在威胁日趋复杂和多种安全设备并存的网络环境，基于XDR构建统一安全运营中心，整合已有的安全产品/安全能力、SIEM/SOC、威胁情报、遥测数据等分散元素，缩短从检测到响应的时间，成为最可行的方向，被视为安全的未来。

一、网络威胁日益复杂

不仅企业混合架构变得越来越复杂，攻击方法也变得越来越复杂。除了利用零日漏洞之外，网络攻击者现在还转向高级攻击方法，例如，利用无文件恶意软件可以逃避检测并且不留下任何痕迹；多阶段攻击允许黑客在网络内长时间横向移动以执行侦察，从而提高攻击目标的成功率；利用供应链攻击下游企业和消费者；利用加密和数据泄露的双重勒索攻击；以及利用人工智能工具开展攻击。

日趋复杂高级的网络攻击给目前各种针对单一防护目的的工具，带来严峻的安全挑战，告警疲劳成为行业普遍现象。

美国工业安全先驱H.W.海因里希（Herbert William Heinrich）在1930年代提出的安全管理理论“海因里希安全法则（Heinrich"s Law）”发现,每一起严重的工伤事故（伤残或死亡），背后大约有29起轻伤事故和300起无伤事故（或安全隐患）。

海因里希的安全法则强调，绝大多数事故都是可以预防的，且它们往往是由于人为失误、不安全行为或条件引起的。根据这个理论，通过积极地识别和减少小的事故和隐患，可以有效地防止严重事故的发生。

从20世纪60年代末的ARPAnet到80年代的“莫里斯蠕虫”,网络安全概念起源准确来讲其实很难考究，以网络安全现况来看，安全领域每年都会推出众多新的产品、热词、技术术语。然而，这些众多的解决方案可能只能解决部分问题，也是网络安全领域竞争激烈和内卷的一个主要原因。可以确定的是随着计算机技术、IT架构和网络模式的发展,网络安全讨论的话题和需要解决的问题始终是变化的。

图1 网络安全领域模型与概念层出不穷(冰山一角)

到底如何构建安全防御体系? 为了解决这一问题，Palo Alto Network于2018年首次提出了XDR产品。XDR整合了多个安全产品和技术，提供多维度且更全面的威胁检测、分析及快速响应能力。

二、为什么是XDR

两点之间的最短距离是直线。快速检测和响应对于减轻攻击造成的损害至关重要。网络防护的重点是如何缩短从检测到响应行动的时间。此外，网络防护，不仅跟上攻击者的步伐，还要预测和先发制人。

仅靠一群全明星运动员并不能保证胜利一样，靠聚集一系列最好的安全工具也不能确保防止攻击发生。XDR 平台可以！

XDR 平台可以充分利用每个可用的数据遥测源，有效减少网络噪音并发现潜在入侵或攻击的信号，从而可以实时检测和响应潜在的入侵和攻击行动。

XDR具备三大关键能力：

可见性、响应和检测

1、XDR实现安全可见，提升威胁感知能力

XDR 利用数据和传感器的力量来提供全面且丰富的检测和响应能力。通过利用日志源、威胁情报、端点数据和其他传感器数据，XDR 可以将这些遥测数据创建为一致的安全警报。

正如“海因里希安全法则对于每一起严重的工伤事故（伤残或死亡），背后大约有29起轻伤事故和300起无伤事故（或安全隐患）”。有效的网络安全防御与安全运营体系需要全局的安全可见。

XDR的安全可见能力也称之为XDR的遥测能力,是XDR的最核心最关键的基础能力，做为网络安全防御体系XDR安全可见能力最为核心可以分为看见资产、看见应用环境、看见行为/活动、看见风险/攻击面、看见入侵行为等。

# 看见资产能力

谈到XDR的安全可见能力，"看见资产"的能力无疑是最应该被优先考虑的。这是因为企业的安全防御体系建立在对其资产的全面了解之上，特别是对高价值资产和与核心业务密切相关的资产的保护。这些资产通常是企业运营的关键，一旦受到威胁或攻击，可能会对企业的业务运行造成严重影响。因此，确保对这些资产有清晰的可见性，是实现有效安全防护的前提。

## 第一步,构建资产台账

不少企业虽然出台的关于员工网络安全相关行政要求或员工网络准则,但是监管措施依然滞后甚至无效,因而带来如影子资产问题,大量散落在角落未被纳入资产管理范围的影子资产,往往成为黑客攻击的突破口,给企业网络安全管理带来了严重挑战。

传统意义上的资产管理多是基于手动添加、更新,或是在指定时间节点进行统一的资产更新、变更或资产审计操作,很明显其缺点是既费时又费力，更糟糕的是各自原因总是导致资产更新延迟、遗漏等问题。

对于企业安全团队而言,需要使用保持即时更新的资产库,才能保证安全运营过程的准确性。从攻防对抗角度,防守方将面临进行有效防御范围界定问题,未知资产意味着可能存在