警惕XDR应用落入产品化的思维陷阱中

XDR概念已提出多年，警惕阱中但很多企业用户对它的应用落理解仍然一头雾水，有人认为它是入产端点检测和响应（EDR）技术的扩展，有人认为它是品化由单一安全厂商提供的威胁检测工具组件包，还有人认为它是维陷一种开放式的威胁检测和事件响应新架构 。

XDR技术之所以会出现，警惕阱中是应用落由于企业安全团队对威胁检测和响应技术有了更高的要求 。国际IT专业媒体TechTarget旗下的高防服务器入产企业战略研究机构ESG日前开展了一项调查，面向381名企业安全专业人员进行了XDR应用访谈 。品化研究发现 ，维陷85%的警惕阱中组织计划在今后12到18个月内加大在XDR应用方面的支出。很显然 ，应用落组织对现在实施的入产方案并不满意。对于企业的品化安全架构师而言，是维陷时候改进优化现有的XDR应用策略了 。

产品化的思维陷阱

新一代XDR技术会是亿华云企业升级威胁检测和响应能力的灵丹妙药吗？ESG认为，如果企业把XDR看作一种安全产品的话，那么可能很难找到一款真正能够全面满足组织需求的XDR产品。

ESG研究团队认为
，企业应该将XDR应用和部署看作是一个过程，只有持续性地关注XDR技术应用过程中改进检测和响应计划的必要性，才可以满足 IT 基础设施的多样性应用需求，更好地应对日益复杂的安全威胁。

XDR 的源码下载核心是按照优先级对各种类型的安全数据进行聚合、关联和分析 
，这反映了日益多样化的攻击面和更复杂的威胁形势 ，可以使高级威胁检测更优化。尽管有很多安全厂商都推出宣称是XDR的产品或解决方案，但是企业组织要找到真正能够满足自己安全应用需求的XDR方案并不容易。要克服这一过程中的挑战 ，云计算企业可以从以下方面进行思考：

明确定义组织对 XDR 的看法和需求
，将 XDR 视为一种全新的威胁检测和响应战略 ，而不是某个特定的产品工具；

根据组织的XDR战略，明确定义出对XDR方案的具体应用需求 ，并以此来确定企业已经拥有的XDR能力 ，同时发现需要投资优化的地方；

不要陷入产品化的XDR思维陷阱中。在实际应用中 ，建站模板实现XDR策略需要威胁情报等多种工具的支持，但这些工具不能被独立的标记为 XDR产品。

从XDR得到什么
？

构建高效的威胁检测和响应能力对组织安全运营建设至关重要 ，但实现这一目标困难重重
 。在2023年，以XDR为代表的威胁检测和响应领域会成为安全投资热点。不同厂商围绕新一代XDR产品定义的争论还将持续，但是XDR确实能够帮助组织提高威胁检测和响应效率以及安全运营效率 ，所以仍将受到市场的热捧。源码库

企业用户应该关注XDR的应用结果
，而不是纠结于对XDR定义的争论。ESG研究数据显示
：

36%的受访者希望，针对不断扩大的攻击面 ，通过应用XDR能帮助扩展并增强组织的威胁检测和响应能力。安全运营团队希望新一代XDR方案能够既有广度，又有深度，可以实现综合收集、分析并处理来自威胁情报
、云端 、身份系统和物联网设备等多种来源的安全检测数据 ，降低运营团队的人工工作压力；

33%的受访者希望 ，新一代XDR方案能够提高安全警报的准确性和优先级，从而更便捷地分析和响应事件。换句话说 ，安全运营团队希望XDR能够快速识别并检测正在进行中的攻击
，而不是陷入到海量的安全事件分析中去；

29%的受访者希望，新一代XDR方案能够为企业创建集中式的威胁检测管理中心
。安全运营团队想要一个真正统一化的协同工作平台 ，而不是来自不同工具的繁琐UI界面和管控仪表板。这一点对提高企业安全管理流程效率和员工生产力非常有帮助；

26%的受访者希望XDR能够缩短检测和响应威胁的平均时间。很显然，他们对XDR目前的表现并不满意 ，希望XDR能成为业务助推器；

25%的受访者希望新一代XDR方案 ，具有更强大的未知高级威胁检测能力。这需要对现有的分析工具、警报机制以及Mitre ATT&CK框架进行改良优化 ，以便深入了解攻击活动以及攻击者使用的战术、技术和程序（TTP） 。

实施XDR的7点建议

对于希望成功实施XDR策略的企业组织，ESG研究团队给出了以下7点建议：

1.将可扩展的分析平台作为XDR策略的核心

要实现更好的威胁检测和事件响应，需要更多的安全监控数据来支撑。XDR方案中的数据分析平台应该能够全面获取和分析这些安全数据 。组织要对各种检测能力工具实现更多的集成 
，并能够快捷纳入新接入的安全工具。由于数据分析的速度和规模对检测分析都很重要 ，所以企业应优先考虑集成性强、扩展性好的数据分析平台。

2.使用自动化分析引擎工具

部署应用XDR策略应该能够使检测、响应 、威胁情报分析和安全操作等流程实现自动化 。自动化引擎在这方面将发挥着重要角色。自动化引擎是很多传统XDR方案中欠缺的一个方面，企业后续需要加大关注力度。很多XDR方案目前的工作流程根本不具有可扩展性，将难以满足数字化发展和新型威胁攻击的增长速度。

3.要能够获取和自动处理多来源的威胁情报

不是所有的威胁情报都需要汇集到XDR策略中 
，但是威胁分析引擎必须可灵活扩展 ，以便从多个情报来源获取最新的威胁情报信息 。虽然大多数安全产品和服务提供商在威胁研究方面都投入了巨资
，但仅依靠单一的情报来源从长远来看是不够的 。

4.基于风险的安全警报和事件优先级评价

组织需要从基于风险的角度，帮助安全分析师关注组织内外整个攻击面上价值最高、风险最高的资产和威胁隐患。现有的安全风险评估机制必须与XDR策略相集成 。

5.高度直观的自动化交互工具

自动化交互工具可以帮助安全分析师更好地理解 、调查 、缓解或对付进行中的攻击。工具不仅仅应该直观呈现攻击 ，还应该提供洞察力 ，以便深入了解攻击者的常见行为、对应情况以及从之前的调查所获得的情报。自动化技术可在其中起到了关键作用，因为它为数据分析增添了更多的信息 ，并基于充分理解的模式使工作流程实现自动化 ，从而缩短威胁事件的调查过程。

6.加强与其他安全能力的整合

XDR策略如果与组织中其他工作流程工具（包括工单系统 、消息传递工具、安全 、编排 、SOAR等）整合，组织就可以更容易充分利用现有的工作流程和资源，加强团队的知识库建设
，以便将来可以积累和利用更多的调查成果  。

7.确保各种安全工具协同性

随着XDR项目逐渐深入开展，组织应考虑实施与当前安全体系和架构相一致的技术。确保当前架构中尽可能多的部分实现预构建集成，这可能意味着从现有的安全提供商购置XDR技术 。