網(wǎng)絡(luò)安全永遠在“道高一尺，魔高一丈”的攻防博弈中發(fā)展演進，并逐步達到動態(tài)平衡。由于新一代高級網(wǎng)絡(luò)攻擊技術(shù)變得更加隱蔽，正對傳統(tǒng)安全方案建立起“降維打擊”的優(yōu)勢。在實戰(zhàn)化攻防對抗的背景下，隨著越來越多企業(yè)業(yè)務(wù)云化，終端種類變多、資產(chǎn)梳理復(fù)雜，暴露面隨之擴大，傳統(tǒng)的單點威脅檢測模式難以全面實現(xiàn)風險可視，成為橫亙在企業(yè)數(shù)字化轉(zhuǎn)型過程中的“致命”難題。

　　“忽如一夜春風來”，XDR（擴展威脅檢測與響應(yīng)）似乎成了這根“救命稻草”？

　　DR技術(shù)演進與XDR應(yīng)用價值

　　簡單回顧一下DR類技術(shù)的發(fā)展與演進：

　　第一階段

　　1 在最初的網(wǎng)絡(luò)側(cè)IDS產(chǎn)品中，由于只看到網(wǎng)絡(luò)流量上的行為、數(shù)據(jù)特征等，因此在進行威脅檢測時，很難實現(xiàn)閉環(huán)處置或者說定位真正的威脅，需要通過殺毒軟件來進行處置。

　　第二階段

　　3 在殺毒軟件之后，又出現(xiàn)了EDR、NDR類威脅檢測產(chǎn)品，但是這些單點性的安全產(chǎn)品無法全面看清終端側(cè)和網(wǎng)絡(luò)側(cè)的威脅狀況，難以通過溯源找到真正的攻擊點。

　　第三階段

　　2 殺毒軟件產(chǎn)品主要采用特征庫比對的檢測模式，很難應(yīng)對病毒軟件的變種和繞過。

　　第四階段

　　4 在這樣的背景下，研究人員開始嘗試把端和網(wǎng)，甚至像郵件、云之類的數(shù)據(jù)結(jié)合在一起進行系統(tǒng)化、全局化的威脅檢測，因此產(chǎn)生了XDR這樣的技術(shù)理念。

　　XDR概念一經(jīng)提出就受到業(yè)界廣泛關(guān)注，被認為是一種可以實現(xiàn)“交鑰匙式”威脅檢測與響應(yīng)技術(shù)高效集成的技術(shù)模式。根據(jù)Gartner的定義，XDR是一個統(tǒng)一的安全威脅檢測與事件響應(yīng)平臺，無縫集成大量安全能力到一個安全運營系統(tǒng)，將來自云、網(wǎng)、端等多源異構(gòu)數(shù)據(jù)統(tǒng)一整合形成數(shù)據(jù)湖；精準檢測高級威脅，并對入侵事件進行分診，對入侵過程進行追根溯源；同時實現(xiàn)跨人員、跨設(shè)備間的交叉聯(lián)動與多點處置，實現(xiàn)安全閉環(huán)，適配不斷演進的業(yè)務(wù)需求和客戶訴求。

　　從上述定義看，XDR和SIEM、SOC等安全平臺類技術(shù)似乎沒有太大差別，原理都是通過采集安全數(shù)據(jù)，并用機器學習或者基于規(guī)則去做檢測。但是，XDR最大的特點在于，其核心產(chǎn)品能力是聚焦于通過一手遙測數(shù)據(jù)聚合分析進行檢測和響應(yīng)；同時，XDR方案要求具備更快速的自動化響應(yīng)能力，也可以通過對接第三方組件，在統(tǒng)一的集中界面中進行操作，完成響應(yīng)任務(wù)。

　　綜合來看，XDR技術(shù)，最根本的目的是滿足企業(yè)在面對新型網(wǎng)絡(luò)攻擊時不斷提升檢測及響應(yīng)能力。對于企業(yè)用戶而言，XDR的應(yīng)用可以體現(xiàn)出三個方面的價值：一是能夠提高安全運營的效率和價值，可以更快地發(fā)現(xiàn)威脅和自動化響應(yīng)處理威脅事件；二是降低安全運營的復(fù)雜度，實現(xiàn)對整個攻擊面全面可視化，及時發(fā)現(xiàn)高級復(fù)雜威脅及攻擊；三是統(tǒng)一的解決方案，降低了安全運營的對接成本和使用成本。

　　XDR落地應(yīng)用的挑戰(zhàn)

