網(wǎng)絡(luò)安全行業(yè)充斥著行話、縮寫詞和首字母縮略詞。隨著復(fù)雜的攻擊媒介成倍增加，從終端到網(wǎng)絡(luò)再到云，許多企業(yè)正在面臨一種新方法來應(yīng)對(duì)高級(jí)攻擊：擴(kuò)展檢測(cè)和響應(yīng)，這就產(chǎn)生了另一個(gè)首字母縮略詞：XDR。盡管 XDR 今年受到行業(yè)的廣泛關(guān)注，但 XDR 仍然是一個(gè)不斷發(fā)展的概念。

　　什么是 XDR？XDR 與 EDR 有何不同？和SIEM和SOAR一樣嗎？

　　2020年以來，隨著遠(yuǎn)程辦公的增加，網(wǎng)絡(luò)攻擊也進(jìn)一步加劇，XDR的熱度隨之持續(xù)上升。2020年，Gartner將XDR命名為第一大安全趨勢(shì)，并表示XDR解決方案將“提高檢測(cè)準(zhǔn)確性，并提高安全運(yùn)營效率和生產(chǎn)率。”

　　作為 EDR 市場的領(lǐng)導(dǎo)者和新興 XDR 技術(shù)的先驅(qū)，我們經(jīng)常被要求闡明它的含義以及它如何最終幫助提供更好的防御效果。這篇文章旨在澄清一些關(guān)于 XDR 的常見問題以及與 EDR、SIEM 和 SOAR 之間的區(qū)別。

　　什么是 EDR？

　　EDR （Endpoint Detection and Response）使組織能夠監(jiān)控終端的可疑行為并記錄每個(gè)活動(dòng)和事件。然后關(guān)聯(lián)信息以提供關(guān)鍵上下文以檢測(cè)高級(jí)攻擊，并最終運(yùn)行自動(dòng)響應(yīng)活動(dòng)，例如近乎實(shí)時(shí)地將受感染的終端與網(wǎng)絡(luò)隔離。終端檢測(cè)和響應(yīng)是一種主動(dòng)式終端安全解決方案，通過記錄終端與網(wǎng)絡(luò)事件（例如用戶，文件，進(jìn)程，注冊(cè)表，內(nèi)存和網(wǎng)絡(luò)事件），并將這些信息本地存儲(chǔ)在終端或集中數(shù)據(jù)庫。結(jié)合已知的攻擊指示器（Indicators of Compromise，IOCs）、行為分析的數(shù)據(jù)庫來連續(xù)搜索數(shù)據(jù)和機(jī)器學(xué)習(xí)技術(shù)來監(jiān)測(cè)任何可能的安全攻擊，并對(duì)這些安全攻擊做出快速響應(yīng)。還有助于快速調(diào)查攻擊范圍，并提供響應(yīng)能力。

　　什么是 XDR？

　　XDR 是 EDR、終端檢測(cè)和響應(yīng)的演變。雖然 EDR 收集和關(guān)聯(lián)多個(gè)終端的活動(dòng)，但 XDR 將檢測(cè)范圍擴(kuò)大到終端之外，以提供跨終端、網(wǎng)絡(luò)、服務(wù)器、云工作負(fù)載、SIEM 等的檢測(cè)、分析和響應(yīng)。

　　這提供了一個(gè)跨多個(gè)工具和攻擊媒介的統(tǒng)一的單一管理平臺(tái)視圖。這種改進(jìn)的可見性提供了這些攻擊的背景信息，以幫助分類、調(diào)查和快速修復(fù)工作。

　　XDR 自動(dòng)收集和關(guān)聯(lián)多個(gè)安全向量的數(shù)據(jù)，促進(jìn)更快的攻擊檢測(cè)，以便安全分析師可以在攻擊范圍擴(kuò)大之前快速做出響應(yīng)?？缍鄠€(gè)不同產(chǎn)品和平臺(tái)的開箱即用集成和預(yù)先調(diào)整的檢測(cè)機(jī)制有助于提高生產(chǎn)力、攻擊檢測(cè)和取證。

　　簡而言之，XDR 擴(kuò)展到終端之外，可以根據(jù)來自更多產(chǎn)品的數(shù)據(jù)做出決策，并且可以通過對(duì)電子郵件、網(wǎng)絡(luò)、身份等采取行動(dòng)，進(jìn)而在整個(gè)堆棧中采取防御。

　　XDR 與 SIEM 有何不同？

　　當(dāng)我們談?wù)?XDR 時(shí)，有些人認(rèn)為我們是在以不同的方式描述安全信息和事件管理 （SIEM） 工具，但是 XDR 和 SIEM 是兩種不同的東西。

　　安全信息事件管理 （SIEM）從整個(gè)企業(yè)收集、聚合、分析和存儲(chǔ)大量的日志數(shù)據(jù)，SIEM 以一種非常廣泛的方法開始了它的旅程：從整個(gè)企業(yè)的幾乎任何來源收集可用的日志和事件數(shù)據(jù)，以便為多個(gè)用例進(jìn)行存儲(chǔ)。其中包括治理和合規(guī)性、基于規(guī)則的模式匹配、啟發(fā)式/行為攻擊檢測(cè)（如 UEBA），以及跨遙測(cè)源尋找 IOC 或攻擊指標(biāo)。SIEM解決方案就像飛行員和空中交通管制員使用的雷達(dá)系統(tǒng)。如果沒有該數(shù)據(jù)安全管理解決方案，企業(yè) IT 無異于處于“盲飛”狀態(tài)。雖然安全設(shè)備和系統(tǒng)軟件擅長捕捉和記錄孤立的攻擊與會(huì)產(chǎn)生威脅的異常行為，但是當(dāng)今最嚴(yán)重的威脅是分布式的，跨多個(gè)系統(tǒng)協(xié)同工作，并使用先進(jìn)的逃避技術(shù)來避免進(jìn)行威脅情報(bào)檢測(cè)。如果沒有SIEM安全信息事件管理，攻擊就會(huì)發(fā)生并發(fā)展成為災(zāi)難性事件。

