長(zhǎng)期以來(lái)，無(wú)效威脅警報(bào)過(guò)載、安全運(yùn)營(yíng)效率低、安全威脅追溯難等問(wèn)題一直讓網(wǎng)絡(luò)安全運(yùn)維人員備受困擾，在此背景下XDR(擴(kuò)展威脅檢測(cè)及響應(yīng))的理念及解決方案越來(lái)越受到行業(yè)關(guān)注。

近日，騰訊安全聯(lián)合Gartner撰寫(xiě)的《XDR，威脅檢測(cè)與響應(yīng)的利器》(簡(jiǎn)稱《白皮書(shū)》)正式發(fā)布?！栋灼?shū)》對(duì)XDR的演化路徑，核心能力、優(yōu)勢(shì)，以及XDR架構(gòu)的適用性等進(jìn)行了深入分析。同時(shí)結(jié)合騰訊安全的XDR相關(guān)實(shí)踐，對(duì)XDR的落地路徑以及未來(lái)發(fā)展進(jìn)行了展望，以期給行業(yè)提供借鑒和參考。

(騰訊安全副總裁方斌寄語(yǔ))

XDR助力企業(yè)構(gòu)建全局主動(dòng)安全防御能力

《白皮書(shū)》表示，孤島式的安全能力建設(shè)模式缺乏對(duì)全局安全數(shù)據(jù)的可見(jiàn)性，高級(jí)威脅的發(fā)現(xiàn)越來(lái)越難以通過(guò)單一的安全能力來(lái)實(shí)現(xiàn);并且海量信息的實(shí)時(shí)關(guān)聯(lián)和分析對(duì)安全算力要求極高，由于不同安全產(chǎn)品之間缺少數(shù)據(jù)的關(guān)聯(lián)，產(chǎn)生了大量無(wú)效的告警信息，降低了安全運(yùn)維的效率;現(xiàn)有安全產(chǎn)品的自動(dòng)化程度不足，導(dǎo)致網(wǎng)絡(luò)安全運(yùn)營(yíng)嚴(yán)重依賴安全人員的技術(shù)水平，難以保證對(duì)威脅的及時(shí)響應(yīng)和處置。

面對(duì)種種難題，企業(yè)需要打破孤島式的安全能力建設(shè)模式，追求更高的安全運(yùn)營(yíng)效率和安全投入ROI。而XDR將終端、網(wǎng)絡(luò)、云和工作負(fù)載、威脅情報(bào)等層面的安全數(shù)據(jù)和安全產(chǎn)品，集中整合;將企業(yè)原有的安全孤島，通過(guò)歸一化的數(shù)據(jù)接入連接起來(lái)，集中分析，提供統(tǒng)一的告警處置界面，提供自動(dòng)化的安全響應(yīng)編排處置。使安全運(yùn)營(yíng)管理的視角，從局部躍升為全局。

(XDR模型框架)

具體來(lái)看，XDR可以聯(lián)動(dòng)EDR、SIEM、SOAR等不同層面的安全產(chǎn)品的能力，實(shí)現(xiàn)跨產(chǎn)品、跨層級(jí)的安全數(shù)據(jù)獲取、威脅檢測(cè)和事件響應(yīng)。同時(shí)，XDR基于大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)能力，強(qiáng)化對(duì)高級(jí)威脅的分析，以及攻擊殺傷鏈的理解和還原，讓安全人員可以真正聚焦在數(shù)量有限且真正具備影響力的安全事件上;此外，XDR可以提供自動(dòng)化響應(yīng)威脅的技術(shù)和工具，讓用戶對(duì)文件、權(quán)限、主機(jī)和網(wǎng)絡(luò)執(zhí)行經(jīng)過(guò)預(yù)先設(shè)計(jì)編排過(guò)的手動(dòng)和自動(dòng)的補(bǔ)救措施，提高局部威脅發(fā)現(xiàn)、全局快速響應(yīng)的能力，并減少對(duì)高水平安全運(yùn)維人員的依賴。

從適用性上來(lái)說(shuō)，XDR可以全面支持傳統(tǒng)IT環(huán)境、私有云、公有云、混合云、云原生等技術(shù)架構(gòu)。尤其是云原生架構(gòu)，可以為XDR提供超強(qiáng)的數(shù)據(jù)計(jì)算和存儲(chǔ)、細(xì)粒度的流量管控等能力支撐，云原生化SaaS形態(tài)的XDR產(chǎn)品更是能為用戶帶來(lái)即插即用的部署和使用體驗(yàn)。

理論上，所有期待采用集成化、可演進(jìn)式的安全體系建設(shè)的企業(yè)都適合采用XDR架構(gòu)。但完成XDR能力架構(gòu)是循序漸進(jìn)的過(guò)程，需要企業(yè)在梳理已有的安全能力和方案的基礎(chǔ)上，定義威脅響應(yīng)的優(yōu)先級(jí)策略，開(kāi)放現(xiàn)有安全能力的接口，明確XDR與現(xiàn)有安全能力和方案的兼容需求;同時(shí)能夠接受升級(jí)XDR架構(gòu)帶來(lái)的集成技術(shù)挑戰(zhàn)和時(shí)間損耗。

　　騰訊率先拓展云上XDR方案全面覆蓋各類(lèi)IT環(huán)境

國(guó)際上，思科、微軟、Palo Alto Networks等科技廠商已經(jīng)探索出了相對(duì)成熟的XDR解決方案。而國(guó)內(nèi)對(duì)XDR技術(shù)的探索實(shí)踐也從2018年左右開(kāi)始起步。騰訊安全作為國(guó)內(nèi)領(lǐng)先的安全服務(wù)提供商，依托自身成熟的云上安全能力，率先在國(guó)內(nèi)拓展云上XDR方案，并對(duì)私有化場(chǎng)景進(jìn)行賦能。

