網(wǎng)絡(luò)安全行業(yè)充斥著行話、縮寫詞和首字母縮略詞。隨著復(fù)雜的攻擊媒介成倍增加，從終端到網(wǎng)絡(luò)再到云，許多企業(yè)正在面臨一種新方法來應(yīng)對高級攻擊：擴(kuò)展檢測和響應(yīng)，這就產(chǎn)生了另一個首字母縮略詞：XDR。盡管 XDR 今年受到行業(yè)的廣泛關(guān)注，但 XDR 仍然是一個不斷發(fā)展的概念。

　　什么是 XDR？XDR 與 EDR 有何不同？和SIEM和SOAR一樣嗎？

　　2020年以來，隨著遠(yuǎn)程辦公的增加，網(wǎng)絡(luò)攻擊也進(jìn)一步加劇，XDR的熱度隨之持續(xù)上升。2020年，Gartner將XDR命名為第一大安全趨勢，并表示XDR解決方案將“提高檢測準(zhǔn)確性，并提高安全運(yùn)營效率和生產(chǎn)率?！?/p>

　　作為 EDR 市場的領(lǐng)導(dǎo)者和新興 XDR 技術(shù)的先驅(qū)，我們經(jīng)常被要求闡明它的含義以及它如何最終幫助提供更好的防御效果。這篇文章旨在澄清一些關(guān)于 XDR 的常見問題以及與 EDR、SIEM 和 SOAR 之間的區(qū)別。

　　什么是 EDR？

　　EDR （Endpoint Detection and Response）使組織能夠監(jiān)控終端的可疑行為并記錄每個活動和事件。然后關(guān)聯(lián)信息以提供關(guān)鍵上下文以檢測高級攻擊，并最終運(yùn)行自動響應(yīng)活動，例如近乎實(shí)時地將受感染的終端與網(wǎng)絡(luò)隔離。終端檢測和響應(yīng)是一種主動式終端安全解決方案，通過記錄終端與網(wǎng)絡(luò)事件（例如用戶，文件，進(jìn)程，注冊表，內(nèi)存和網(wǎng)絡(luò)事件），并將這些信息本地存儲在終端或集中數(shù)據(jù)庫。結(jié)合已知的攻擊指示器（Indicators of Compromise，IOCs）、行為分析的數(shù)據(jù)庫來連續(xù)搜索數(shù)據(jù)和機(jī)器學(xué)習(xí)技術(shù)來監(jiān)測任何可能的安全攻擊，并對這些安全攻擊做出快速響應(yīng)。還有助于快速調(diào)查攻擊范圍，并提供響應(yīng)能力。

　　什么是 XDR？

　　XDR 是 EDR、終端檢測和響應(yīng)的演變。雖然 EDR 收集和關(guān)聯(lián)多個終端的活動，但 XDR 將檢測范圍擴(kuò)大到終端之外，以提供跨終端、網(wǎng)絡(luò)、服務(wù)器、云工作負(fù)載、SIEM 等的檢測、分析和響應(yīng)。

　　這提供了一個跨多個工具和攻擊媒介的統(tǒng)一的單一管理平臺視圖。這種改進(jìn)的可見性提供了這些攻擊的背景信息，以幫助分類、調(diào)查和快速修復(fù)工作。

　　XDR 自動收集和關(guān)聯(lián)多個安全向量的數(shù)據(jù)，促進(jìn)更快的攻擊檢測，以便安全分析師可以在攻擊范圍擴(kuò)大之前快速做出響應(yīng)?？缍鄠€不同產(chǎn)品和平臺的開箱即用集成和預(yù)先調(diào)整的檢測機(jī)制有助于提高生產(chǎn)力、攻擊檢測和取證。

　　簡而言之，XDR 擴(kuò)展到終端之外，可以根據(jù)來自更多產(chǎn)品的數(shù)據(jù)做出決策，并且可以通過對電子郵件、網(wǎng)絡(luò)、身份等采取行動，進(jìn)而在整個堆棧中采取防御。

　　XDR 與 SIEM 有何不同？

　　當(dāng)我們談?wù)?XDR 時，有些人認(rèn)為我們是在以不同的方式描述安全信息和事件管理 （SIEM） 工具，但是 XDR 和 SIEM 是兩種不同的東西。

　　安全信息事件管理 （SIEM）從整個企業(yè)收集、聚合、分析和存儲大量的日志數(shù)據(jù)，SIEM 以一種非常廣泛的方法開始了它的旅程：從整個企業(yè)的幾乎任何來源收集可用的日志和事件數(shù)據(jù)，以便為多個用例進(jìn)行存儲。其中包括治理和合規(guī)性、基于規(guī)則的模式匹配、啟發(fā)式/行為攻擊檢測（如 UEBA），以及跨遙測源尋找 IOC 或攻擊指標(biāo)。SIEM解決方案就像飛行員和空中交通管制員使用的雷達(dá)系統(tǒng)。如果沒有該數(shù)據(jù)安全管理解決方案，企業(yè) IT 無異于處于“盲飛”狀態(tài)。雖然安全設(shè)備和系統(tǒng)軟件擅長捕捉和記錄孤立的攻擊與會產(chǎn)生威脅的異常行為，但是當(dāng)今最嚴(yán)重的威脅是分布式的，跨多個系統(tǒng)協(xié)同工作，并使用先進(jìn)的逃避技術(shù)來避免進(jìn)行威脅情報檢測。如果沒有SIEM安全信息事件管理，攻擊就會發(fā)生并發(fā)展成為災(zāi)難性事件。