　　然而，SIEM 工具需要大量的微調(diào)和努力才能實(shí)現(xiàn)。安全團(tuán)隊(duì)也可能被來自 SIEM 的大量警報(bào)淹沒，導(dǎo)致 SOC 忽略關(guān)鍵警報(bào)。此外，即使 SIEM 從數(shù)十個(gè)來源和傳感器捕獲數(shù)據(jù)，它仍然是一種發(fā)出警報(bào)的被動(dòng)分析工具。

　　XDR 平臺(tái)旨在解決 SIEM 工具有效檢測(cè)和響應(yīng)針對(duì)性攻擊的挑戰(zhàn)，包括行為分析、攻擊情報(bào)、行為剖析和分析。

　　XDR 與 SOAR 有何不同？

　　成熟的安全運(yùn)營團(tuán)隊(duì)使用安全編排和自動(dòng)響應(yīng) （SOAR） 平臺(tái)來構(gòu)建和運(yùn)行多階段劇本，以在與 API 連接的安全解決方案生態(tài)系統(tǒng)中自動(dòng)執(zhí)行操作。相比之下，XDR 將通過 Marketplace 實(shí)現(xiàn)生態(tài)系統(tǒng)集成，并提供針對(duì)第三方安全控制的簡單操作自動(dòng)化機(jī)制。

　　SOAR是復(fù)雜的、昂貴的，并且需要一個(gè)高度成熟的SOC來實(shí)現(xiàn)和維護(hù)合作伙伴的集成。而XDR的目標(biāo)是“SOAR-lite”，即一個(gè)簡單、直觀、零代碼的解決方案，提供從XDR平臺(tái)到連接的安全工具的操作能力。

　　什么是 MXDR？

　　托管擴(kuò)展檢測(cè)和響應(yīng) （MXDR） 將 MDR 服務(wù)擴(kuò)展到整個(gè)企業(yè)，以獲得完全托管的解決方案，其中包括跨終端、網(wǎng)絡(luò)和云環(huán)境的安全分析和操作、高級(jí)攻擊搜尋、檢測(cè)和快速響應(yīng)。

　　MXDR 服務(wù)通過 MDR 服務(wù)增強(qiáng)了客戶的 XDR 功能，以提供額外的監(jiān)控、調(diào)查、攻擊搜尋和響應(yīng)功能。

　　為什么XDR越來越受歡迎？

　　XDR 取代了孤立的安全性，并幫助組織從統(tǒng)一的角度應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)。通過包含來自整個(gè)生態(tài)系統(tǒng)信息的單一原始數(shù)據(jù)池，XDR 允許比 EDR 更快、更深入、更有效的攻擊檢測(cè)和響應(yīng)，從更廣泛的來源收集和整理數(shù)據(jù)。

　　XDR 為攻擊提供更多可見性和背景信息，以前無法處理的事件將會(huì)浮出水面，使安全團(tuán)隊(duì)能夠糾正和減少任何進(jìn)一步的影響，并將攻擊的范圍降到最低。

　　典型的勒索軟件攻擊會(huì)遍歷網(wǎng)絡(luò)，到達(dá)電子郵件收件箱，然后攻擊終端。通過獨(dú)立地查看每一個(gè)變量來解決安全性問題會(huì)使組織處于不利地位。XDR集成了不同的安全控制來提供跨企業(yè)安全領(lǐng)域的自動(dòng)化或一鍵式響應(yīng)操作，如禁用用戶訪問、強(qiáng)制對(duì)可疑帳戶進(jìn)行多因素身份驗(yàn)證、阻止入站域和文件哈希等，所有這些都是通過用戶編寫的自定義規(guī)則或內(nèi)置在規(guī)范響應(yīng)引擎中的邏輯實(shí)現(xiàn)的。

　　通過包含來自整個(gè)生態(tài)系統(tǒng)信息的單一原始數(shù)據(jù)池，XDR 允許比 EDR 更快、更深入、更有效的攻擊檢測(cè)和響應(yīng)，從更廣泛的來源收集和整理數(shù)據(jù)。

　　這種全面的可見性帶來了幾個(gè)好處，包括：

　　?通過跨數(shù)據(jù)源的關(guān)聯(lián)減少平均檢測(cè)時(shí)間（MTTD）；

　　?通過加速分類和減少調(diào)查和范圍的時(shí)間來減少平均調(diào)查時(shí)間 （MTTI）；

　　?通過實(shí)現(xiàn)簡單、快速和相關(guān)的自動(dòng)化來減少平均響應(yīng)時(shí)間 （MTTR）；

　　?提高整個(gè)安全領(lǐng)域的可見性；

　　此外，由于人工智能和自動(dòng)化，XDR 有助于緩解安全分析師的手動(dòng)工作負(fù)擔(dān)。XDR 解決方案可以主動(dòng)、快速地檢測(cè)復(fù)雜的攻擊，提高安全或 SOC 團(tuán)隊(duì)的生產(chǎn)力，并為組織帶來巨大的投資回報(bào)。