过去二十年来，企业网络发生了巨大变化：由多云环境、本地部署和传统IT基础设施构成的繁杂迷宫里，移动端、远程用户访问着无处不在的数据和应用。

事实上，一些架构已经变得如此庞大和分散，以至于安全团队无法完全了解处于风险中的IT环境到底面临着哪些潜在威胁。传统做法是，安全团队通过部署多种安全工具（平均50-100 个），尝试构建针对各种威胁的最佳防护。

然而，由于缺乏对网络流量和用户活动的端到端的可见性，加之各种管理工具的分散部署，大大影响了安全团队的检测与响应效率。在多种工具之间切换、每天追踪 1000 多个安全警报并希望万无一失，即使是最资深的安全分析师也会感到沮丧。与这些努力相对的是，攻击者仍然能够找到可供利用的防护漏洞。

当然，安全行业也逐渐意识到了这些困扰企业的问题，XDR（扩展检测和响应）应运而生。但 XDR 真如宣传的那样有效吗？

XDR提供了跨多安全平台的统一可见性，以提供安全态势的整体视图并为安全操作创建一个简单的起点。它能够对多个数据源进行深入分析，以更少的噪音提供更准确的检测，从而更快、更有效地响应安全威胁。其检测和预防机制包括机器学习、行为分析、上下文分析、威胁狩猎、SOAR 集成等功能。

XDR是一种更先进的检测和响应方法，因为它超越了端点本身，可以显露出整个安全态势中的复杂威胁。对于技能短缺和资源不足的安全组织来说，它是一个非常有效的工具。有关实际攻击的上下文信息使安全分析师能够理解并快速遏制威胁。

这意味着威胁监测和响应变得有效，因为安全团队可以使用单个平台查看所有威胁数据，该平台将来自多个安全源的事件关联起来。XDR解决了可见性的不足，有助于解决告警疲劳问题，从而缩短检测和响应时间。

让我们了解一下 XDR 被过度炒作的一些主要原因：

从理论上讲，XDR 承诺提供与大多数第三方产品的集成。有些人可能认为，期望单一工具能够提供和维护威胁检测和响应功能，并在数十个不同且孤立的安全控制中无缝工作，这是不现实的。围绕开放式 XDR 还是封闭式 XDR已经存在太多争论与困扰（这里不做过多展开）。

随着云、远程办公和工业物联网 (IIoT) 成为新常态，曾经驻留在本地企业环境中的数据、应用程序和设备突然消失了。即使是最复杂的 XDR 解决方案也会发现获得可见性并理解这种混合流量具有挑战性。对跨云环境和本地组件中可见性和控制能力的丧失可能会导致上下文丢失，这就不可避免地会在安全态势中留下盲区。

安全团队每天已经被数千个告警淹没。想象一下，如果 XDR 再从多个来源获取信息，他们会多收到多少告警。如果没有自动化、优先级和上下文信息，安全团队可能会分心，从而产生更多盲区。安全技能差距是真实存在的，永远没有足够的资源来详细调查每个告警。

单供应商 SASE是一种将网络和安全技术融合到单个云交付平台中的模型。由于所有流量都流经单个融合平台，因此检测和关联安全事件就不那么麻烦了。从XDR的角度来看，这意味着SASE在理想情况下将使威胁检测和响应变得更加容易，因为所有安全工具都是同一平台的一部分，使用的是同一种通行语言。

XDR的一个关键优势是，它能帮助对来自多个数据源的不同安全警报进行深入分析。这使得它能够提供更一致的威胁识别，同时滤除大部分噪音。XDR通过增强跨网络可见性来检测跨网络和端点的安全威胁，从而增强安全运营能力。这自然会带来更快地安全威胁速度，改善整体安全态势。然而，数据质量的参差不齐，往往会导致这一论点对于标准 XDR 工具来说很难奏效。

这是单供应商SASE云可以扩展XDR功能的地方。安全团队可以仅通过一个全球性的云网获取到所有需要的网络和端点流量的可见性，进而检测其中潜在的威胁。它捕获单个数据湖中的所有安全事件，轻松关联威胁并确定威胁的优先级，并将它们呈现在单个管理仪表板中。反过来，安全团队可以查看、理解这些威胁并采取行动，以消除组织面临的风险。

这一切都可以通过SASE云来实现，因为无需集成或标准化即可理解安全数据。这为XDR引擎提供了更高质量的数据，从而实现更准确的威胁检测和更快的修复响应。这就是SASE云使XDR更加有效降低安全风险的价值所在。

因此，对XDR的评估，应重点关注其降低复杂性、提升威胁检测和响应时效的能力。同时还应评估承载XDR的平台，例如前文提到的SASE云，这也会影响其有效性。

* 本文为晨雨编译，原文地址：https://www.securityweek.com/is-xdr-enough-the-hidden-gaps-in-your-security-net/
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。