在過去一年多時間里,，大小安全廠商都逐漸投入到了XDR（eXtended Detection and Response）這個領域中：一些廠商從終端安全出發(fā),，而有些廠商從網絡層面出發(fā),。無論那種方式都是不錯的切入手段,，畢竟XDR的價值在于將安全從一系列端點產品轉移到一個獨立的平臺,，從而實現企業(yè)中威脅的可視化能力,。數據會從不同的執(zhí)行點被獲取,，然后進行分析,，從而企業(yè)能夠更快速地發(fā)現威脅,，并且基于威脅的輻射半徑進行響應,。

　　像EDR這類傳統(tǒng)的安全工具，往往只能發(fā)現威脅的存在,，而難以真正理解到威脅——尤其是威脅源自于那些不會發(fā)生的“正確行為”中,。這也是大部分檢測和響應工具往往在檢測能力上比在響應能力上做得更好的原因——而XDR則能改變這一現狀。

　　XDR貫穿各個安全層面，這也是許多廠商加入這個圈子的原因,。因此,，XDR中存在著大量“服務商”，有一些提供真正的XDR解決方案,，而有一些只是頂著XDR的名字罷了,。這里給選擇XDR解決方案的企業(yè)五條篩選建議：

　　1.跨安全圖譜的可視化能力。XDR中的“X”意為“擴展”,，因此XDR工具需要有廣泛的可視化能力,，但是指望一家安全廠商能針對所有威脅都有相關的安全產品，顯然不現實,。那么,，XDR廠商應該至少提供終端、云,、和網絡的可視化能力,，然后在電子郵件、應用相關數據等其他領域能整合第三方數據,。理論上,，XDR廠商應該有三個支柱能力，然后通過合作伙伴模式輸出其他能力,。在不同系統(tǒng)中將相應能力聯系到一起是一項挑戰(zhàn),，但是依然可行。

　　2.基于機器學習的分析能力,。安全系統(tǒng)會生成海量的數據,，多到甚至最頂尖的犯罪專家都無法手動分析。機器學習算法可以發(fā)現能表明攻擊的最小的異常點,。盡管說一些安全專家不愿意將可視化權限讓渡給機器,，但是這是唯一能大規(guī)模部署XDR的途徑。醫(yī)療行業(yè)早在幾年前就遇到過同樣的問題：醫(yī)生不愿意讓機器學習系統(tǒng)閱讀核磁共振圖,，但是他們很快發(fā)現,，如果讓機器學習去處理這些問題,，那么醫(yī)生自己就有了更多時間治療病人,，而不是浪費在看數據上。在這一點上,，安全和XDR也一樣,。

　　3.自動化響應。和基于機器學習的分析能力類似,，對安全事件進行自動化響應也需要一定的信任,。有些人認為自動化威脅響應有風險，但是手動處理反而會降低響應速度，從而一旦真有泄露事件發(fā)生就會導致企業(yè)數百萬元的損失,。一個好的折中方案,，可以讓XDR系統(tǒng)進行響應方案推薦，而由安全團隊驗證這個方案并實施,。這就跟特斯拉的自動駕駛類似：駕駛員依然需要把手放在方向盤上,，但是車卻是控制駕駛的一方。

　　4.協(xié)同響應,。自從網絡安全誕生以來,，無法讓網絡、終端,、和云協(xié)同響應的問題始終困擾著安全團隊,。網絡方面團隊可能注意到了威脅并及時阻斷，但是沒有告訴終端負責團隊,，導致一些惡意軟件在企業(yè)內部悄悄運行,。XDR需要有一個集成的響應系統(tǒng)，讓安全團隊從一個顯示表消除網絡,、終端,、和云的威脅。這樣就能形成快速響應,，并且將威脅半徑保持在可控范圍內,。

　　5.簡化工作流。安全當中有句話,，叫做“復雜即敵人”,，這對XDR同樣適用。如今,，細分化的安全工具會造成一條幾乎看不到邊的告警流,，充滿了各種誤報噪音。結果上來看,，在過去幾年的重大安全事件中,，安全廠商都宣稱自己檢測到了事件，但是安全團隊并未采取任何措施,。太多的告警和無告警并沒本質區(qū)別,。XDR系統(tǒng)需要提供一個基于簡化調查的完整視圖，從而能夠輕松發(fā)現問題根源,、事件的發(fā)生順序,、以及從多個來源獲取的威脅情報詳細信息。

　　XDR部署還有一點需要考慮的：雖然有許多優(yōu)秀的解決方案,，但是只有在人員使用它們的時候才能顯現效果,。XDR的最佳實踐需要不同安全分組之間打破隔閡,，由CISO自上而下讓不同的安全團隊相互協(xié)作。XDR的概念已經提出了兩年之久了,，而人員和流程也應該演化,。