能力于一体，实现云，实现云-网网-端全面端全面防护防护 XDR 是近几年产业热点安全技术之一，是近几年产业热点安全技术之一，其其联动联动多个安全产品功能，提高多个安全产品功能，提高整整体安全建体安全建设和安全运营方案的有效性。设和安全运营方案的有效性。XDR（Extended Detection and Response）是指扩展威胁检测与响应平台，其联动网络、终端、云等层面的安全产品，结合威胁情报、大数据处理和机器

16、学习技术，有效提升安全威胁检测和事件响应能力。根据 Gartner 的定义，XDR 是一个安全平台， 将特定供应商的多个安全产品， 原生地集成到一个统一的安全运行系统中。在 Gartner 新发布的Market Guide for Extended Detection and Response中，已经将XDR 技术扩展至 FWaaS、NDR、SWG、EDR、UEM、DLP 等能力的综合体，因此，XDR中的“X”代表着安全能力的持续扩展，结合数据中台技术、自动化编排技术及安全分析技术，形成面向多种甚至未知安全场景的综合型安全解决方案。 图 1：XDR 概念架构 资料来源：Gartner 计算机计

17、算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 2 伴随网络攻击逐渐复杂化、隐蔽化，传统单点防御无法应对持续性威胁，伴随网络攻击逐渐复杂化、隐蔽化，传统单点防御无法应对持续性威胁，XDR 有望有望消除政企机构安全孤岛导致的运营低效。消除政企机构安全孤岛导致的运营低效。目前，网络攻击正在变得更加隐蔽和复杂，攻防对抗从原来的技术之争逐步演变为速度之争。 尽管政企机构此前已经配备了防火墙、 IDS、IPS、WAF 等安全设备，但是这些设备每天产生海量告警，且来自不同厂商的设备各自为战、检测割裂，难以将多个节点的痕迹自动关联成一个完整的安全事件，安全团队及时

18、跟进告警分析与事件响应的难度大。根据 ESG 的调查，76%的安全人员认为，当前的威胁检测和响应工作比两年前困难得多，一方面是因为威胁数量大幅增加，另一方面是因为安全人员仍然依靠手动流程来工作。鉴于此，XDR 通过集成各自为战的单点安全产品，形成整体检测和响应策略来消除安全孤岛。 图 2：用户安全分析能力需求 资料来源：安恒信息新一代态势感知战略升级发布会 与与 EDR 相比，相比，XDR 是是 EDR 的扩展和增强版，具备的扩展和增强版，具备更更强大的检测能力、响应处置能强大的检测能力、响应处置能力，将减轻政企机构安全运营负担，聚焦实质性安全威胁。力，将减轻政企机构安全运营负担，聚焦实质性安

19、全威胁。XDR 的优势体现在：多元化的检测能力、体系化的响应处置能力、各类环境的广泛适配、不断强化的订阅能力。相较于端点安全产品 EDR，XDR 的告警更加完整，安全调查更加高效，同时，XDR 关注的不仅仅是技术问题， 还有政企机构的运营需求。XDR 可大幅减少政企机构安全人员低价值的重复工作，自动将告警汇集成安全事件，使得安全人员聚焦到应对真正具备威胁的风险上。 表 1：XDR 的核心能力 核心能力核心能力 具体具体介绍介绍 XDR 组件产品布局 集成的 XDR 安全产品覆盖终端、网络、云、邮件、身份等威胁检测&响应链路中最重要的部分。 用少量的产品实现威胁链路的全覆盖。 各组件产品拥有过硬

20、的威胁发现能力和业绩领先的竞争力。 统一安全配置管理 对集成的安全产品实现统一安全配置管理, 统一策略下发，统一策略更新。客户能够以最小的运维成本达到 XDR 方案套件的最佳防护效果。 跨数据源关联分析 跨数据源、跨攻击阶段, 结合资产情报上下文关联分析告警降噪，提供上下文信息，检测结果实时反馈调优。场景化分析流程，固化安全分析经验。 场景化自动化响应 响应流程可以根据威胁攻击场景(如勒索，挖矿，钓鱼)以及客户的 IT 架构, 事件处置流程可编排实现自动化响应。响应过程可追踪审计, 响应指标可度量。 本地威胁情报分享 XDR 平台通过报警会诊，事件分析以及集成的分析工具如沙箱和其他集成产品生产

