XDR 和高管须知
XDR 到底意味着什么?
扩展的检测和响应 (XDR)由 Nir Zuk 于 2018 年在 Palo Alto Networks 创造, 旨在应对安全数据 分析的孤岛式方法所带来的挑战。传统方法只关注单一类型的设备或领域,如终端、网络或用户行为,缺 少其他重点领域的情境和指标,这可能会导致出现识别风险。XDR 用于分析所有这些重点领域,以便将 其添加至一个整体平台中。该平台可以解读事件中涉及的所有数据,然后在 SOC 响应任何恶意或危险事 件时,它可以在整个环境中提供跟踪和补救流程。
XDR 从何而来?
当 Palo Alto Networks 研究企业不断提出的与可视性和了解其环境中正在发生的重大安全事件有关的挑战时,他 们意识到供应商发布的特定领域孤立产品之间存在缺口,企业需要一个统一的平台才能全面覆盖。XDR 旨在通过 连接来自企业 IT 基础设施所有方面的信息来缩小这一差距。
然后,添加机器学习引擎也变得格外重要,该引擎可以将原始数据的大规模增长进行关联,以验证只有重大事件才 会引起分析师的注意,这样这些事件就不会淹没在不可操作或不相关的警报中。XDR 中的“X”是将检测和响应扩 展至所有 IT 运营这一理念的关键,为了证实这一点,Palo Alto Networks 创建了一个 远景图, 展现 XDR 的起源 以及未来的发展趋势。
为什么 XDR 在网络安全中很重要?
从前,终端、网络和威胁位于不同的数据集,如今它们及更多内容已整合至一个平台视图中,这将使企业了解其整 个安全运营和 IT 足迹的方式发生根本转变。拥有整合全部内容的单一视图可以减少因缺乏情境、技能障碍、手动 汇总和报告而遗漏的重大事件、误报和漏报。这些组合数据集由机器学习系统进行分析,在企业如何应对网络犯罪 从个人“黑客”到企业内部攻击者,再到国家级运营商的演变以及由此可预见的所有日益复杂的攻击中起到了变革 作用。
XDR 的反馈如何?
我们观察市场对 XDR 这一理念的反应时,发现许多供应商不愿意使用这个 术语,同时尽其所能地将他们的 EDR 或 NDR/NTA 产品伪装成 XDR。许多 供应商已经重新设计了他们的 UI/UX,将所有信息显示为“统一来源”, 但没有实际更改底层应用程序以通过所有来源准确获取数据,仅仅是在一 个视图中显示孤立的数据流。该领域也出现了新的参与者,他们专注于获 得更加深入的可视性,但无法覆盖 IT 基础设施中的所有不同类型的设备, 甚至还在可用设备上留下了漏洞。最后,也是最令人震惊的是,我们发现 机器学习缺乏自动化,导致企业收到大量得不到相应关注的警报,抑或数 据不完整,导致分析师无法理解引发事件的整个链条。