Gartner分析師Mark Harris日前表示，網絡攻擊者已經將攻擊重點轉移到實現其目標上——從專注于感染文件到感染系統，再到感染整個企業。作為網絡安全防御者，及企業安全專業人士，需相應地改進檢測方法，從跟蹤文件和哈希值并依靠簽名來阻止早期威脅，轉向跟蹤其他指標以防止更復雜的攻擊。

現在，攻擊者正在滲透企業組織并橫向移動以完成其任務。無論是通過暗中偵察發動攻擊，還是鎖定端點和服務器以索取贖金，亦或是將一個企業作為進入另一個企業的入口點展開攻擊，無不顯示出網絡攻擊者的這一趨勢特點。因此，我們必須持續改進檢測方法，并意識到其不再只是找到觸發攻擊的一個控制點或系統，而是涉及整個企業的多個點。企業安全團隊需要能夠將這些點聯系起來，檢測來自不同系統和來源的信息，將數據和操作整合到一個視圖中，這樣就可以較全面地了解企業組織面臨的威脅并知道如何防御。

作為在企業全局啟用檢測和響應的一種新模式，擴展檢測和響應(XDR)已經引起了企業安全團隊的極大興趣。XDR的擴展檢測目標是將來自內部和外部的不同來源數據結合起來，并將來自各個系統的原子事件連接到單個事件中。正如咨詢公司Frost & Sullivan指出的那樣，“由于企業組織通常遵循同類最佳的原則，因此集成對于實現XDR愿景來說確實必不可少。” 企業組織的所有系統和來源必須能夠協同工作，從正確的工具中提取正確的數據來驗證檢測，并最終做出有效響應。

這聽起來很簡單，但實際上是企業組織安全檢測能力的巨大轉變。就其本身而言，來自企業組織所有內部數據源的事件，包括企業SIEM系統、日志管理存儲庫、案例管理系統和安全基礎設施、內部和云端系統等表面看似乎都是獨立的。但是，如果企業安全團隊可以匯總這些數據，并使用多個來源(商業、開源、政府、行業和現有安全供應商)的威脅數據自動對其進行擴充和豐富，就會看到完全不同的圖景。

當所有這些數據相互關聯并顯示在一個屏幕上，并將不同系統看似孤立的事件聚集在一起，共同完成攻擊事件拼圖時，安全團隊就可以識別整個企業的關系并檢測惡意活動。這種企業全局范圍內的檢測活動，自然會推動企業安全團隊深入了解并觸發進一步調查。因此，我們對檢測的現代定義，還必須包括在該共享視圖中將相關數據與內部資源(例如受影響用戶身份)關聯起來的能力。例如，如果網絡犯罪分子的攻擊目標包括財務部門、人力資源或最高管理層，這可能表明企業組織存在更嚴重的威脅。

一些外部工具，例如MITRE ATT&CK等框架以及用于DNS查找、URL和惡意軟件分析的第三方工具，會顯示事件中的數據點是否具有共同指標。利用這些工具，安全團隊可以了解企業組織是否面臨更大規模的攻擊活動，以及需要尋找哪些指標、策略和技術。通過內外部數據聚合、相關性調查等，不斷更新對檢測的定義，以涵蓋更廣度和更深入的理解，為企業安全團隊提供所需信息，以便其更快地執行安全措施，就是我們持續改進檢測方法的意義所在，這反過來又會影響我們對響應的定義。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文