網(wǎng)絡(luò)安全永遠(yuǎn)在“道高一尺，魔高一丈”的攻防博弈中發(fā)展演進(jìn)，并逐步達(dá)到動(dòng)態(tài)平衡。由于新一代高級(jí)網(wǎng)絡(luò)攻擊技術(shù)變得更加隱蔽，正對(duì)傳統(tǒng)安全方案建立起“降維打擊”的優(yōu)勢(shì)。在實(shí)戰(zhàn)化攻防對(duì)抗的背景下，隨著越來(lái)越多企業(yè)業(yè)務(wù)云化，終端種類變多、資產(chǎn)梳理復(fù)雜，暴露面隨之?dāng)U大，傳統(tǒng)的單點(diǎn)威脅檢測(cè)模式難以全面實(shí)現(xiàn)風(fēng)險(xiǎn)可視，成為橫亙?cè)谄髽I(yè)數(shù)字化轉(zhuǎn)型過(guò)程中的“致命”難題。

　　“忽如一夜春風(fēng)來(lái)”，XDR（擴(kuò)展威脅檢測(cè)與響應(yīng)）似乎成了這根“救命稻草”？

　　DR技術(shù)演進(jìn)與XDR應(yīng)用價(jià)值

　　簡(jiǎn)單回顧一下DR類技術(shù)的發(fā)展與演進(jìn)：

　　第一階段

　　1 在最初的網(wǎng)絡(luò)側(cè)IDS產(chǎn)品中，由于只看到網(wǎng)絡(luò)流量上的行為、數(shù)據(jù)特征等，因此在進(jìn)行威脅檢測(cè)時(shí)，很難實(shí)現(xiàn)閉環(huán)處置或者說(shuō)定位真正的威脅，需要通過(guò)殺毒軟件來(lái)進(jìn)行處置。

　　第二階段

　　3 在殺毒軟件之后，又出現(xiàn)了EDR、NDR類威脅檢測(cè)產(chǎn)品，但是這些單點(diǎn)性的安全產(chǎn)品無(wú)法全面看清終端側(cè)和網(wǎng)絡(luò)側(cè)的威脅狀況，難以通過(guò)溯源找到真正的攻擊點(diǎn)。

　　第三階段

　　2 殺毒軟件產(chǎn)品主要采用特征庫(kù)比對(duì)的檢測(cè)模式，很難應(yīng)對(duì)病毒軟件的變種和繞過(guò)。

　　第四階段

　　4 在這樣的背景下，研究人員開(kāi)始嘗試把端和網(wǎng)，甚至像郵件、云之類的數(shù)據(jù)結(jié)合在一起進(jìn)行系統(tǒng)化、全局化的威脅檢測(cè)，因此產(chǎn)生了XDR這樣的技術(shù)理念。

　　XDR概念一經(jīng)提出就受到業(yè)界廣泛關(guān)注，被認(rèn)為是一種可以實(shí)現(xiàn)“交鑰匙式”威脅檢測(cè)與響應(yīng)技術(shù)高效集成的技術(shù)模式。根據(jù)Gartner的定義，XDR是一個(gè)統(tǒng)一的安全威脅檢測(cè)與事件響應(yīng)平臺(tái)，無(wú)縫集成大量安全能力到一個(gè)安全運(yùn)營(yíng)系統(tǒng)，將來(lái)自云、網(wǎng)、端等多源異構(gòu)數(shù)據(jù)統(tǒng)一整合形成數(shù)據(jù)湖；精準(zhǔn)檢測(cè)高級(jí)威脅，并對(duì)入侵事件進(jìn)行分診，對(duì)入侵過(guò)程進(jìn)行追根溯源；同時(shí)實(shí)現(xiàn)跨人員、跨設(shè)備間的交叉聯(lián)動(dòng)與多點(diǎn)處置，實(shí)現(xiàn)安全閉環(huán)，適配不斷演進(jìn)的業(yè)務(wù)需求和客戶訴求。

