網絡安全永遠在“道高一尺，魔高一丈”的攻防博弈中發展演進，并逐步達到動態平衡。由于新一代高級網絡攻擊技術變得更加隱蔽，正對傳統安全方案建立起“降維打擊”的優勢。在實戰化攻防對抗的背景下，隨著越來越多企業業務云化，終端種類變多、資產梳理復雜，暴露面隨之擴大，傳統的單點威脅檢測模式難以全面實現風險可視，成為橫亙在企業數字化轉型過程中的“致命”難題。

　　“忽如一夜春風來”，XDR（擴展威脅檢測與響應）似乎成了這根“救命稻草”？

　　DR技術演進與XDR應用價值

　　簡單回顧一下DR類技術的發展與演進：

　　第一階段

　　1 在最初的網絡側IDS產品中，由于只看到網絡流量上的行為、數據特征等，因此在進行威脅檢測時，很難實現閉環處置或者說定位真正的威脅，需要通過殺毒軟件來進行處置。

　　第二階段

　　3 在殺毒軟件之后，又出現了EDR、NDR類威脅檢測產品，但是這些單點性的安全產品無法全面看清終端側和網絡側的威脅狀況，難以通過溯源找到真正的攻擊點。

　　第三階段

　　2 殺毒軟件產品主要采用特征庫比對的檢測模式，很難應對病毒軟件的變種和繞過。

　　第四階段

　　4 在這樣的背景下，研究人員開始嘗試把端和網，甚至像郵件、云之類的數據結合在一起進行系統化、全局化的威脅檢測，因此產生了XDR這樣的技術理念。

　　XDR概念一經提出就受到業界廣泛關注，被認為是一種可以實現“交鑰匙式”威脅檢測與響應技術高效集成的技術模式。根據Gartner的定義，XDR是一個統一的安全威脅檢測與事件響應平臺，無縫集成大量安全能力到一個安全運營系統，將來自云、網、端等多源異構數據統一整合形成數據湖；精準檢測高級威脅，并對入侵事件進行分診，對入侵過程進行追根溯源；同時實現跨人員、跨設備間的交叉聯動與多點處置，實現安全閉環，適配不斷演進的業務需求和客戶訴求。

　　從上述定義看，XDR和SIEM、SOC等安全平臺類技術似乎沒有太大差別，原理都是通過采集安全數據，并用機器學習或者基于規則去做檢測。但是，XDR最大的特點在于，其核心產品能力是聚焦于通過一手遙測數據聚合分析進行檢測和響應；同時，XDR方案要求具備更快速的自動化響應能力，也可以通過對接第三方組件，在統一的集中界面中進行操作，完成響應任務。

　　綜合來看，XDR技術，最根本的目的是滿足企業在面對新型網絡攻擊時不斷提升檢測及響應能力。對于企業用戶而言，XDR的應用可以體現出三個方面的價值：一是能夠提高安全運營的效率和價值，可以更快地發現威脅和自動化響應處理威脅事件；二是降低安全運營的復雜度，實現對整個攻擊面全面可視化，及時發現高級復雜威脅及攻擊；三是統一的解決方案，降低了安全運營的對接成本和使用成本。

　　XDR落地應用的挑戰

　　從國外先進國家的應用經驗來看，DR類產品已經在市場上得到較廣泛的應用，EDR、NDR產品已經成為很多用戶的標配。但目前單一檢測產品的可見性不足，存在大量誤報漏報，理論上來講，XDR的檢測更全面、生成事件更準確，因此，可以認為它會是未來5-10年里主要的安全技術發展方向之一。

　　盡管XDR 產品具有巨大的前景，但XDR產品理念能否真正兌現仍然充滿挑戰。安全牛《XDR應用指南報告》調研發現，我國企業用戶在XDR的建設過程中會面臨挑戰主要包括：

　　1 是否能夠有效實現終端威脅檢測能力？XDR一般需要部署終端組件或產品，那么終端是不是能部署下去，是不是容易部署下去？以及終端探針部署上去以后，對企業原有業務的干擾、影響等。比如，有些用戶通過現有的桌面管理系統、上網行為管理之類的產品，就可以很方便地部署下去。有些可能需要一個個人工部署，這種方式的成本就非常高，負擔太重。

　　2 是否能夠保護企業現有的安全投資？由于對網絡安全的重視，很多企業已經應用了很多單點安全設備，這些用戶會有保護現有安全投資的需求。對于XDR廠商來說，是否能夠把用戶現有產品的數據接進來，把它們利用起來，保護現有投資，是一個比較大的挑戰。

