終端檢測(cè)與響應(yīng)(EDR)近幾年來一直是很有價(jià)值的技術(shù)，但其有限的視野也留下了很多盲點(diǎn)。如今，是時(shí)候進(jìn)化到XDR了。

[[244557]]

安全人員試圖在終端和主機(jī)上查找可疑行為或可疑行為的蹤跡時(shí)，終端檢測(cè)與響應(yīng)(EDR)是一項(xiàng)很有用的重要技術(shù)。網(wǎng)絡(luò)安全自計(jì)算機(jī)誕生之初就相伴左右，但EDR領(lǐng)域卻尚處于萌芽階段，第一款解決方案甚至僅追溯到5年前。

EDR技術(shù)監(jiān)視終端，并將數(shù)據(jù)存儲(chǔ)到中央存儲(chǔ)庫中供分析，以便檢測(cè)威脅。通常，EDR解決方案會(huì)要在主機(jī)系統(tǒng)上安裝軟件代理，提供監(jiān)視和報(bào)告要用到的數(shù)據(jù)。

現(xiàn)如今，用戶面對(duì)的威脅越來越多，EDR在高級(jí)防護(hù)中所處的位置也越來越重要。事實(shí)上，一位業(yè)內(nèi)頂尖滲透測(cè)試員就曾透露，他通常可以在1小時(shí)內(nèi)通過攻擊用戶和終端而侵入被測(cè)公司企業(yè)。商業(yè)領(lǐng)域中Windows系統(tǒng)廣為使用，但其很多內(nèi)部功能都可被惡意黑客用于控制主機(jī)或滲漏數(shù)據(jù)。

雖然EDR很有價(jià)值，但其可見性卻并不很大。該技術(shù)類似于從輪船舷窗往外看，只能看到一小截地平線，視野相當(dāng)有限。想要確定天氣如何，如果周邊島嶼環(huán)繞或有過往船只遮擋，從舷窗是看不出什么的，只能走上艦橋以獲得全面的視野。

傳統(tǒng)EDR視野狹隘

傳統(tǒng)EDR的焦點(diǎn)只放在終端上，所以必須進(jìn)化到囊括一系列數(shù)據(jù)集的XDR才能跟上時(shí)代的發(fā)展。除了終端，云、威脅情報(bào)、網(wǎng)絡(luò)數(shù)據(jù)、日志信息，甚至社區(qū)數(shù)據(jù)都應(yīng)包含進(jìn)來。來自更多實(shí)現(xiàn)點(diǎn)的更多數(shù)據(jù)源，可以令安全團(tuán)隊(duì)和技術(shù)產(chǎn)品更快發(fā)現(xiàn)更多威脅，然后加以阻止。

這有點(diǎn)像是在艦橋上就能一切盡入眼簾一樣。不同的是，XDR縱觀攻擊的所有元素，而不僅僅是在一臺(tái)終端上發(fā)現(xiàn)的那些。XDR增加了轉(zhuǎn)譯不同數(shù)據(jù)源數(shù)據(jù)所需的分析，令安全分析師的調(diào)查工作更有效率。

XDR看到一切

因?yàn)閄DR解決方案對(duì)實(shí)施點(diǎn)有所了解，也就可以從包含終端在內(nèi)的不同位面，更快地響應(yīng)并封堵威脅。而若使用的是傳統(tǒng)EDR，終端上檢測(cè)出的信息或許能昭示數(shù)據(jù)泄露，但我們能所能知道的也就只有終端上發(fā)生的那些了。該解決方案可以看到終端發(fā)生的事件并轉(zhuǎn)到其他終端加以評(píng)估。但如果源是外部的，EDR就毫無幫助，因?yàn)榻K端看不到網(wǎng)絡(luò)數(shù)據(jù)，終端數(shù)據(jù)揭示不了任何東西。

我們需要的是對(duì)威脅的網(wǎng)絡(luò)部分以及攻擊不同階段間聯(lián)系的可見性。比如說，昭示管理員憑證被黑客從服務(wù)器A盜取又用于滲透服務(wù)器B的那些證據(jù)。

XDR可對(duì)威脅追蹤溯源

采用XDR，系統(tǒng)可以更好地追蹤惡意流量來源，重建攻擊全貌。這可以幫助安全團(tuán)隊(duì)更好地理解發(fā)生了什么，確定攻擊發(fā)生的位置，在最有可能的實(shí)施點(diǎn)加以響應(yīng)。若缺乏XDR，我們所能知道的就只是攻擊發(fā)生了，在某臺(tái)終端上。還是用艦船來打比方。船底有積水，說明船漏水了。你可以把積水拖干，但如果不知道滲漏的源頭，問題還是無法得到解決。

EDR最令人詬病的一點(diǎn)，在于其很大程度上只關(guān)注檢測(cè)，如果你不是專家，EDR對(duì)響應(yīng)其實(shí)幫助不大。而XDR檢測(cè)與響應(yīng)并重。EDR其實(shí)可以寫作EDr——小寫r以表達(dá)其對(duì)響應(yīng)的忽略。XDR則是D與R都大寫，對(duì)所有潛在數(shù)據(jù)源都是檢測(cè)與響應(yīng)兩手抓，能讓安全團(tuán)隊(duì)在對(duì)抗惡意黑客時(shí)占據(jù)更大的贏面。

EDR興盛時(shí)期，它確實(shí)是安全人員的工作利器，因?yàn)榭晒┛辞褰K端上所發(fā)生的事情，而終端當(dāng)時(shí)確實(shí)是最大的攻擊點(diǎn)。如今，我們生活在萬物互聯(lián)的世界，EDR只有進(jìn)化成XDR，才能讓安全團(tuán)隊(duì)視野更廣，工作更趁手。如果正在規(guī)劃安全團(tuán)隊(duì)的時(shí)間和預(yù)算，何不跳出終端，放眼更廣呢?

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文