　　從國外先進國家的應(yīng)用經(jīng)驗來看，DR類產(chǎn)品已經(jīng)在市場上得到較廣泛的應(yīng)用，EDR、NDR產(chǎn)品已經(jīng)成為很多用戶的標配。但目前單一檢測產(chǎn)品的可見性不足，存在大量誤報漏報，理論上來講，XDR的檢測更全面、生成事件更準確，因此，可以認為它會是未來5-10年里主要的安全技術(shù)發(fā)展方向之一。

　　盡管XDR 產(chǎn)品具有巨大的前景，但XDR產(chǎn)品理念能否真正兌現(xiàn)仍然充滿挑戰(zhàn)。安全?！禭DR應(yīng)用指南報告》調(diào)研發(fā)現(xiàn)，我國企業(yè)用戶在XDR的建設(shè)過程中會面臨挑戰(zhàn)主要包括：

　　1 是否能夠有效實現(xiàn)終端威脅檢測能力？XDR一般需要部署終端組件或產(chǎn)品，那么終端是不是能部署下去，是不是容易部署下去？以及終端探針部署上去以后，對企業(yè)原有業(yè)務(wù)的干擾、影響等。比如，有些用戶通過現(xiàn)有的桌面管理系統(tǒng)、上網(wǎng)行為管理之類的產(chǎn)品，就可以很方便地部署下去。有些可能需要一個個人工部署，這種方式的成本就非常高，負擔太重。

　　2 是否能夠保護企業(yè)現(xiàn)有的安全投資？由于對網(wǎng)絡(luò)安全的重視，很多企業(yè)已經(jīng)應(yīng)用了很多單點安全設(shè)備，這些用戶會有保護現(xiàn)有安全投資的需求。對于XDR廠商來說，是否能夠把用戶現(xiàn)有產(chǎn)品的數(shù)據(jù)接進來，把它們利用起來，保護現(xiàn)有投資，是一個比較大的挑戰(zhàn)。

　　3 能否實現(xiàn)可持續(xù)的安全運營？企業(yè)建設(shè)XDR的初衷是提高安全運營效率，而且需要快速安裝上線并立即發(fā)揮作用，同時還要考慮到安全運營能力與成本。但現(xiàn)在很多DR類產(chǎn)品設(shè)計得曲高和寡，一般用戶比較難用起來，因為很多就只是檢測結(jié)果展現(xiàn)，需要人工介入做響應(yīng)。如果用戶沒有專業(yè)的安全分析師（團隊），如何讓XDR項目也能被真正有效的使用起來？

　　面對以上建設(shè)挑戰(zhàn)，我們也看到行業(yè)中有一些對XDR未來發(fā)展的質(zhì)疑：對于企業(yè)組織，特別是一些安全運營能力有限的中小企業(yè)用戶，能否真正從XDR項目中獲益？XDR需要實現(xiàn)多種安全能力的整合，在此過程中是否會潛藏很多的陷阱？XDR的應(yīng)用價值是否真正可以兌現(xiàn)？企業(yè)是否應(yīng)該積極開展XDR的建設(shè)應(yīng)用呢？

　　SaaS化的XDR落地部署

　　盡管存在很多挑戰(zhàn)，但更高效、更有效的安全運營總體回報使XDR成為前景光明的企業(yè)安全防護創(chuàng)新方法。對于企業(yè)用戶而言，開展XDR項目建設(shè)主要有以下三種模式：

　　最傳統(tǒng)的部署方式就是本地化部署。一些基礎(chǔ)安全能力建設(shè)比較完善的企業(yè)，或者出于合規(guī)等各方面的考慮，不能將數(shù)據(jù)放到云端的企業(yè)，通常會采用本地化部署建設(shè)的XDR構(gòu)建模式；

　　另一種正在興起的就是SaaS化部署，這在國外比較常見；

　　還有一種是“本地化存儲+連接云端”（本地化連云）的部署方式，就是數(shù)據(jù)在本地存儲，但可以訪問連接到云端，可以從廠商的云端去拉取一些情報，獲取快速更新的檢測能力，得到專家意見和反饋之類服務(wù)。

　　用戶在選擇XDR建設(shè)模式的時候，需要充分考慮自身的實際使用情況。如果用戶對自身數(shù)據(jù)的合規(guī)要求比較嚴格，或為了靈活擴展各種功能應(yīng)用，只能考慮本地化或者純離線方式。對于大多數(shù)企業(yè)用戶，可以從兩方面來考慮：一方面，看預(yù)算。相對而言，像SaaS化這種部署方式就比較經(jīng)濟，并且可以根據(jù)期望效果按需購買；另一方面，看用戶自身的安全運營能力。如果用戶沒有足夠的安全運營能力保障，就需要考慮如何更有效地利用XDR廠商的專家服務(wù)。