《白皮書(shū)》指出，騰訊XDR方案以天幕PaaS底層安全算力為驅(qū)動(dòng)，通過(guò)對(duì)原有的云端威脅情報(bào)、哈勃沙箱分析能力、防病毒等能力整合，對(duì)各類(lèi)威脅實(shí)現(xiàn)更深層次的研判分析。同時(shí)，利用CWPP和EPP產(chǎn)品完善的數(shù)據(jù)采集能力，對(duì)威脅技戰(zhàn)術(shù)做到有效監(jiān)測(cè)和覆蓋，再結(jié)合機(jī)器學(xué)習(xí)、圖計(jì)算、自動(dòng)化編排等技術(shù)對(duì)告警中的進(jìn)程、IP、域名、文件等威脅關(guān)鍵實(shí)體關(guān)系進(jìn)行拓展，以有效的對(duì)事件發(fā)生過(guò)程和相關(guān)性進(jìn)行分析。

騰訊XDR方案還可以根據(jù)企業(yè)實(shí)際網(wǎng)絡(luò)環(huán)境定制，充分考慮公有云環(huán)境和傳統(tǒng)IT環(huán)境的差異，分別定制兩套相對(duì)獨(dú)立的技術(shù)方案應(yīng)對(duì)不同應(yīng)用場(chǎng)景。

(騰訊XDR解決方案)

公有云環(huán)境中，依賴騰訊云上豐富的大數(shù)據(jù)計(jì)算算力資源，結(jié)合多年積累的威脅情報(bào)、機(jī)器學(xué)習(xí)算法、專家知識(shí)等能力能夠自動(dòng)實(shí)現(xiàn)事件分析與調(diào)查，同時(shí)云上成熟的API接口能力可以為XDR平臺(tái)提供較為便捷的響應(yīng)能力，可以為客戶提供一鍵響應(yīng)，自動(dòng)化響應(yīng)等能力。公有云XDR方案可以依賴CWPP、WAF、云防火墻、iOA SaaS等產(chǎn)品針對(duì)混合云環(huán)境實(shí)現(xiàn)集中威脅檢測(cè)與響應(yīng)。

而在私有化環(huán)境中，騰訊將iOA終端安全、NDR解決方案進(jìn)行整合，可以實(shí)現(xiàn)對(duì)私有化環(huán)境下的威脅檢測(cè)與響應(yīng)。同時(shí)，為了兼顧私有化環(huán)境中往往存在多廠商安全設(shè)備的現(xiàn)實(shí)，騰訊私有化XDR方案中，將接入更多第三方設(shè)備告警與日志。針對(duì)云環(huán)境和傳統(tǒng)IT環(huán)境并存的客戶，依靠騰訊安全運(yùn)營(yíng)產(chǎn)品實(shí)現(xiàn)對(duì)多套XDR平臺(tái)的整合，滿足客戶合規(guī)、審計(jì)、重保等方面的需求。

除此之外，騰訊云XDR解決方案還可以提供MDR服務(wù)，為不同成熟度的客戶實(shí)現(xiàn)不同級(jí)別的安全操作能力。其中，對(duì)于資產(chǎn)規(guī)模較小的客戶，建議選擇安全事件監(jiān)測(cè)、響應(yīng)、處置服務(wù)。對(duì)于安全要求較高的客戶，除提供上述服務(wù)外，還可以選擇風(fēng)險(xiǎn)咨詢/安全態(tài)勢(shì)評(píng)估、托管安全產(chǎn)品、威脅捕獲/威脅欺騙等。最重要的是，騰訊云MDR能夠幫助客戶憑借較低的投資獲得一套行之有效的、高度成熟的云安全運(yùn)營(yíng)流程。

XDR作為一種新興的技術(shù)理念，在解決網(wǎng)絡(luò)安全行業(yè)諸多痛點(diǎn)的同時(shí)，其實(shí)也面臨著許多挑戰(zhàn)。在市場(chǎng)方面，企業(yè)需要更多的成功案例來(lái)增強(qiáng)其投入動(dòng)力;XDR檢測(cè)能力依賴單一廠商的產(chǎn)品能力集成，對(duì)客戶的安全產(chǎn)品供應(yīng)鏈管理提出了挑戰(zhàn)。在技術(shù)方面，私有化部署和XDR龐雜的數(shù)據(jù)分析計(jì)算能力之間的矛盾需要突破;事件生成機(jī)制以及事件分析的方法還需要繼續(xù)完善并標(biāo)準(zhǔn)化。

不過(guò)，挑戰(zhàn)總是與機(jī)遇并存。《白皮書(shū)》指出，未來(lái)XDR的發(fā)展將繼續(xù)聚焦在對(duì)事件的響應(yīng)能力，行業(yè)將逐步形成針對(duì)事件調(diào)查的通用方法與標(biāo)準(zhǔn)。另外，通過(guò)SaaS化平臺(tái)來(lái)降低客戶部署XDR的復(fù)雜程度和高昂的交付成本也是必然趨勢(shì)。充分發(fā)揮客戶已投資的安全產(chǎn)品價(jià)值，助力客戶構(gòu)建起更加主動(dòng)的威脅檢測(cè)和防御能力，將是今后安全廠商在XDR領(lǐng)域共同努力的方向，也是競(jìng)爭(zhēng)的焦點(diǎn)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）