　　然而，SIEM 工具需要大量的微調(diào)和努力才能實(shí)現(xiàn)。安全團(tuán)隊也可能被來自 SIEM 的大量警報淹沒，導(dǎo)致 SOC 忽略關(guān)鍵警報。此外，即使 SIEM 從數(shù)十個來源和傳感器捕獲數(shù)據(jù)，它仍然是一種發(fā)出警報的被動分析工具。

　　XDR 平臺旨在解決 SIEM 工具有效檢測和響應(yīng)針對性攻擊的挑戰(zhàn)，包括行為分析、攻擊情報、行為剖析和分析。

　　XDR 與 SOAR 有何不同？

　　成熟的安全運(yùn)營團(tuán)隊使用安全編排和自動響應(yīng) （SOAR） 平臺來構(gòu)建和運(yùn)行多階段劇本，以在與 API 連接的安全解決方案生態(tài)系統(tǒng)中自動執(zhí)行操作。相比之下，XDR 將通過 Marketplace 實(shí)現(xiàn)生態(tài)系統(tǒng)集成，并提供針對第三方安全控制的簡單操作自動化機(jī)制。

　　SOAR是復(fù)雜的、昂貴的，并且需要一個高度成熟的SOC來實(shí)現(xiàn)和維護(hù)合作伙伴的集成。而XDR的目標(biāo)是“SOAR-lite”，即一個簡單、直觀、零代碼的解決方案，提供從XDR平臺到連接的安全工具的操作能力。

　　什么是 MXDR？

　　托管擴(kuò)展檢測和響應(yīng) （MXDR） 將 MDR 服務(wù)擴(kuò)展到整個企業(yè)，以獲得完全托管的解決方案，其中包括跨終端、網(wǎng)絡(luò)和云環(huán)境的安全分析和操作、高級攻擊搜尋、檢測和快速響應(yīng)。

　　MXDR 服務(wù)通過 MDR 服務(wù)增強(qiáng)了客戶的 XDR 功能，以提供額外的監(jiān)控、調(diào)查、攻擊搜尋和響應(yīng)功能。

　　為什么XDR越來越受歡迎？

　　XDR 取代了孤立的安全性，并幫助組織從統(tǒng)一的角度應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)。通過包含來自整個生態(tài)系統(tǒng)信息的單一原始數(shù)據(jù)池，XDR 允許比 EDR 更快、更深入、更有效的攻擊檢測和響應(yīng)，從更廣泛的來源收集和整理數(shù)據(jù)。

　　XDR 為攻擊提供更多可見性和背景信息，以前無法處理的事件將會浮出水面，使安全團(tuán)隊能夠糾正和減少任何進(jìn)一步的影響，并將攻擊的范圍降到最低。

　　典型的勒索軟件攻擊會遍歷網(wǎng)絡(luò)，到達(dá)電子郵件收件箱，然后攻擊終端。通過獨(dú)立地查看每一個變量來解決安全性問題會使組織處于不利地位。XDR集成了不同的安全控制來提供跨企業(yè)安全領(lǐng)域的自動化或一鍵式響應(yīng)操作，如禁用用戶訪問、強(qiáng)制對可疑帳戶進(jìn)行多因素身份驗(yàn)證、阻止入站域和文件哈希等，所有這些都是通過用戶編寫的自定義規(guī)則或內(nèi)置在規(guī)范響應(yīng)引擎中的邏輯實(shí)現(xiàn)的。

　　通過包含來自整個生態(tài)系統(tǒng)信息的單一原始數(shù)據(jù)池，XDR 允許比 EDR 更快、更深入、更有效的攻擊檢測和響應(yīng)，從更廣泛的來源收集和整理數(shù)據(jù)。

　　這種全面的可見性帶來了幾個好處，包括：

　　?通過跨數(shù)據(jù)源的關(guān)聯(lián)減少平均檢測時間（MTTD）；

　　?通過加速分類和減少調(diào)查和范圍的時間來減少平均調(diào)查時間 （MTTI）；

　　?通過實(shí)現(xiàn)簡單、快速和相關(guān)的自動化來減少平均響應(yīng)時間 （MTTR）；

　　?提高整個安全領(lǐng)域的可見性；

　　此外，由于人工智能和自動化，XDR 有助于緩解安全分析師的手動工作負(fù)擔(dān)。XDR 解決方案可以主動、快速地檢測復(fù)雜的攻擊，提高安全或 SOC 團(tuán)隊的生產(chǎn)力，并為組織帶來巨大的投資回報。