威脅檢測與響應始終是企業安全建設的重點，據調查，83%的組織計劃在未來12到18個月內增加威脅檢測和響應支出。與之相對的是，盡管企業在安全技術上花費了數百萬美元，但仍然無法在合理的時間內檢測或是有效應對網絡攻擊，甚至因為攻擊的加劇，企業面臨的安全環境更為糟糕。

為了尋求出路，行業內將希望放在了XDR(eXtended Detection and Response，擴展檢測與響應技術)上面。需要明確的是，XDR作為一種新興技術而非萬能藥。在這一觀點下，我們可以看到XDR行業的很多創新和投資正在上演，隨著XDR的發展，它可以幫助企業提高安全分析效率，簡化安全操作，并且通過緊密集成的安全操作和分析平臺架構(SOAPA)來鞏固和優化SOC。

在XDR的潛力下，CISO可以采取5個步驟，為企業制定XDR落地計劃。

1. 廣撒網：做大量前期調研

根據調查，只有24%的安全專家表示自己“非常熟悉”XDR。鑒于對新技術的知識鴻溝，企業首先應該了解所有類型的XDR：基于平臺的XDR(具備分析及控制臺等多個控件)、軟件式XDR、開放式XDR，隨后再讓SOC團隊制定XDR如何補充或替代現有工具和流程的策略。

目前，基于XDR整合體系結構的特性，很多供應商很可能會將XDR作為其EDR、NDR或安全分析技術的外延，因此，CISO應該邀請戰略安全技術合作伙伴加入，向安全團隊介紹XDR，并概述其產品路線圖，從而讓安全團隊加快速度、更好地制定XDR戰略。

2. 找到組織的弱點與盲點

在使用另一種威脅檢測和響應技術之前，有必要深入研究現有工具和流程，這樣才能了解對企業安全來說什么是有效，什么是無效的。

• SOC團隊是否充分利用了EDR，NDR和SIEM?
• 是否存在技能或資源缺口?
• 是否存在進程瓶頸，導致威脅的平均檢測時間和響應時間變長?

如果存在以上情況，那么SOAR(安全編排自動化與響應)和專業服務可能比起其他分析工具更有價值。由于現代網絡威脅會在整個網絡中橫向移動，因此在安全監控方面，該組織是否存在任何弱點或盲點也需要了解。例如，ESG研究就指出了與公共云基礎架構相關的安全監控弱點。在這種情況下，XDR應該首先改善云安全可視化，然后將云安全分析與現有的EDR、NDR、威脅情報等集成在一起。

3. 為項目規劃選擇一個“起點”

XDR是一種體系結構，而非產品。企業完全部署和配置XDR可能需要花費幾年的時間，這意味著CISO需要思考從哪里開始著手。

在ESG的《XDR在現代SOC中的影響》調查中，有43%的受訪者表示，他們會從實施具有云計算工作負載和SaaS的威脅檢測和響應功能的XDR解決方案來啟動項目。事實上，XDR技術可以從戰術性覆蓋發展到戰略性覆蓋，無論從哪里開始部署XDR，安全團隊都必須具備全局眼光，也就是確定集成點、規劃項目、并定義一組用于度量XDR和項目有效性的度量標準。

4. 使用XDR建立安全運營最佳實踐

在很多企業里，安全操作是雜亂無章的，并且充斥著許多手動操作和不斷滅火過程。 一些SOC團隊使用SOAR試圖擺脫這種混亂，但SOAR平臺需要人力資源和技能來創建劇本和代碼編排例程，具有一定門檻。這一背景下，XDR很可能會充當”低成本“的SOAR。比如刪去對企業來說無傷大雅的一些常見安全流程，幫助企業實施MITRE ATT&CK框架等。

在選擇XDR解決方案時，CISO應該評估每個供應商如何支持和推進安全運營最佳實踐，以及企業如何適應這些變化。

5. 讓IT團隊參與進來

事件響應需要安全團隊和IT團隊之間協作與合作。為了支持和改進團隊工作，XDR平臺應適應現有的流程切換，并與現有的安全操作工具(如ServiceNow、Jira、Microsoft OMS等)集成。換句話說，XDR項目是要改進而不是中斷現有的數據分析、案例管理、事件優先級和緩解工作。

最后，網絡安全行業往往會陷入對新技術的趨之若鶩，但不幸的是，很多企業在使用新技術的同時不會花費時間充分學習新技術，也不能實現新技術的利益最大化。以 XDR為例，作為一個需要數月或數年才能完全部署的架構，XDR可以讓組織有時間把事情做好，把XDR真正構建到正式項目和未來戰略中，而不僅僅是安全會議上又一個談資或話題。

參考來源：csoonline