在過去一年多時間里，大小安全廠商都逐漸投入到了XDR(eXtended Detection and Response)這個領(lǐng)域中：一些廠商從終端安全出發(fā)，而有些廠商從網(wǎng)絡(luò)層面出發(fā)。無論那種方式都是不錯的切入手段，畢竟XDR的價(jià)值在于將安全從一系列端點(diǎn)產(chǎn)品轉(zhuǎn)移到一個獨(dú)立的平臺，從而實(shí)現(xiàn)企業(yè)中威脅的可視化能力。數(shù)據(jù)會從不同的執(zhí)行點(diǎn)被獲取，然后進(jìn)行分析，從而企業(yè)能夠更快速地發(fā)現(xiàn)威脅，并且基于威脅的輻射半徑進(jìn)行響應(yīng)。

[[388055]]

像EDR這類傳統(tǒng)的安全工具，往往只能發(fā)現(xiàn)威脅的存在，而難以真正理解到威脅——尤其是威脅源自于那些不會發(fā)生的“正確行為”中。這也是大部分檢測和響應(yīng)工具往往在檢測能力上比在響應(yīng)能力上做得更好的原因——而XDR則能改變這一現(xiàn)狀。

XDR貫穿各個安全層面，這也是許多廠商加入這個圈子的原因。因此，XDR中存在著大量“服務(wù)商”，有一些提供真正的XDR解決方案，而有一些只是頂著XDR的名字罷了。這里給選擇XDR解決方案的企業(yè)五條篩選建議：

1. 跨安全圖譜的可視化能力

XDR中的“X”意為“擴(kuò)展”，因此XDR工具需要有廣泛的可視化能力，但是指望一家安全廠商能針對所有威脅都有相關(guān)的安全產(chǎn)品，顯然不現(xiàn)實(shí)。那么，XDR廠商應(yīng)該至少提供終端、云、和網(wǎng)絡(luò)的可視化能力，然后在電子郵件、應(yīng)用相關(guān)數(shù)據(jù)等其他領(lǐng)域能整合第三方數(shù)據(jù)。理論上，XDR廠商應(yīng)該有三個支柱能力，然后通過合作伙伴模式輸出其他能力。在不同系統(tǒng)中將相應(yīng)能力聯(lián)系到一起是一項(xiàng)挑戰(zhàn)，但是依然可行。

2. 基于機(jī)器學(xué)習(xí)的分析能力

安全系統(tǒng)會生成海量的數(shù)據(jù)，多到甚至最頂尖的犯罪專家都無法手動分析。機(jī)器學(xué)習(xí)算法可以發(fā)現(xiàn)能表明攻擊的最小的異常點(diǎn)。盡管說一些安全專家不愿意將可視化權(quán)限讓渡給機(jī)器，但是這是唯一能大規(guī)模部署XDR的途徑。醫(yī)療行業(yè)早在幾年前就遇到過同樣的問題：醫(yī)生不愿意讓機(jī)器學(xué)習(xí)系統(tǒng)閱讀核磁共振圖，但是他們很快發(fā)現(xiàn)，如果讓機(jī)器學(xué)習(xí)去處理這些問題，那么醫(yī)生自己就有了更多時間治療病人，而不是浪費(fèi)在看數(shù)據(jù)上。在這一點(diǎn)上，安全和XDR也一樣。

3. 自動化響應(yīng)

和基于機(jī)器學(xué)習(xí)的分析能力類似，對安全事件進(jìn)行自動化響應(yīng)也需要一定的信任。有些人認(rèn)為自動化威脅響應(yīng)有風(fēng)險(xiǎn)，但是手動處理反而會降低響應(yīng)速度，從而一旦真有泄露事件發(fā)生就會導(dǎo)致企業(yè)數(shù)百萬元的損失。一個好的折中方案，可以讓XDR系統(tǒng)進(jìn)行響應(yīng)方案推薦，而由安全團(tuán)隊(duì)驗(yàn)證這個方案并實(shí)施。這就跟特斯拉的自動駕駛類似：駕駛員依然需要把手放在方向盤上，但是車卻是控制駕駛的一方。

4. 協(xié)同響應(yīng)

自從網(wǎng)絡(luò)安全誕生以來，無法讓網(wǎng)絡(luò)、終端、和云協(xié)同響應(yīng)的問題始終困擾著安全團(tuán)隊(duì)。網(wǎng)絡(luò)方面團(tuán)隊(duì)可能注意到了威脅并及時阻斷，但是沒有告訴終端負(fù)責(zé)團(tuán)隊(duì)，導(dǎo)致一些惡意軟件在企業(yè)內(nèi)部悄悄運(yùn)行。XDR需要有一個集成的響應(yīng)系統(tǒng)，讓安全團(tuán)隊(duì)從一個顯示表消除網(wǎng)絡(luò)、終端、和云的威脅。這樣就能形成快速響應(yīng)，并且將威脅半徑保持在可控范圍內(nèi)。

5. 簡化工作流

安全當(dāng)中有句話，叫做“復(fù)雜即敵人”，這對XDR同樣適用。如今，細(xì)分化的安全工具會造成一條幾乎看不到邊的告警流，充滿了各種誤報(bào)噪音。結(jié)果上來看，在過去幾年的重大安全事件中，安全廠商都宣稱自己檢測到了事件，但是安全團(tuán)隊(duì)并未采取任何措施。太多的告警和無告警并沒本質(zhì)區(qū)別。XDR系統(tǒng)需要提供一個基于簡化調(diào)查的完整視圖，從而能夠輕松發(fā)現(xiàn)問題根源、事件的發(fā)生順序、以及從多個來源獲取的威脅情報(bào)詳細(xì)信息。

XDR部署還有一點(diǎn)需要考慮的：雖然有許多優(yōu)秀的解決方案，但是只有在人員使用它們的時候才能顯現(xiàn)效果。XDR的最佳實(shí)踐需要不同安全分組之間打破隔閡，由CISO自上而下讓不同的安全團(tuán)隊(duì)相互協(xié)作。XDR的概念已經(jīng)提出了兩年之久了，而人員和流程也應(yīng)該演化。