　　從上述定義看，XDR和SIEM、SOC等安全平臺(tái)類技術(shù)似乎沒(méi)有太大差別，原理都是通過(guò)采集安全數(shù)據(jù)，并用機(jī)器學(xué)習(xí)或者基于規(guī)則去做檢測(cè)。但是，XDR最大的特點(diǎn)在于，其核心產(chǎn)品能力是聚焦于通過(guò)一手遙測(cè)數(shù)據(jù)聚合分析進(jìn)行檢測(cè)和響應(yīng)；同時(shí)，XDR方案要求具備更快速的自動(dòng)化響應(yīng)能力，也可以通過(guò)對(duì)接第三方組件，在統(tǒng)一的集中界面中進(jìn)行操作，完成響應(yīng)任務(wù)。

　　綜合來(lái)看，XDR技術(shù)，最根本的目的是滿足企業(yè)在面對(duì)新型網(wǎng)絡(luò)攻擊時(shí)不斷提升檢測(cè)及響應(yīng)能力。對(duì)于企業(yè)用戶而言，XDR的應(yīng)用可以體現(xiàn)出三個(gè)方面的價(jià)值：一是能夠提高安全運(yùn)營(yíng)的效率和價(jià)值，可以更快地發(fā)現(xiàn)威脅和自動(dòng)化響應(yīng)處理威脅事件；二是降低安全運(yùn)營(yíng)的復(fù)雜度，實(shí)現(xiàn)對(duì)整個(gè)攻擊面全面可視化，及時(shí)發(fā)現(xiàn)高級(jí)復(fù)雜威脅及攻擊；三是統(tǒng)一的解決方案，降低了安全運(yùn)營(yíng)的對(duì)接成本和使用成本。

　　XDR落地應(yīng)用的挑戰(zhàn)

　　從國(guó)外先進(jìn)國(guó)家的應(yīng)用經(jīng)驗(yàn)來(lái)看，DR類產(chǎn)品已經(jīng)在市場(chǎng)上得到較廣泛的應(yīng)用，EDR、NDR產(chǎn)品已經(jīng)成為很多用戶的標(biāo)配。但目前單一檢測(cè)產(chǎn)品的可見(jiàn)性不足，存在大量誤報(bào)漏報(bào)，理論上來(lái)講，XDR的檢測(cè)更全面、生成事件更準(zhǔn)確，因此，可以認(rèn)為它會(huì)是未來(lái)5-10年里主要的安全技術(shù)發(fā)展方向之一。

　　盡管XDR 產(chǎn)品具有巨大的前景，但XDR產(chǎn)品理念能否真正兌現(xiàn)仍然充滿挑戰(zhàn)。安全?！禭DR應(yīng)用指南報(bào)告》調(diào)研發(fā)現(xiàn)，我國(guó)企業(yè)用戶在XDR的建設(shè)過(guò)程中會(huì)面臨挑戰(zhàn)主要包括：

　　1 是否能夠有效實(shí)現(xiàn)終端威脅檢測(cè)能力？XDR一般需要部署終端組件或產(chǎn)品，那么終端是不是能部署下去，是不是容易部署下去？以及終端探針部署上去以后，對(duì)企業(yè)原有業(yè)務(wù)的干擾、影響等。比如，有些用戶通過(guò)現(xiàn)有的桌面管理系統(tǒng)、上網(wǎng)行為管理之類的產(chǎn)品，就可以很方便地部署下去。有些可能需要一個(gè)個(gè)人工部署，這種方式的成本就非常高，負(fù)擔(dān)太重。

　　2 是否能夠保護(hù)企業(yè)現(xiàn)有的安全投資？由于對(duì)網(wǎng)絡(luò)安全的重視，很多企業(yè)已經(jīng)應(yīng)用了很多單點(diǎn)安全設(shè)備，這些用戶會(huì)有保護(hù)現(xiàn)有安全投資的需求。對(duì)于XDR廠商來(lái)說(shuō)，是否能夠把用戶現(xiàn)有產(chǎn)品的數(shù)據(jù)接進(jìn)來(lái)，把它們利用起來(lái)，保護(hù)現(xiàn)有投資，是一個(gè)比較大的挑戰(zhàn)。