21、本地威胁情报。实现本地威胁情报 XDR 各组件共享，达到联防联控的效果。 资料来源：亚信安全微信公众号，中信证券研究部 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 3 XDR 于于 2018 年由年由 Palo Alto 首席技术官首席技术官 Nir Zuk 提出，提出，2020-2021 年连续入选年连续入选Gartner 端点安全、 安全运营技术成熟度曲线， 目前处于创新启动期。端点安全、 安全运营技术成熟度曲线， 目前处于创新启动期。 早在 2017 年， Gartner指出，未来 5 年企业的网络安全支出战略、预算结构将发生重大改

22、变，重心将从阻止向检测和响应倾斜。2019 年，在国际信息安全领域规模最大的产业盛会RSA 大会上，有关 XDR 的讨论开始升温。此后，Gartner 将 XDR 列为 2020 年第一大安全技术趋势，以及 2020-2021 年十大安全项目之一。在有科技产业界风向标之称的 Gartner 技术成熟度曲线中，端点安全和安全运营两个领域在 2021 年都提及了 XDR，位置处于创新启动期，说明 XDR 依然处于早期成长阶段，潜在的发展空间广阔。 图 3：Gartner 端点安全成熟度曲线（2021 年） 资料来源：Gartner 图 4：Gartner 安全运营成熟度曲线（2021 年） 资料来

23、源：Gartner XDR 潜在市场潜在市场空间空间达达百亿级百亿级， 综合综合型型厂商具备厂商具备布局布局优势优势 XDR 有望成为行业内主有望成为行业内主流流部署方式，渗透率部署方式，渗透率将将快速提升快速提升 对于大型政企机构而言，对于大型政企机构而言，XDR 能力可以分阶段被集成在已建成的能力可以分阶段被集成在已建成的 SOC 中，亦可用于中，亦可用于攻防实战。攻防实战。许多大型政企已经在 SOC 上拥有积累，如建立 SIEM、SOAR 等，XDR 可增强现有的 SOC 技术和流程。SIEM 从整个企业聚合和分析日志数据， 但只是一种发出警报的被动工具，很少用到上下文分析和安全产品的关

24、联分析，安全团队或被海量警报淹没；根据 Solarwinds 白皮书调查数据，拥有一千名员工公司部署的 SIEM，每秒钟记录的安全事件数多达 2.2 万个。 由此， XDR 可与 SIEM 协同， 充分利用其产生的安全日志数据。 SOAR对于 SIEM 产生的报警和安全事件进一步进行流程化自动化分析&处置，对企业的安全建设及业务配合要求更高，目前在国内市场仍处于初级阶段。相较于 SOAR，XDR 在部署时集成特定供应商产品的能力更强，更加聚焦威胁检测和事件响应，且轻量化、标准化。此外，相较于主要采集网络流量和第三方安全设备日志信息的态势感知平台，XDR 补齐对终端侧的感知， 并且能在众多的告警

25、中关联查找、 发现真正的威胁。 根据安全牛的观点， XDR在大型政企机构的应用场景还包括：在网络攻防实战、HW 行动中，使用 XDR 平台，实现快速联动分析。 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 4 表 2：XDR 与 NDR、SIEM、SOC 对比 产品产品 NDR（网络威胁检测与响（网络威胁检测与响应）应） SIEM（安全信息和事（安全信息和事件管理）件管理） SOC（安全运营中心）（安全运营中心） XDR（可扩展检测（可扩展检测与响应平台）与响应平台） 优势 网络流量数据感知，网络威胁检测 广泛的日志事件收集和管理，安全事件

26、应急响应，取证与合规 协同人、流程和技术，打通安全管理与运营，将专家经验转为检测模型 深度检测、精准响应、服务连接 弱点 缺乏终端数据关联分析，无法定位安全事件根因 不同厂商设备难以有效关联，需要投入人力分析研判 运行复杂，人力投入成本高 业界常见XDR能力只聚焦在威胁检测与响应 适用 需要网络流量分析的企业 有合规诉求的中型企业 超大型企业 更多行业的组织单位 资料来源：深信服微信公众号，中信证券研究部 对于中小客户而言，对于中小客户而言，XDR 未来有望成为安全建设的首选。未来有望成为安全建设的首选。对于未建立 SOC 或态势感知全面配置的中小客户，XDR 具有更为重要的价值，在快速安装部