　　在我國，早期的XDR項目建設(shè)大多以本地化部署的方式存在。然而在Gartner對XDR定義中，基于云計算的SaaS化服務(wù)則是XDR的基礎(chǔ)性要求之一。隨著用戶對托管安全建設(shè)需求的增加，SaaS化的XDR方案在國內(nèi)也開始正式落地。

　　以深信服科技為例，其在今年5月正式發(fā)布了新一代基于SaaS的安全威脅檢測和事件響應(yīng)平臺，通過原生的流量采集工具與端點采集工具將一手關(guān)鍵數(shù)據(jù)聚合，綜合利用網(wǎng)端聚合分析引擎、上下文關(guān)聯(lián)分析，實現(xiàn)攻擊鏈深度溯源，并結(jié)合托管檢測與響應(yīng)服務(wù)MDR，釋放人員精力。同時，平臺還具備可擴展的接口開放性，能夠協(xié)同SOAR等產(chǎn)品，化繁為簡，帶來深度檢測、精準響應(yīng)、持續(xù)生長的安全效果體驗。

　　深信服XDR平臺CTO顧立明表示，通過云端的存儲和計算資源，深信服XDR能夠幫助用戶解決原有安全設(shè)備一次性投入成本高、能力更新慢、可擴展性差等問題；同時可基于不同的場景時期的不同需求，彈性擴展，適配用戶的業(yè)務(wù)發(fā)展需要，由此，深信服SaaS XDR顯著降低投資建設(shè)成本和運營人資成本，實現(xiàn)更高性價的同時，安全效果和安全運營效率也顯著提升。

　　需要指出的是，SaaS化的XDR技術(shù)并不能被看成是MSS、MDR等服務(wù)，MDR和MSS是一個純服務(wù)的方案，XDR則是一個技術(shù)能力平臺，兩者結(jié)合可以實現(xiàn)更好的威脅檢測與響應(yīng)。在沒有XDR技術(shù)的情況下，MSS和MDR服務(wù)也可以進行。以前的服務(wù)基于單點安全工具的專家服務(wù)方式來支撐，會存在效率較低、服務(wù)商的成本較高、用戶的響應(yīng)速度較慢、安全事件閉環(huán)處置周期較長等問題。

　　SaaS交付可以實現(xiàn)安全運維更高效、更高性價比，但如何保障安全性？據(jù)顧立明介紹，深信服SaaS XDR在架構(gòu)設(shè)計方面，建立數(shù)據(jù)加密兜底機制，即使被攻破導致數(shù)據(jù)外泄，也無法解密，同時通過深信服安全藍軍、安服團隊、外部機構(gòu)持續(xù)進行攻防演練。在穩(wěn)定性方面，深信服SaaS XDR基于托管云底座，穩(wěn)定性SLA高達99.9%，通過安全運維團隊對平臺各項指標、日志、資源進行實時監(jiān)控。

　　除了平臺自身能力，深信服SaaS XDR還可對接托管檢測與響應(yīng)服務(wù)MDR，實現(xiàn)云地協(xié)同7*24小時在線，持續(xù)監(jiān)測威脅和事件，從監(jiān)測、判斷、調(diào)查到處置，服務(wù)專家實時處置閉環(huán)，定期匯總成果和分析安全趨勢，減輕運維人員日常工作壓力。

　　XDR的關(guān)鍵能力評價

　　目前，XDR市場整體發(fā)展還不成熟，有很多安全廠商都宣稱其可以提供XDR產(chǎn)品，但是實際功能差異很大，產(chǎn)品應(yīng)用表現(xiàn)也參差不齊?？梢姌?gòu)建實戰(zhàn)化攻防有效的 XDR能力比看起來更具挑戰(zhàn)性。缺乏數(shù)據(jù)收集、通用數(shù)據(jù)格式和 API，以及建立在傳統(tǒng)數(shù)據(jù)庫結(jié)構(gòu)上的產(chǎn)品，導致了很多XDR產(chǎn)品不能具備很好的可擴展性和云原生能力。

　　從XDR方案架構(gòu)的角度看，現(xiàn)在XDR技術(shù)主要有兩類：一類是以同一廠商的組件為主，即端、網(wǎng)、云等安全產(chǎn)品等都由一個廠商提供，可能會少量兼容、接入第三方設(shè)備，但以同一廠商的產(chǎn)品為主；第二類是廠商做一個開放性XDR平臺，并制定統(tǒng)一標準，類似Open XDR之類的組織，它會擁抱第三方組件接入，給它提供數(shù)據(jù)和能力。

　　顧立明表示：對于我國企業(yè)用戶來說，這兩種方案各有利弊。從短期來看，前者在安全效果、安全效率等各方面都更有保障，因為同一個廠商對自己數(shù)據(jù)的整合會更好，對數(shù)據(jù)的深入使用、分析也會做得更好一些。從長期來看，理論上講第二種方案會更好一些，但目前尚缺乏統(tǒng)一的XDR技術(shù)行業(yè)標準，因此在多廠商能力的標準化整合中，其實現(xiàn)效果還需要進一步觀察和驗證。