　　3 能否實(shí)現(xiàn)可持續(xù)的安全運(yùn)營(yíng)？企業(yè)建設(shè)XDR的初衷是提高安全運(yùn)營(yíng)效率，而且需要快速安裝上線并立即發(fā)揮作用，同時(shí)還要考慮到安全運(yùn)營(yíng)能力與成本。但現(xiàn)在很多DR類產(chǎn)品設(shè)計(jì)得曲高和寡，一般用戶比較難用起來(lái)，因?yàn)楹芏嗑椭皇菣z測(cè)結(jié)果展現(xiàn)，需要人工介入做響應(yīng)。如果用戶沒(méi)有專業(yè)的安全分析師（團(tuán)隊(duì)），如何讓XDR項(xiàng)目也能被真正有效的使用起來(lái)？

　　面對(duì)以上建設(shè)挑戰(zhàn)，我們也看到行業(yè)中有一些對(duì)XDR未來(lái)發(fā)展的質(zhì)疑：對(duì)于企業(yè)組織，特別是一些安全運(yùn)營(yíng)能力有限的中小企業(yè)用戶，能否真正從XDR項(xiàng)目中獲益？XDR需要實(shí)現(xiàn)多種安全能力的整合，在此過(guò)程中是否會(huì)潛藏很多的陷阱？XDR的應(yīng)用價(jià)值是否真正可以兌現(xiàn)？企業(yè)是否應(yīng)該積極開(kāi)展XDR的建設(shè)應(yīng)用呢？

　　SaaS化的XDR落地部署

　　盡管存在很多挑戰(zhàn)，但更高效、更有效的安全運(yùn)營(yíng)總體回報(bào)使XDR成為前景光明的企業(yè)安全防護(hù)創(chuàng)新方法。對(duì)于企業(yè)用戶而言，開(kāi)展XDR項(xiàng)目建設(shè)主要有以下三種模式：

　　最傳統(tǒng)的部署方式就是本地化部署。一些基礎(chǔ)安全能力建設(shè)比較完善的企業(yè)，或者出于合規(guī)等各方面的考慮，不能將數(shù)據(jù)放到云端的企業(yè)，通常會(huì)采用本地化部署建設(shè)的XDR構(gòu)建模式；

　　另一種正在興起的就是SaaS化部署，這在國(guó)外比較常見(jiàn)；

　　還有一種是“本地化存儲(chǔ)+連接云端”（本地化連云）的部署方式，就是數(shù)據(jù)在本地存儲(chǔ)，但可以訪問(wèn)連接到云端，可以從廠商的云端去拉取一些情報(bào)，獲取快速更新的檢測(cè)能力，得到專家意見(jiàn)和反饋之類服務(wù)。

　　用戶在選擇XDR建設(shè)模式的時(shí)候，需要充分考慮自身的實(shí)際使用情況。如果用戶對(duì)自身數(shù)據(jù)的合規(guī)要求比較嚴(yán)格，或?yàn)榱遂`活擴(kuò)展各種功能應(yīng)用，只能考慮本地化或者純離線方式。對(duì)于大多數(shù)企業(yè)用戶，可以從兩方面來(lái)考慮：一方面，看預(yù)算。相對(duì)而言，像SaaS化這種部署方式就比較經(jīng)濟(jì)，并且可以根據(jù)期望效果按需購(gòu)買；另一方面，看用戶自身的安全運(yùn)營(yíng)能力。如果用戶沒(méi)有足夠的安全運(yùn)營(yíng)能力保障，就需要考慮如何更有效地利用XDR廠商的專家服務(wù)。

　　在我國(guó)，早期的XDR項(xiàng)目建設(shè)大多以本地化部署的方式存在。然而在Gartner對(duì)XDR定義中，基于云計(jì)算的SaaS化服務(wù)則是XDR的基礎(chǔ)性要求之一。隨著用戶對(duì)托管安全建設(shè)需求的增加，SaaS化的XDR方案在國(guó)內(nèi)也開(kāi)始正式落地。

