XDR：下一级预防、检测和应对

我们不断听说的一种新的安全技术是扩展检测和响应（XDR）。

这项新技术将多种预防和检测技术融合在一个平台上，以更好地理解威胁信号，从而无需购买、集成和管理各种控制和集成技术。

将XDR视为预先打包的EDR、NTA、UEBA（或许还有其他预防和检测）技术，所有这些技术都紧密集成在一个类似SOAR的平台上。当然，XDR不需要SOAR技术，因为整个平台都是现成的集成和编排。

在Gartner最近发布的2020年前9大安全和风险趋势中，XDR名列第一。网络安全公司Cynet刚刚发布了一本有趣的XDR电子书[在这里下载]，为这项有前途的新技术提供了极好的入门知识。

根据Cynet的说法，将多个筒仓控制技术结合起来所涉及的费用和问题通常不值得付出努力。从逻辑上讲，这是有道理的，也是迫切需要的，但在实践中几乎是不可能的。

多个孤立安全控制的最大问题之一是警报过载。因为警报来自不同的来源，所以很难理解哪些警报是重要的，更重要的是，哪些警报组合在一起是重要的。

也就是说，任何一个警报都可能被视为不重要，但当与其他相关警报一起查看时，它可能预示着危险的威胁。当来自不同安全控制的信号结合在一起时，XDR平台基本上可以“透过树木看到森林”

除了检测之外，XDR控制还提供各种级别的响应自动化。在最基本的层面上，简单（虽然不是很简单！）将类似的警报结合起来，有助于安全分析师看到全局并采取适当的行动。

如果没有XDR，这些信号可能会被忽略，直到威胁扩散，或者需要大量时间进行调查，以了解威胁的全部影响。有了XDR，这一切都可以自动化。

根据Cynet的说法，最基本的好处是：

• 本机将预防和检测控制与有意义的攻击向量相结合，以自动将真实警报与噪音分离，并发现筒仓式检测工具可能没有注意到的微妙威胁线索，从而实现前所未有的威胁检测准确性。
• 花更少的时间追踪误报警报、自动修复威胁，以及消除集成、维护和操作不同供应商系统所需的时间，可以提高效率。
• 将多个安全产品整合到一个XDR平台中，将大量警报减少为较少有意义的事件，以及自动化响应操作，可以节省大量成本。

鉴于持续不断的网络安全攻击，现在是时候制定一个安全解决方案来帮助理解我们已经实施的所有防御技术了。这些技术很棒，但已经变得相当笨拙。简化和合理化网络安全堆栈对于世界各地的网络安全专业人员来说是一项非常必要且受欢迎的发展。