27、署、快速配置集成、快速使用见效等方面具备明显优势。XDR 通过统一、高度集成的方案，为简化企业的安全运营人力需求提供了便利性和回报率，有望成为中小客户以及教育医疗机构、地方政府等的首选。XDR 的目标是“SOC-lite” ，中小客户无需部署复杂、昂贵的 SIEM 和 SOAR，而是在预算和安全人员有限的情况下，上线轻量化的、 “开箱即用”的 XDR 平台。 图 5：XDR 是中小企业的潜在首选 资料来源：山石网科公司官网 XDR 渗透率有望在未来渗透率有望在未来 5-10 年迎来爆发式提升，全球潜在市场空间达百亿级。年迎来爆发式提升，全球潜在市场空间达百亿级。根据Gartner 的报告，20

28、20 年只有不到 5%的组织使用了 XDR，但预计到 2027 年，这一比例将攀升至 40%。我们认为，XDR 渗透率提升的关键驱动因素在于，其所蕴含的安全集约化理念正在逐步被政企机构所认可。ESG 调查发现，82%的组织正在构建将多个产品集成在一起的安全技术体系结构，此外，有 77%的公司正在积极精简与其开展业务的安全技术供应商的数量。Grand View Research 指出，2020 年全球 XDR 市场规模为 5.8 亿美元，预计到 2028 年将达到 20.6 亿美元，2021-2028 年的年复合增长率为 19.9%。我们认为，如考虑 XDR 对厂商其他产品线的带动销售，市场空间

29、将更为广阔。 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 5 图 6：XDR 使用比例 资料来源：Gartner（含预测） ，中信证券研究部 图 7：外国企业安全投入意向 资料来源：Ponemon Institute，中信证券研究部 综合综合型型厂商在厂商在 XDR 布局上具备优势，布局上具备优势，客户粘性和客单价有望进一步提升客户粘性和客单价有望进一步提升 综合综合型型厂商在厂商在 XDR 布局上具备优势， 未来或通过并购投资实现安全能力布局上具备优势， 未来或通过并购投资实现安全能力的持续生长的持续生长。结合 XDR 定义，网络安全公

30、司提供 XDR 的能力需要循序渐进地形成。亚信安全对 XDR的发展提出具体设想： 首先， 布局集成的探针类产品终端、网络、云、 邮件以及身份安全；然后，基于厂商已有能力提出场景化的 XDR 解决方案；最后，通过 XDR 集成各类安全设备，以及提升自动化程度、检测效果。我们认为，XDR 仍处于初步产品化时期，距离实现提供成熟的跨厂商、跨产品的集成能力仍需一定时间。与此同时，综合型网络安全厂商更注重产品线的全面性，在集成自身产品基础上实现 XDR 布局具备显著优势。专精型厂商在一些细分领域的技术演进速度或领先于综合型厂商，因此伴随 XDR 发展，网络安全行业的投资并购活动或更加频繁，综合型厂商通过

31、并购新兴安全厂商以追求扩大 XDR 的场景覆盖与竞争力。海外围绕 XDR 的投资活动十分活跃，如 Google 宣布斥资 54 亿美元收购网安公司 Mandiant。 图 8：XDR 的发展阶段 资料来源：亚信安全公司官网 0%5%10%15%20%25%30%35%40%45%20202027（E）使用XDR的组织占比05540XDRSOARSIEM投入意向（单位：万美元） 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 6 中长期看，中长期看，XDR 或推动安全行业开放标准建设，打破厂商之间的或推动安全行业开放标准建

32、设，打破厂商之间的隔阂隔阂。总体来看，网络安全厂商提供 XDR 有三种路径：1）原生 XDR，由单一供应商提供所有设备，特别是本身在 EDR 上积淀深厚的厂商更倾向于此，优点是集成度高，缺点是用户可能已经部署多家厂商的产品，不愿意重复投资；2）开放 XDR，厂商集成多家第三方厂商的产品与技术，适合于 SIEM、SOAR 厂商，难题是如何说服其他同行参与；3）混合 XDR，厂商提供几乎所有的 XDR 组件，但允许集成第三方工具，使得客户充分利用此前在安全基础设施上的投资。在当前背景下，网络安全厂商期望客户在 XDR 基础架构中整合自身提供的所有设备，但考虑到安全行业的多样化以及客户原有部署的安全

