網(wǎng)絡安全行業(yè)充斥著行話、縮寫詞和首字母縮略詞。隨著復雜的攻擊媒介成倍增加，從終端到網(wǎng)絡再到云，許多企業(yè)正在面臨一種新方法來應對高級攻擊：擴展檢測和響應，這就產(chǎn)生了另一個首字母縮略詞：XDR。盡管 XDR 今年受到行業(yè)的廣泛關注，但 XDR 仍然是一個不斷發(fā)展的概念。

　　什么是 XDR？XDR 與 EDR 有何不同？和SIEM和SOAR一樣嗎？

　　2020年以來，隨著遠程辦公的增加，網(wǎng)絡攻擊也進一步加劇，XDR的熱度隨之持續(xù)上升。2020年，Gartner將XDR命名為第一大安全趨勢，并表示XDR解決方案將“提高檢測準確性，并提高安全運營效率和生產(chǎn)率。”

　　作為 EDR 市場的領導者和新興 XDR 技術的先驅(qū)，我們經(jīng)常被要求闡明它的含義以及它如何最終幫助提供更好的防御效果。這篇文章旨在澄清一些關于 XDR 的常見問題以及與 EDR、SIEM 和 SOAR 之間的區(qū)別。

　　什么是 EDR？

　　EDR （Endpoint Detection and Response）使組織能夠監(jiān)控終端的可疑行為并記錄每個活動和事件。然后關聯(lián)信息以提供關鍵上下文以檢測高級攻擊，并最終運行自動響應活動，例如近乎實時地將受感染的終端與網(wǎng)絡隔離。終端檢測和響應是一種主動式終端安全解決方案，通過記錄終端與網(wǎng)絡事件（例如用戶，文件，進程，注冊表，內(nèi)存和網(wǎng)絡事件），并將這些信息本地存儲在終端或集中數(shù)據(jù)庫。結合已知的攻擊指示器（Indicators of Compromise，IOCs）、行為分析的數(shù)據(jù)庫來連續(xù)搜索數(shù)據(jù)和機器學習技術來監(jiān)測任何可能的安全攻擊，并對這些安全攻擊做出快速響應。還有助于快速調(diào)查攻擊范圍，并提供響應能力。

　　什么是 XDR？

　　XDR 是 EDR、終端檢測和響應的演變。雖然 EDR 收集和關聯(lián)多個終端的活動，但 XDR 將檢測范圍擴大到終端之外，以提供跨終端、網(wǎng)絡、服務器、云工作負載、SIEM 等的檢測、分析和響應。

　　這提供了一個跨多個工具和攻擊媒介的統(tǒng)一的單一管理平臺視圖。這種改進的可見性提供了這些攻擊的背景信息，以幫助分類、調(diào)查和快速修復工作。

　　XDR 自動收集和關聯(lián)多個安全向量的數(shù)據(jù)，促進更快的攻擊檢測，以便安全分析師可以在攻擊范圍擴大之前快速做出響應?？缍鄠€不同產(chǎn)品和平臺的開箱即用集成和預先調(diào)整的檢測機制有助于提高生產(chǎn)力、攻擊檢測和取證。

　　簡而言之，XDR 擴展到終端之外，可以根據(jù)來自更多產(chǎn)品的數(shù)據(jù)做出決策，并且可以通過對電子郵件、網(wǎng)絡、身份等采取行動，進而在整個堆棧中采取防御。

　　XDR 與 SIEM 有何不同？

　　當我們談論 XDR 時，有些人認為我們是在以不同的方式描述安全信息和事件管理 （SIEM） 工具，但是 XDR 和 SIEM 是兩種不同的東西。

　　安全信息事件管理 （SIEM）從整個企業(yè)收集、聚合、分析和存儲大量的日志數(shù)據(jù)，SIEM 以一種非常廣泛的方法開始了它的旅程：從整個企業(yè)的幾乎任何來源收集可用的日志和事件數(shù)據(jù)，以便為多個用例進行存儲。其中包括治理和合規(guī)性、基于規(guī)則的模式匹配、啟發(fā)式/行為攻擊檢測（如 UEBA），以及跨遙測源尋找 IOC 或攻擊指標。SIEM解決方案就像飛行員和空中交通管制員使用的雷達系統(tǒng)。如果沒有該數(shù)據(jù)安全管理解決方案，企業(yè) IT 無異于處于“盲飛”狀態(tài)。雖然安全設備和系統(tǒng)軟件擅長捕捉和記錄孤立的攻擊與會產(chǎn)生威脅的異常行為，但是當今最嚴重的威脅是分布式的，跨多個系統(tǒng)協(xié)同工作，并使用先進的逃避技術來避免進行威脅情報檢測。如果沒有SIEM安全信息事件管理，攻擊就會發(fā)生并發(fā)展成為災難性事件。