　　以深信服科技為例，其在今年5月正式發(fā)布了新一代基于SaaS的安全威脅檢測(cè)和事件響應(yīng)平臺(tái)，通過(guò)原生的流量采集工具與端點(diǎn)采集工具將一手關(guān)鍵數(shù)據(jù)聚合，綜合利用網(wǎng)端聚合分析引擎、上下文關(guān)聯(lián)分析，實(shí)現(xiàn)攻擊鏈深度溯源，并結(jié)合托管檢測(cè)與響應(yīng)服務(wù)MDR，釋放人員精力。同時(shí)，平臺(tái)還具備可擴(kuò)展的接口開(kāi)放性，能夠協(xié)同SOAR等產(chǎn)品，化繁為簡(jiǎn)，帶來(lái)深度檢測(cè)、精準(zhǔn)響應(yīng)、持續(xù)生長(zhǎng)的安全效果體驗(yàn)。

　　深信服XDR平臺(tái)CTO顧立明表示，通過(guò)云端的存儲(chǔ)和計(jì)算資源，深信服XDR能夠幫助用戶解決原有安全設(shè)備一次性投入成本高、能力更新慢、可擴(kuò)展性差等問(wèn)題；同時(shí)可基于不同的場(chǎng)景時(shí)期的不同需求，彈性擴(kuò)展，適配用戶的業(yè)務(wù)發(fā)展需要，由此，深信服SaaS XDR顯著降低投資建設(shè)成本和運(yùn)營(yíng)人資成本，實(shí)現(xiàn)更高性價(jià)的同時(shí)，安全效果和安全運(yùn)營(yíng)效率也顯著提升。

　　需要指出的是，SaaS化的XDR技術(shù)并不能被看成是MSS、MDR等服務(wù)，MDR和MSS是一個(gè)純服務(wù)的方案，XDR則是一個(gè)技術(shù)能力平臺(tái)，兩者結(jié)合可以實(shí)現(xiàn)更好的威脅檢測(cè)與響應(yīng)。在沒(méi)有XDR技術(shù)的情況下，MSS和MDR服務(wù)也可以進(jìn)行。以前的服務(wù)基于單點(diǎn)安全工具的專家服務(wù)方式來(lái)支撐，會(huì)存在效率較低、服務(wù)商的成本較高、用戶的響應(yīng)速度較慢、安全事件閉環(huán)處置周期較長(zhǎng)等問(wèn)題。

　　SaaS交付可以實(shí)現(xiàn)安全運(yùn)維更高效、更高性價(jià)比，但如何保障安全性？據(jù)顧立明介紹，深信服SaaS XDR在架構(gòu)設(shè)計(jì)方面，建立數(shù)據(jù)加密兜底機(jī)制，即使被攻破導(dǎo)致數(shù)據(jù)外泄，也無(wú)法解密，同時(shí)通過(guò)深信服安全藍(lán)軍、安服團(tuán)隊(duì)、外部機(jī)構(gòu)持續(xù)進(jìn)行攻防演練。在穩(wěn)定性方面，深信服SaaS XDR基于托管云底座，穩(wěn)定性SLA高達(dá)99.9%，通過(guò)安全運(yùn)維團(tuán)隊(duì)對(duì)平臺(tái)各項(xiàng)指標(biāo)、日志、資源進(jìn)行實(shí)時(shí)監(jiān)控。

　　除了平臺(tái)自身能力，深信服SaaS XDR還可對(duì)接托管檢測(cè)與響應(yīng)服務(wù)MDR，實(shí)現(xiàn)云地協(xié)同7*24小時(shí)在線，持續(xù)監(jiān)測(cè)威脅和事件，從監(jiān)測(cè)、判斷、調(diào)查到處置，服務(wù)專家實(shí)時(shí)處置閉環(huán)，定期匯總成果和分析安全趨勢(shì)，減輕運(yùn)維人員日常工作壓力。

