Gartner分析师Mark Harris日前表示，网络攻击者已经将攻击重点转移到实现其目标上——从专注于感染文件到感染系统，再到感染整个企业。作为网络安全防御者，及企业安全专业人士，需相应地改进检测方法，从跟踪文件和哈希值并依靠签名来阻止早期威胁，转向跟踪其他指标以防止更复杂的攻击。

现在，攻击者正在渗透企业组织并横向移动以完成其任务。无论是通过暗中侦察发动攻击，还是锁定端点和服务器以索取赎金，亦或是将一个企业作为进入另一个企业的入口点展开攻击，无不显示出网络攻击者的这一趋势特点。因此，我们必须持续改进检测方法，并意识到其不再只是找到触发攻击的一个控制点或系统，而是涉及整个企业的多个点。企业安全团队需要能够将这些点联系起来，检测来自不同系统和来源的信息，将数据和操作整合到一个视图中，这样就可以较全面地了解企业组织面临的威胁并知道如何防御。

作为在企业全局启用检测和响应的一种新模式，扩展检测和响应（XDR）已经引起了企业安全团队的极大兴趣。XDR的扩展检测目标是将来自内部和外部的不同来源数据结合起来，并将来自各个系统的原子事件连接到单个事件中。正如咨询公司Frost & Sullivan指出的那样，“由于企业组织通常遵循同类最佳的原则，因此集成对于实现XDR愿景来说确实必不可少。” 企业组织的所有系统和来源必须能够协同工作，从正确的工具中提取正确的数据来验证检测，并最终做出有效响应。

这听起来很简单，但实际上是企业组织安全检测能力的巨大转变。就其本身而言，来自企业组织所有内部数据源的事件，包括企业SIEM系统、日志管理存储库、案例管理系统和安全基础设施、内部和云端系统等表面看似乎都是独立的。但是，如果企业安全团队可以汇总这些数据，并使用多个来源（商业、开源、政府、行业和现有安全供应商）的威胁数据自动对其进行扩充和丰富，就会看到完全不同的图景。

当所有这些数据相互关联并显示在一个屏幕上，并将不同系统看似孤立的事件聚集在一起，共同完成攻击事件拼图时，安全团队就可以识别整个企业的关系并检测恶意活动。这种企业全局范围内的检测活动，自然会推动企业安全团队深入了解并触发进一步调查。因此，我们对检测的现代定义，还必须包括在该共享视图中将相关数据与内部资源（例如受影响用户身份）关联起来的能力。例如，如果网络犯罪分子的攻击目标包括财务部门、人力资源或最高管理层，这可能表明企业组织存在更严重的威胁。

一些外部工具，例如MITRE ATT&CK等框架以及用于DNS查找、URL和恶意软件分析的第三方工具，会显示事件中的数据点是否具有共同指标。利用这些工具，安全团队可以了解企业组织是否面临更大规模的攻击活动，以及需要寻找哪些指标、策略和技术。通过内外部数据聚合、相关性调查等，不断更新对检测的定义，以涵盖更广度和更深入的理解，为企业安全团队提供所需信息，以便其更快地执行安全措施，就是我们持续改进检测方法的意义所在，这反过来又会影响我们对响应的定义。