33、基础设施可能来自不同的品牌，厂商需要支持一定程度的开放性，包括开源消息总线集成、开放的 API、合作伙伴生态系统、行业标准等。因此，中长期看，安全行业内部的设备互联互通标准、数据格式标准等有望逐步建设，推动厂商之间打破隔阂。 图 9：XDR 技术成熟度模型 资料来源：安全牛 XDR 应用指南 此外，安全托管服务的重要性或将提升，与此外，安全托管服务的重要性或将提升，与 XDR 相辅相成。相辅相成。XDR 与 MDR（托管检测和响应服务）存在一定的竞争关系，但事实上，企业 CISO 关注的是威胁检测和响应的效果，XDR 供应商未来也有可能建立自己的托管服务团队或与 MDR 服务商达成合作。从海外

34、来看，CrowdStrike、FireEye、Secureworks、Trend Micro 等厂商正在提供 XDR 和MDR 集成的产品服务组合。许多中小企业通过 MSS（安全托管服务）来获得业务系统的安全保障，XDR 与 MSSP（安全托管服务提供商）同样存在合作机遇：一方面，XDR 的成功落地仍然需要借助安全专家的专业技能，企业需要具备通过智能分析对噪声中的真实事件进行排序并确定响应优先级能力的人才；同时，对于 MSSP 而言，借助于 XDR，可以投入更少的人力、花费更低的成本，来搭建一套有效的安全技术架构，为客户提供可靠的安全服务，并获得运营收益。 计算机计算机行业行业信息安全专题信息

35、安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 7 图 10：MDR 服务需求分布情况 资料来源：ESG，虎符智库 图 11：安全托管服务模式 资料来源：赛博英杰 随着随着 XDR 的应用逐步的应用逐步深化深化，安全厂商在销售策略上或更加关注客户的业务与战略，安全厂商在销售策略上或更加关注客户的业务与战略，XDR 有助于客户粘性提升，进一步带来客单价的增长。有助于客户粘性提升，进一步带来客单价的增长。XDR 的价值主张是用一整套集成的专有产品套件，代替来自不同网络安全公司的工具，对于政企机构而言，这需要分步骤进行， 因为已经投资建设或部署的安全设备需要时间周期进行替换。XDR

36、供应商需要说服政企机构认同 XDR 的理念，同时，对于网络安全厂商而言，这意味着要从交易型销售转变为战略型销售，以用户与业务为中心，将产品服务与行业属性深度结合，提供匹配的解决方案。在此过程中，网络安全厂商与客户的粘性将得以强化，传统安全公司多销售硬件类产品，需要持续获取新客户、新销售机会，而 XDR 为客户提供逐步叠加的安全组件，使得供应商、客户的粘性增加，更易于拓展产品合作，打开了客单价增长空间。 网网安厂商加快布局，推出安厂商加快布局，推出多形式多形式 XDR 产品产品 海外海外 XDR 市场市场表现表现火热，火热，各类各类安全安全厂商厂商踊跃踊跃探索前进方向探索前进方向 海外海外 XD

37、R 市场火热，安全市场火热，安全厂商积极探索方向厂商积极探索方向，XDR 技术在实际场景中发挥作用。技术在实际场景中发挥作用。从海外来看，网络安全先进技术发展方向出现变化，厂商通过着重发展云化、服务化方式交付核心安全能力，通过产业促进、自发开放等方式扩大厂商间、产品间对接，以提升整体安全效果，而 XDR 充分符合这一发展趋势。目前，海外大型网络安全厂商纷纷发布 XDR套件， 不限于 Palo Alto、 Check Point、 Fortinet、 Trend Micro、 Trelix （FireEye & McAfee） 、Cisco 等，反映了 XDR 市场前景的广阔。同时，各类厂商的具

38、体思路不同，如趋势科技、Palo Alto、Crowdstrike 等厂商基于 EDR 构建 XDR 能力，而 Exabeam、LogRhythm 等厂商基于 SIEM 发力 XDR，不同禀赋或决定其 XDR 能力的差异。 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 8 图 12：XDR 供应商矩阵 资料来源：Forrester New Wave: Extended Detection And Response (XDR) Providers Scorecard, Q4 2021 Palo Alto 于于 2019 年推出业界首个原生集成