　　3 能否實現可持續的安全運營？企業建設XDR的初衷是提高安全運營效率，而且需要快速安裝上線并立即發揮作用，同時還要考慮到安全運營能力與成本。但現在很多DR類產品設計得曲高和寡，一般用戶比較難用起來，因為很多就只是檢測結果展現，需要人工介入做響應。如果用戶沒有專業的安全分析師（團隊），如何讓XDR項目也能被真正有效的使用起來？

　　面對以上建設挑戰，我們也看到行業中有一些對XDR未來發展的質疑：對于企業組織，特別是一些安全運營能力有限的中小企業用戶，能否真正從XDR項目中獲益？XDR需要實現多種安全能力的整合，在此過程中是否會潛藏很多的陷阱？XDR的應用價值是否真正可以兌現？企業是否應該積極開展XDR的建設應用呢？

　　SaaS化的XDR落地部署

　　盡管存在很多挑戰，但更高效、更有效的安全運營總體回報使XDR成為前景光明的企業安全防護創新方法。對于企業用戶而言，開展XDR項目建設主要有以下三種模式：

　　最傳統的部署方式就是本地化部署。一些基礎安全能力建設比較完善的企業，或者出于合規等各方面的考慮，不能將數據放到云端的企業，通常會采用本地化部署建設的XDR構建模式；

　　另一種正在興起的就是SaaS化部署，這在國外比較常見；

　　還有一種是“本地化存儲+連接云端”（本地化連云）的部署方式，就是數據在本地存儲，但可以訪問連接到云端，可以從廠商的云端去拉取一些情報，獲取快速更新的檢測能力，得到專家意見和反饋之類服務。

　　用戶在選擇XDR建設模式的時候，需要充分考慮自身的實際使用情況。如果用戶對自身數據的合規要求比較嚴格，或為了靈活擴展各種功能應用，只能考慮本地化或者純離線方式。對于大多數企業用戶，可以從兩方面來考慮：一方面，看預算。相對而言，像SaaS化這種部署方式就比較經濟，并且可以根據期望效果按需購買；另一方面，看用戶自身的安全運營能力。如果用戶沒有足夠的安全運營能力保障，就需要考慮如何更有效地利用XDR廠商的專家服務。

　　在我國，早期的XDR項目建設大多以本地化部署的方式存在。然而在Gartner對XDR定義中，基于云計算的SaaS化服務則是XDR的基礎性要求之一。隨著用戶對托管安全建設需求的增加，SaaS化的XDR方案在國內也開始正式落地。

　　以深信服科技為例，其在今年5月正式發布了新一代基于SaaS的安全威脅檢測和事件響應平臺，通過原生的流量采集工具與端點采集工具將一手關鍵數據聚合，綜合利用網端聚合分析引擎、上下文關聯分析，實現攻擊鏈深度溯源，并結合托管檢測與響應服務MDR，釋放人員精力。同時，平臺還具備可擴展的接口開放性，能夠協同SOAR等產品，化繁為簡，帶來深度檢測、精準響應、持續生長的安全效果體驗。

　　深信服XDR平臺CTO顧立明表示，通過云端的存儲和計算資源，深信服XDR能夠幫助用戶解決原有安全設備一次性投入成本高、能力更新慢、可擴展性差等問題；同時可基于不同的場景時期的不同需求，彈性擴展，適配用戶的業務發展需要，由此，深信服SaaS XDR顯著降低投資建設成本和運營人資成本，實現更高性價的同時，安全效果和安全運營效率也顯著提升。

　　需要指出的是，SaaS化的XDR技術并不能被看成是MSS、MDR等服務，MDR和MSS是一個純服務的方案，XDR則是一個技術能力平臺，兩者結合可以實現更好的威脅檢測與響應。在沒有XDR技術的情況下，MSS和MDR服務也可以進行。以前的服務基于單點安全工具的專家服務方式來支撐，會存在效率較低、服務商的成本較高、用戶的響應速度較慢、安全事件閉環處置周期較長等問題。

　　SaaS交付可以實現安全運維更高效、更高性價比，但如何保障安全性？據顧立明介紹，深信服SaaS XDR在架構設計方面，建立數據加密兜底機制，即使被攻破導致數據外泄，也無法解密，同時通過深信服安全藍軍、安服團隊、外部機構持續進行攻防演練。在穩定性方面，深信服SaaS XDR基于托管云底座，穩定性SLA高達99.9%，通過安全運維團隊對平臺各項指標、日志、資源進行實時監控。

　　除了平臺自身能力，深信服SaaS XDR還可對接托管檢測與響應服務MDR，實現云地協同7*24小時在線，持續監測威脅和事件，從監測、判斷、調查到處置，服務專家實時處置閉環，定期匯總成果和分析安全趨勢，減輕運維人員日常工作壓力。