　　從產(chǎn)品可用性角度來看，新一代XDR產(chǎn)品需要通過其收集的深度活動數(shù)據(jù)以及跨層掃描，防止針對端點、數(shù)據(jù)和應(yīng)用程序的惡意攻擊，在海量的安全告警信息中發(fā)現(xiàn)真正的威脅，并且快速進行處置。顧立明認為，考量新一代XDR系統(tǒng)的核心能力指標應(yīng)該包括以下方面：

　　看XDR終端側(cè)探針的操作系統(tǒng)支持程度。現(xiàn)有XDR方案一般都會涉及終端側(cè)的探針，可能是一個EPP，也可能是一個EDR，或者是一個終端的智能探針。用戶需要根據(jù)自己的業(yè)務(wù)情況，判斷廠商的探針種類是不是足夠豐富。

　　終端探針的性能如何也是重要指標。比如：終端探針的輕量性是不是足夠好，資源開銷是不是控制得比較好，對用戶業(yè)務(wù)的干擾能否盡可能低，以及終端探針是不是容易部署等，這些都是判斷終端探針優(yōu)劣的關(guān)鍵性能力指標。

　　看XDR產(chǎn)品或方案檢測精度如何。例如：看它的誤報控制做得怎么樣；看它在做溯源和影響面評估時，支持的場景是不是足夠豐富，對場景的還原程度怎么樣等。舉個例子，比如說進程注入、機器重啟、跨終端溯源時，是不是都可以覆蓋到，可以自動溯源。

　　對于安全建設(shè)比較完善的客戶來說，他們有自己的安全團隊，因此會有較多的定制化安全要求。譬如：他們會看廠商是不是支持自定義檢測；會看廠商的威脅狩獵支撐情況；會看廠商的內(nèi)建情報系統(tǒng)怎么樣，是不是支持第三方情報導入等。

　　XDR的未來發(fā)展

　　XDR技術(shù)的出現(xiàn)，是為了更好解決當前高級威脅引發(fā)的安全問題，因此，其價值需要通過更多實際的應(yīng)用去驗證和展現(xiàn)。而XDR技術(shù)未來需要完善的地方，也應(yīng)該從目前企業(yè)安全防護體系中效果最差、實現(xiàn)最難的角度去思考：

　　1 AI技術(shù)的深入應(yīng)用

　　隨著攻擊手段層出不窮，用戶經(jīng)常需要面臨未知威脅和復(fù)雜攻擊，未來的威脅檢測會基于海量數(shù)據(jù)分析，而AI是自動分析海量數(shù)據(jù)的主要技術(shù)手段。因此，在威脅檢測領(lǐng)域需要人工智能技術(shù)不斷迭代優(yōu)化，增強自我學習及數(shù)據(jù)分析運算能力。XDR 系統(tǒng)威脅檢測能力依賴于人工智能技術(shù)的發(fā)展水平。

　　2 更精準的響應(yīng)

　　很多企業(yè)由于安全和運維人員短缺，更希望通過自動化方式執(zhí)行重復(fù)任務(wù)。更精準的自動化響應(yīng)需要 XDR 平臺支持更靈活的劇本編排，能夠與更多的安全產(chǎn)品聯(lián)動，支持更豐富完善的策略下發(fā)和響應(yīng)動作執(zhí)行。

　　3 結(jié)合MDR服務(wù)

　　MDR 作為外包服務(wù)運行，外部專業(yè)人員通常使用 EDR、NDR和XDR工具對組織的系統(tǒng)執(zhí)行檢測和響應(yīng)。對于沒有內(nèi)部專業(yè)知識或資源來操作檢測和響應(yīng)工具的組織來說，這可能是一個不錯的選擇。據(jù)ESG 的調(diào)查顯示，73% 的北美和加拿大組織已經(jīng)在使用或者積極開展項目使用 MDR 服務(wù)，有超過一半的人認為，MDR 供應(yīng)商在威脅檢測和響應(yīng)方面比他們自己做得更好，38% 的人認為 MDR 是安全運維工程師技能提升的有效工具。

　　4 通過標準實現(xiàn)互通

　　許多企業(yè)出于降低安全風險考慮，需要采購多個供應(yīng)商的安全設(shè)備。多種安全設(shè)備需要有統(tǒng)一的互聯(lián)互通標準，企業(yè)才能享受到聯(lián)防聯(lián)控帶來的益處，其中格式及協(xié)議的“開放性”是關(guān)鍵，包括數(shù)據(jù)格式、API 標準、互操作協(xié)議等。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<