XDR与NDR/NTA；组织真正需要什么来保持安全？

组织机构不在《财富》500强之列的安全团队面临着两难境地。大多数团队必须在部署网络流量分析（NTA）或网络检测与响应（NDR）工具或端点检测与响应（EDR）工具之间做出选择，以补充现有的堆栈。

另一方面，一些组织正通过切换到扩展检测和响应（XDR）工具来获得这两种选择的最佳效果，这些工具通常在一个解决方案中提供所有这些工具。

NDR工具变得越来越流行，这是有原因的。它们为组织提供了各种好处，并有助于进一步保护环境，使其免受侧向移动攻击，并在初始攻击成功时进一步渗透。NDR工具可以检测范围广泛的恶意活动和异常行为。问题是NDR工具的优势是否超过了它的局限性。

NDR的利弊

NDR和网络分析工具为组织提供了两大好处：威胁检测和运营影响

网络分析工具可以帮助组织检测和跟踪各种可能表示攻击的异常行为和恶意行为，包括：

• 通过异常用户操作进行恶意身份验证
• 基于网络的侦察活动
• 不寻常的登录尝试发生得太近，或偏离网络行为模式

此外，网络分析工具不具侵入性。它们不需要安装端点，也不会影响实时网络流量。对于用户不需要安装代理的组织来说，它们也是理想的选择。

另一方面，网络分析工具在保护环境中的各个端点方面存在不足。它们不具备检测恶意文件活动、进程执行和端点泄露的其他指标的能力。

这限制了它们的可见性和抵御初始攻击的能力。这也限制了它们的预防能力。相反，NDR和其他网络分析工具主要关注检测和警报。除了网络补救之外，它们也几乎没有提供什么补救方法。

XDR如何弥合差距

XDR为解决这一困境提供的解决方案是将各种检测和响应工具整合到一个平台中。这意味着，在检测和警报的基础上，XDR还可以自动响应、调查和修复环境中发生的任何威胁和攻击。XDR可以包括多种工具，包括：

• NGAV
• EDR
• 用户和实体行为分析（UEBA）
• NTA
• 欺骗工具

这将消除多窗格玻璃的问题，并允许组织使用单个窗格。XDR不需要集成多个筒仓式安全工具的堆栈，而是可以提供分层的、本机集成的解决方案，帮助检测威胁并更好地应对它们。