　　XDR的關鍵能力評價

　　目前，XDR市場整體發展還不成熟，有很多安全廠商都宣稱其可以提供XDR產品，但是實際功能差異很大，產品應用表現也參差不齊。可見構建實戰化攻防有效的 XDR能力比看起來更具挑戰性。缺乏數據收集、通用數據格式和 API，以及建立在傳統數據庫結構上的產品，導致了很多XDR產品不能具備很好的可擴展性和云原生能力。

　　從XDR方案架構的角度看，現在XDR技術主要有兩類：一類是以同一廠商的組件為主，即端、網、云等安全產品等都由一個廠商提供，可能會少量兼容、接入第三方設備，但以同一廠商的產品為主；第二類是廠商做一個開放性XDR平臺，并制定統一標準，類似Open XDR之類的組織，它會擁抱第三方組件接入，給它提供數據和能力。

　　顧立明表示：對于我國企業用戶來說，這兩種方案各有利弊。從短期來看，前者在安全效果、安全效率等各方面都更有保障，因為同一個廠商對自己數據的整合會更好，對數據的深入使用、分析也會做得更好一些。從長期來看，理論上講第二種方案會更好一些，但目前尚缺乏統一的XDR技術行業標準，因此在多廠商能力的標準化整合中，其實現效果還需要進一步觀察和驗證。

　　從產品可用性角度來看，新一代XDR產品需要通過其收集的深度活動數據以及跨層掃描，防止針對端點、數據和應用程序的惡意攻擊，在海量的安全告警信息中發現真正的威脅，并且快速進行處置。顧立明認為，考量新一代XDR系統的核心能力指標應該包括以下方面：

　　看XDR終端側探針的操作系統支持程度。現有XDR方案一般都會涉及終端側的探針，可能是一個EPP，也可能是一個EDR，或者是一個終端的智能探針。用戶需要根據自己的業務情況，判斷廠商的探針種類是不是足夠豐富。

　　終端探針的性能如何也是重要指標。比如：終端探針的輕量性是不是足夠好，資源開銷是不是控制得比較好，對用戶業務的干擾能否盡可能低，以及終端探針是不是容易部署等，這些都是判斷終端探針優劣的關鍵性能力指標。

　　看XDR產品或方案檢測精度如何。例如：看它的誤報控制做得怎么樣；看它在做溯源和影響面評估時，支持的場景是不是足夠豐富，對場景的還原程度怎么樣等。舉個例子，比如說進程注入、機器重啟、跨終端溯源時，是不是都可以覆蓋到，可以自動溯源。

　　對于安全建設比較完善的客戶來說，他們有自己的安全團隊，因此會有較多的定制化安全要求。譬如：他們會看廠商是不是支持自定義檢測；會看廠商的威脅狩獵支撐情況；會看廠商的內建情報系統怎么樣，是不是支持第三方情報導入等。

　　XDR的未來發展

　　XDR技術的出現，是為了更好解決當前高級威脅引發的安全問題，因此，其價值需要通過更多實際的應用去驗證和展現。而XDR技術未來需要完善的地方，也應該從目前企業安全防護體系中效果最差、實現最難的角度去思考：

　　1 AI技術的深入應用

　　隨著攻擊手段層出不窮，用戶經常需要面臨未知威脅和復雜攻擊，未來的威脅檢測會基于海量數據分析，而AI是自動分析海量數據的主要技術手段。因此，在威脅檢測領域需要人工智能技術不斷迭代優化，增強自我學習及數據分析運算能力。XDR 系統威脅檢測能力依賴于人工智能技術的發展水平。

　　2 更精準的響應

　　很多企業由于安全和運維人員短缺，更希望通過自動化方式執行重復任務。更精準的自動化響應需要 XDR 平臺支持更靈活的劇本編排，能夠與更多的安全產品聯動，支持更豐富完善的策略下發和響應動作執行。

　　3 結合MDR服務

　　MDR 作為外包服務運行，外部專業人員通常使用 EDR、NDR和XDR工具對組織的系統執行檢測和響應。對于沒有內部專業知識或資源來操作檢測和響應工具的組織來說，這可能是一個不錯的選擇。據ESG 的調查顯示，73% 的北美和加拿大組織已經在使用或者積極開展項目使用 MDR 服務，有超過一半的人認為，MDR 供應商在威脅檢測和響應方面比他們自己做得更好，38% 的人認為 MDR 是安全運維工程師技能提升的有效工具。

　　4 通過標準實現互通

　　許多企業出于降低安全風險考慮，需要采購多個供應商的安全設備。多種安全設備需要有統一的互聯互通標準，企業才能享受到聯防聯控帶來的益處，其中格式及協議的“開放性”是關鍵，包括數據格式、API 標準、互操作協議等。

更多信息可以來這里獲取==>>電子技術應用-AET<<