39、网络、 终端、 云和第三方数据来阻止攻击年推出业界首个原生集成网络、 终端、 云和第三方数据来阻止攻击的的 XDR 平台平台Cortex XDR。Cortex XDR 是基于云的应用，在调查方面，支持接入第三方数据引擎， 开发自定义收集解析规则， 对第三方数据源进行规范化； 在分析检测方面，使用云主机、流量和审计日志+Prisma Cloud 警报对以云为中心的威胁进行检测，通过防火墙、IAM（Okta、Ping Azure AD） 、AD、HR 平台（Workday） 、SASE 网关分析用户活动；在事件响应方面，Cortex XDR 本地分析引擎以机器学习技术为驱动，实现业界领先的恶意软件

40、检测率，并借助敏捷架构实现模型快速更新，从而应对多变的攻击技术。 图 13：Cortex XDR 安全事件调查界面 资料来源：Palo Alto 公司网站 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 9 Cortex XDR 持续升级产品，不断提高安全效率。随着安全威胁的发展，Cortex XDR在不断创新的基础上，致力于提供新功能，以提高安全效率并简化操作，目前 3.0 系列产品已经发布。2021 年 11 月，Palo Alto 和普华永道中国宣布扩大合作，将把普华永道提供的托管安全服务与 Cortex XDR、Cortex XSOA

41、R 安全平台相结合，在中国市场提供安全运营服务，减轻安全运营人员的负担，实现从警报管理、调查到事件响应的全天候覆盖，从而进一步提高安全运营效率。 图 14：Cortex XDR 产品发展历程 资料来源：Palo Alto 公司网站 CrowdStrike 基于基于 EDR 发展发展 XDR，强调，强调 EDR 的突出地位，的突出地位，2021 年发起成立年发起成立CrowdXDR 联盟。联盟。 CrowdStrike 正从单一的 EDR 供应商转型为包括 XDR、 SOAR 和 SIEM的多产品安全平台公司。CrowdStrike 强调终端安全依然是其基本盘，CTO Sentonas 认为，

42、“好的 EDR 本身就构成了 XDR 方案的 90%” ，同时指出， “XDR 并不是日志管理，我们实现 XDR 的方法是在不损失 EDR 能力的前提下去增加 XDR 的功能” 。2021 年初，CrowdStrike宣布将以4亿美元收购日志管理平台Humio， 将其打造为安全数据集成平台。2021 年 10 月，CrowdStrike 推出 XDR 模块，同时发起成立 CrowdXDR 联盟，启动合作伙伴包括来自云、 Web、 电子邮件、 身份、 网络、 OT 和 IT 运营等安全和 IT 行业的领导者。 图 15：CrowdXDR 联盟 资料来源：CrowdStrike 公司网站 计算机计

43、算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 10 国内国内亚信安全亚信安全较早提出较早提出 XDR，头部头部网安网安公司近几年陆续布局公司近几年陆续布局 亚信安全是国内亚信安全是国内较早提出较早提出 XDR 的网络安全厂商，的网络安全厂商，2019 年正式推出年正式推出 XDR 解决方案。解决方案。AIS XDR 具备集成套件产品、统一配置管理、场景化分析处置、威胁情报联动等四大核心能力。前端由终端、主机、网络、身份、邮件网关类产品构成，为高级威胁检测提供了最重要的遥测数据；XDR 统一威胁运营平台基于安全大数据分析技术，构建了威胁建模，报警收敛

44、、 事件聚合等核心技术， 通过威胁情报的赋能， 有效联动各类产品， 遏制报警风暴、还原攻击链路、自动处置高级威胁。亚信安全通过 XDR 套件，为客户提供了更全面的联动安全防护能力，同时以持续授权方式提供实时更新的威胁情报库、威胁情报分析及专业服务，使得厂商与客户之间产生了长期的用户粘性，更易于合作的深化。 图 16：亚信安全 XDR 解决方案 资料来源：亚信安全微信公众号 表 3：亚信安全 XDR 四大核心能力 核心核心能力能力 具体介绍具体介绍 集成套件产品 亚信安全明星产品如终端、身份、网络、邮件、云安全等在 XDR 方案中定位清晰。终端安全产品确认攻击事件；网络安全产品扩展监控范围,；云