　　XDR的關(guān)鍵能力評(píng)價(jià)

　　目前，XDR市場(chǎng)整體發(fā)展還不成熟，有很多安全廠商都宣稱其可以提供XDR產(chǎn)品，但是實(shí)際功能差異很大，產(chǎn)品應(yīng)用表現(xiàn)也參差不齊?？梢?jiàn)構(gòu)建實(shí)戰(zhàn)化攻防有效的 XDR能力比看起來(lái)更具挑戰(zhàn)性。缺乏數(shù)據(jù)收集、通用數(shù)據(jù)格式和 API，以及建立在傳統(tǒng)數(shù)據(jù)庫(kù)結(jié)構(gòu)上的產(chǎn)品，導(dǎo)致了很多XDR產(chǎn)品不能具備很好的可擴(kuò)展性和云原生能力。

　　從XDR方案架構(gòu)的角度看，現(xiàn)在XDR技術(shù)主要有兩類：一類是以同一廠商的組件為主，即端、網(wǎng)、云等安全產(chǎn)品等都由一個(gè)廠商提供，可能會(huì)少量兼容、接入第三方設(shè)備，但以同一廠商的產(chǎn)品為主；第二類是廠商做一個(gè)開(kāi)放性XDR平臺(tái)，并制定統(tǒng)一標(biāo)準(zhǔn)，類似Open XDR之類的組織，它會(huì)擁抱第三方組件接入，給它提供數(shù)據(jù)和能力。

　　顧立明表示：對(duì)于我國(guó)企業(yè)用戶來(lái)說(shuō)，這兩種方案各有利弊。從短期來(lái)看，前者在安全效果、安全效率等各方面都更有保障，因?yàn)橥粋€(gè)廠商對(duì)自己數(shù)據(jù)的整合會(huì)更好，對(duì)數(shù)據(jù)的深入使用、分析也會(huì)做得更好一些。從長(zhǎng)期來(lái)看，理論上講第二種方案會(huì)更好一些，但目前尚缺乏統(tǒng)一的XDR技術(shù)行業(yè)標(biāo)準(zhǔn)，因此在多廠商能力的標(biāo)準(zhǔn)化整合中，其實(shí)現(xiàn)效果還需要進(jìn)一步觀察和驗(yàn)證。

　　從產(chǎn)品可用性角度來(lái)看，新一代XDR產(chǎn)品需要通過(guò)其收集的深度活動(dòng)數(shù)據(jù)以及跨層掃描，防止針對(duì)端點(diǎn)、數(shù)據(jù)和應(yīng)用程序的惡意攻擊，在海量的安全告警信息中發(fā)現(xiàn)真正的威脅，并且快速進(jìn)行處置。顧立明認(rèn)為，考量新一代XDR系統(tǒng)的核心能力指標(biāo)應(yīng)該包括以下方面：

　　看XDR終端側(cè)探針的操作系統(tǒng)支持程度?，F(xiàn)有XDR方案一般都會(huì)涉及終端側(cè)的探針，可能是一個(gè)EPP，也可能是一個(gè)EDR，或者是一個(gè)終端的智能探針。用戶需要根據(jù)自己的業(yè)務(wù)情況，判斷廠商的探針?lè)N類是不是足夠豐富。

　　終端探針的性能如何也是重要指標(biāo)。比如：終端探針的輕量性是不是足夠好，資源開(kāi)銷是不是控制得比較好，對(duì)用戶業(yè)務(wù)的干擾能否盡可能低，以及終端探針是不是容易部署等，這些都是判斷終端探針優(yōu)劣的關(guān)鍵性能力指標(biāo)。

　　看XDR產(chǎn)品或方案檢測(cè)精度如何。例如：看它的誤報(bào)控制做得怎么樣；看它在做溯源和影響面評(píng)估時(shí)，支持的場(chǎng)景是不是足夠豐富，對(duì)場(chǎng)景的還原程度怎么樣等。舉個(gè)例子，比如說(shuō)進(jìn)程注入、機(jī)器重啟、跨終端溯源時(shí)，是不是都可以覆蓋到，可以自動(dòng)溯源。