　　然而，SIEM 工具需要大量的微調(diào)和努力才能實現(xiàn)。安全團隊也可能被來自 SIEM 的大量警報淹沒，導致 SOC 忽略關鍵警報。此外，即使 SIEM 從數(shù)十個來源和傳感器捕獲數(shù)據(jù)，它仍然是一種發(fā)出警報的被動分析工具。

　　XDR 平臺旨在解決 SIEM 工具有效檢測和響應針對性攻擊的挑戰(zhàn)，包括行為分析、攻擊情報、行為剖析和分析。

　　XDR 與 SOAR 有何不同？

　　成熟的安全運營團隊使用安全編排和自動響應 （SOAR） 平臺來構建和運行多階段劇本，以在與 API 連接的安全解決方案生態(tài)系統(tǒng)中自動執(zhí)行操作。相比之下，XDR 將通過 Marketplace 實現(xiàn)生態(tài)系統(tǒng)集成，并提供針對第三方安全控制的簡單操作自動化機制。

　　SOAR是復雜的、昂貴的，并且需要一個高度成熟的SOC來實現(xiàn)和維護合作伙伴的集成。而XDR的目標是“SOAR-lite”，即一個簡單、直觀、零代碼的解決方案，提供從XDR平臺到連接的安全工具的操作能力。

　　什么是 MXDR？

　　托管擴展檢測和響應 （MXDR） 將 MDR 服務擴展到整個企業(yè)，以獲得完全托管的解決方案，其中包括跨終端、網(wǎng)絡和云環(huán)境的安全分析和操作、高級攻擊搜尋、檢測和快速響應。

　　MXDR 服務通過 MDR 服務增強了客戶的 XDR 功能，以提供額外的監(jiān)控、調(diào)查、攻擊搜尋和響應功能。

　　為什么XDR越來越受歡迎？

　　XDR 取代了孤立的安全性，并幫助組織從統(tǒng)一的角度應對網(wǎng)絡安全挑戰(zhàn)。通過包含來自整個生態(tài)系統(tǒng)信息的單一原始數(shù)據(jù)池，XDR 允許比 EDR 更快、更深入、更有效的攻擊檢測和響應，從更廣泛的來源收集和整理數(shù)據(jù)。

　　XDR 為攻擊提供更多可見性和背景信息，以前無法處理的事件將會浮出水面，使安全團隊能夠糾正和減少任何進一步的影響，并將攻擊的范圍降到最低。

　　典型的勒索軟件攻擊會遍歷網(wǎng)絡，到達電子郵件收件箱，然后攻擊終端。通過獨立地查看每一個變量來解決安全性問題會使組織處于不利地位。XDR集成了不同的安全控制來提供跨企業(yè)安全領域的自動化或一鍵式響應操作，如禁用用戶訪問、強制對可疑帳戶進行多因素身份驗證、阻止入站域和文件哈希等，所有這些都是通過用戶編寫的自定義規(guī)則或內(nèi)置在規(guī)范響應引擎中的邏輯實現(xiàn)的。

　　通過包含來自整個生態(tài)系統(tǒng)信息的單一原始數(shù)據(jù)池，XDR 允許比 EDR 更快、更深入、更有效的攻擊檢測和響應，從更廣泛的來源收集和整理數(shù)據(jù)。

　　這種全面的可見性帶來了幾個好處，包括：

　　?通過跨數(shù)據(jù)源的關聯(lián)減少平均檢測時間（MTTD）；

　　?通過加速分類和減少調(diào)查和范圍的時間來減少平均調(diào)查時間 （MTTI）；

　　?通過實現(xiàn)簡單、快速和相關的自動化來減少平均響應時間 （MTTR）；

　　?提高整個安全領域的可見性；

　　此外，由于人工智能和自動化，XDR 有助于緩解安全分析師的手動工作負擔。XDR 解決方案可以主動、快速地檢測復雜的攻擊，提高安全或 SOC 團隊的生產(chǎn)力，并為組織帶來巨大的投資回報。