45、安全除分析云工作负载威胁监测和行为数据外， 同时监控 Docker & Kubernetes 关键配置；身份安全是在应用云化后能看到攻击信号的为数不多途径；邮件安全能锁定定向攻击范围，还原原始攻击点。 统一安全配置管理 XDR 平台提供对集成产品的统一安全配置管理、策略下发、情报和安全知识库数据更新。安全运营团队可以将应对不同威胁场景的各个产品配置策略模板、检测规则、猎捕脚本、专项威胁情报等，统一自动下发到集成产品。 场景化分析处置 XDR 平台根据不同类型的威胁攻击，如勒索、挖矿、钓鱼、弱密码、数据泄露等，提供场景化的威胁风险展示， 将专家对威胁分析的经验固化到分析师体验中， 降低威胁研判门

46、槛。 处置方面， XDR 综合考虑客户主流 IT 架构和不同威胁攻击事件响应流程的差异性, 内置的自动化威胁处置预案可适配大部分客户的环境和流程。 威胁情报联动 XDR 平台将来自各个集成产品的报警数据，集成的沙箱分析数据，联动云端威胁情报等形成本地情报生产能力。同时提供多种集成接口，推送威胁情报到各集成产品。 资料来源：亚信安全公司官网，中信证券研究部 解决方案基于自适应架构理论，专注“威胁感知”与“自动化运维” 。在“威胁感知”方面， 亚信安全 XDR 解决方案集成亚信安全云威胁情报能力， 为威胁提供全面分析报告，站在全局角度对网络中未知威胁的出现情况做统一监控，让用户了解网络中安全状态，

47、降低安全分析和监控的人力成本。在“自动化运维”方面，XDR 解决方案能根据安全事件的 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 11 重要程度自动下发终端、网络、服务器不同维度的遏制策略，提高运维效率，缩短安全事件的响应时间。 图 17：亚信安全 XDR 联动能力 资料来源：亚信安全公司微信公众号 亚信安全募资建设“智能联动安全产品建设项目” ，形成基于 XDR 和安全中台的智能化联动安全平台，未来 XDR 还将提升安全服务价值。智能化联动安全平台将以 XDR 产品套件、安全中台解决方案或综合服务的方式交付给客户，具有三大特点：1）全云

48、化，全线产品 SaaS 服务化交付，实现云 XDR 和云态势驱动的 SaaS 安全中心；2）全连接，产品之间数据接口联通、数据情报共享，实现管理平台联动编排、客户本地威胁分析中心情报共享、云端威胁情报联动全网免疫；3）全智能，通过威胁情报和机器学习分析，实现安全可视化、自动化、智能化，从而显著降低安全配置和事件响应的复杂性。亚信安全未来还将 XDR 与安全服务相结合。传统的安全服务往往重人力投入，在成本端压力较大。亚信安全在建立成规模的安全专家团队的同时， 将服务结合 XDR 平台、 优势产品的能力，助力客户切实解决安全问题，为客户提供更多战略价值，也保证了自身安全服务业务未来的毛利率企稳。以

49、 XDR 产品套件为核心工具平台的托管安全服务，以风险管理为中心，提供暴露面管理、高级威胁分析、安全事件管理、本地威胁情报管理、威胁猎捕等服务内容，驱动客户网络安全建设、攻防对抗能力整体提升。 图 18：亚信安全“产品+平台+服务”安全道路 资料来源：亚信安全公司业绩交流会 计算机计算机行业行业信息安全专题信息安全专题 52022.6.6 请务必阅读正文之后的免责条款部分 12 深信服发布深信服发布 SaaS XDR， 提升安全事件处置效率。， 提升安全事件处置效率。 基于网络安全领域多年积累的检测、响应等能力，深信服面向攻防实战设计了深度关联分析和联动响应机制，有效打通了跨品类安全产品能力的

50、融合。在数据采集方面，公司 SaaS XDR 将端、网、云等遥测数据构建为完整的攻击链，把海量告警转换为安全事件，实现告警削减近 90%；在安全检测方面，结合 IOA、IOC 检测技术，叠加云端专家提供的 XTH 威胁鉴定能力，实现事件检测精准度达到 99%。此外，开放性让深信服 XDR 不仅可以集成自家的安全产品，也可以和产业内的产品融合，帮助用户复用现有投资，将各类产品有效联动应对攻击威胁。 图 19：深信服 SaaS XDR 结合云网端遥测数据、远程专家能力 资料来源：深信服公司微信公众号 SaaS 化交付助力客户降本增效，对接托管检测与响应服务 MDR。深信服 XDR 采用SaaS 化