　　對(duì)于安全建設(shè)比較完善的客戶來(lái)說(shuō)，他們有自己的安全團(tuán)隊(duì)，因此會(huì)有較多的定制化安全要求。譬如：他們會(huì)看廠商是不是支持自定義檢測(cè)；會(huì)看廠商的威脅狩獵支撐情況；會(huì)看廠商的內(nèi)建情報(bào)系統(tǒng)怎么樣，是不是支持第三方情報(bào)導(dǎo)入等。

　　XDR的未來(lái)發(fā)展

　　XDR技術(shù)的出現(xiàn)，是為了更好解決當(dāng)前高級(jí)威脅引發(fā)的安全問(wèn)題，因此，其價(jià)值需要通過(guò)更多實(shí)際的應(yīng)用去驗(yàn)證和展現(xiàn)。而XDR技術(shù)未來(lái)需要完善的地方，也應(yīng)該從目前企業(yè)安全防護(hù)體系中效果最差、實(shí)現(xiàn)最難的角度去思考：

　　1 AI技術(shù)的深入應(yīng)用

　　隨著攻擊手段層出不窮，用戶經(jīng)常需要面臨未知威脅和復(fù)雜攻擊，未來(lái)的威脅檢測(cè)會(huì)基于海量數(shù)據(jù)分析，而AI是自動(dòng)分析海量數(shù)據(jù)的主要技術(shù)手段。因此，在威脅檢測(cè)領(lǐng)域需要人工智能技術(shù)不斷迭代優(yōu)化，增強(qiáng)自我學(xué)習(xí)及數(shù)據(jù)分析運(yùn)算能力。XDR 系統(tǒng)威脅檢測(cè)能力依賴于人工智能技術(shù)的發(fā)展水平。

　　2 更精準(zhǔn)的響應(yīng)

　　很多企業(yè)由于安全和運(yùn)維人員短缺，更希望通過(guò)自動(dòng)化方式執(zhí)行重復(fù)任務(wù)。更精準(zhǔn)的自動(dòng)化響應(yīng)需要 XDR 平臺(tái)支持更靈活的劇本編排，能夠與更多的安全產(chǎn)品聯(lián)動(dòng)，支持更豐富完善的策略下發(fā)和響應(yīng)動(dòng)作執(zhí)行。

　　3 結(jié)合MDR服務(wù)

　　MDR 作為外包服務(wù)運(yùn)行，外部專業(yè)人員通常使用 EDR、NDR和XDR工具對(duì)組織的系統(tǒng)執(zhí)行檢測(cè)和響應(yīng)。對(duì)于沒(méi)有內(nèi)部專業(yè)知識(shí)或資源來(lái)操作檢測(cè)和響應(yīng)工具的組織來(lái)說(shuō)，這可能是一個(gè)不錯(cuò)的選擇。據(jù)ESG 的調(diào)查顯示，73% 的北美和加拿大組織已經(jīng)在使用或者積極開(kāi)展項(xiàng)目使用 MDR 服務(wù)，有超過(guò)一半的人認(rèn)為，MDR 供應(yīng)商在威脅檢測(cè)和響應(yīng)方面比他們自己做得更好，38% 的人認(rèn)為 MDR 是安全運(yùn)維工程師技能提升的有效工具。

　　4 通過(guò)標(biāo)準(zhǔn)實(shí)現(xiàn)互通

　　許多企業(yè)出于降低安全風(fēng)險(xiǎn)考慮，需要采購(gòu)多個(gè)供應(yīng)商的安全設(shè)備。多種安全設(shè)備需要有統(tǒng)一的互聯(lián)互通標(biāo)準(zhǔn)，企業(yè)才能享受到聯(lián)防聯(lián)控帶來(lái)的益處，其中格式及協(xié)議的“開(kāi)放性”是關(guān)鍵，包括數(shù)據(jù)格式、API 標(biāo)準(zhǔn)、互操作協(xié)議等。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<