XDR必备的五大能力

高枫

在过去一年多时间里，大小安全厂商都逐渐投入到了XDR（eXtended Detection and Response）这个领域中：一些厂商从终端安全出发，而有些厂商从网络层面出发。无论哪种方式都是不错的切入手段，毕竟XDR的价值在于将安全从一系列端点产品转移到一个独立的平台，从而实现企业中威胁的可视化能力。数据会从不同的执行点被获取，然后进行分析，从而企业能够更快速地发现威胁，并基于威胁的辐射半径进行响应。

像EDR这类传统的安全工具，往往只能发现威胁的存在，而难以真正处理威胁———尤其是威胁源自于那些不会发生的“正确行为”中。这也是大部分检测和响应工具往往在检测能力比在响应能力做得更好的原因———而XDR则能改变这一现状。

XDR贯穿各个安全层面，这也是许多厂商加入这个圈子的原因。因此，XDR中存在着大量“服务商”，有一些提供真正的XDR解决方案，而有一些只是顶着XDR的名字罢了。这里给选择XDR解决方案的企业5条筛选建议：

跨安全图谱的可视化能力

XDR中的X的意思为扩展，因此XDR工具需要有广泛的可视化能力，但是指望一家安全厂商能针对所有威胁都有相关的安全产品，显然不现实。那么，XDR厂商应该至少提供终端、云和网络的可视化能力，然后在电子邮件、应用数据等其他领域能整合第三方数据。理论上，XDR厂商应该有3个支柱能力，然后通过合作伙伴模式输出其他能力。在不同系统中将相应能力联系到一起是一项挑战，但是依然可行。

基于机器学习的分析能力

安全系统会生成海量的数据，多到甚至最顶尖的犯罪专家都无法手动分析。机器学习算法可以发现能表明攻击的最小的异常点。尽管说一些安全专家不愿意将可视化权限让给机器，但是这是唯一能大规模部署XDR的途径。医疗行业早在几年前就遇到过同样的问题：医生不愿意让机器学习系统阅读核磁共振图，但是他们很快发现，如果让机器学习去处理这些问题，那么医生自己就有了更多时间治疗病人，而不是浪费在看数据上。在这一点上，安全和XDR也一样。

自动化响应

和基于机器学习的分析能力类似，对安全事件进行自动化响应也需要一定的信任。有些人认为自动化威胁响应有风险，但是手动处理反而会降低响应速度，一旦真有泄露事件发生就会导致企业数百万元的损失。一个好的折中方案，可以让XDR系统进行响应方案推荐，而由安全团队验证这个方案并实施。这就跟特斯拉的自动驾驶类似，驾驶员依然需要把手放在方向盘上，但是车却是控制驾驶的一方。

协同响应

自从网络安全诞生以来，无法让网络、终端、和云协同响应的问题始终困扰着安全团队。网络方面团队可能注意到了威胁并及时阻断，但是没有告诉终端负责团队，导致一些恶意软件在企业内部悄悄运行。XDR需要有一个集成的响应系统，让安全团队从一个显示表消除网络、终端、和云的威胁。这样就能形成快速响应，并且将威胁半径保持在可控范围内。

简化工作流

安全当中有句话，叫做“复杂即敌人”，这对XDR同样适用，如今，細分化的安全工具会造成一条几乎看不到边的告警流，充满了各种误报噪音。从结果上来看，在过去几年的重大安全事件中，安全厂商都宣称自己检测到了事件，但是安全团队并未采取任何措施。太多的告警和无告警并没本质区别，XDR系统需要提供一个基于简化调查的完整视图，从而能够轻松发现问题根源、事件的发生顺序，以及从多个来源获取的威胁情报的详细信息。

XDR部署还有一点需要考虑，虽然有许多优秀的解决方案，但是只有在人员使用它们的时候才能显现效果。XDR的最佳实践需要不同安全分组之间打破隔阂，由CISO自上而下让不同的安全团队相互协作，XDR的概念已经提出了2年，而人员和流程也应该有所演化。