在威脅日趨復雜和多種安全設備并存的網(wǎng)絡環(huán)境，基于XDR構建統(tǒng)一安全運營中心，整合已有的安全產品/安全能力、SIEM/SOC、威脅情報、遙測數(shù)據(jù)等分散元素，縮短從檢測到響應的時間，成為最可行的方向，被視為安全的未來。

一、網(wǎng)絡威脅日益復雜

不僅企業(yè)混合架構變得越來越復雜，攻擊方法也變得越來越復雜。除了利用零日漏洞之外，網(wǎng)絡攻擊者現(xiàn)在還轉向高級攻擊方法，例如，利用無文件惡意軟件可以逃避檢測并且不留下任何痕跡;多階段攻擊允許黑客在網(wǎng)絡內長時間橫向移動以執(zhí)行偵察，從而提高攻擊目標的成功率;利用供應鏈攻擊下游企業(yè)和消費者;利用加密和數(shù)據(jù)泄露的雙重勒索攻擊;以及利用人工智能工具開展攻擊。

日趨復雜高級的網(wǎng)絡攻擊給目前各種針對單一防護目的的工具，帶來嚴峻的安全挑戰(zhàn)，告警疲勞成為行業(yè)普遍現(xiàn)象。

美國工業(yè)安全先驅H.W.海因里希(Herbert William Heinrich)在1930年代提出的安全管理理論“海因里希安全法則(Heinrich's Law)”發(fā)現(xiàn),每一起嚴重的工傷事故(傷殘或死亡)，背后大約有29起輕傷事故和300起無傷事故(或安全隱患)。

海因里希的安全法則強調，絕大多數(shù)事故都是可以預防的，且它們往往是由于人為失誤、不安全行為或條件引起的。根據(jù)這個理論，通過積極地識別和減少小的事故和隱患，可以有效地防止嚴重事故的發(fā)生。

從20世紀60年代末的ARPAnet到80年代的“莫里斯蠕蟲”,網(wǎng)絡安全概念起源準確來講其實很難考究，以網(wǎng)絡安全現(xiàn)況來看，安全領域每年都會推出眾多新的產品、熱詞、技術術語。然而，這些眾多的解決方案可能只能解決部分問題，也是網(wǎng)絡安全領域競爭激烈和內卷的一個主要原因。可以確定的是隨著計算機技術、IT架構和網(wǎng)絡模式的發(fā)展,網(wǎng)絡安全討論的話題和需要解決的問題始終是變化的。

圖1 網(wǎng)絡安全領域模型與概念層出不窮(冰山一角)

到底如何構建安全防御體系? 為了解決這一問題，Palo Alto Network于2018年首次提出了XDR產品。XDR整合了多個安全產品和技術，提供多維度且更全面的威脅檢測、分析及快速響應能力。

二、為什么是XDR

兩點之間的最短距離是直線?？焖贆z測和響應對于減輕攻擊造成的損害至關重要。網(wǎng)絡防護的重點是如何縮短從檢測到響應行動的時間。此外，網(wǎng)絡防護，不僅跟上攻擊者的步伐，還要預測和先發(fā)制人。

僅靠一群全明星運動員并不能保證勝利一樣，靠聚集一系列最好的安全工具也不能確保防止攻擊發(fā)生。XDR 平臺可以!

XDR 平臺可以充分利用每個可用的數(shù)據(jù)遙測源，有效減少網(wǎng)絡噪音并發(fā)現(xiàn)潛在入侵或攻擊的信號，從而可以實時檢測和響應潛在的入侵和攻擊行動。

XDR具備三大關鍵能力：

可見性、響應和檢測

1、XDR實現(xiàn)安全可見，提升威脅感知能力

XDR 利用數(shù)據(jù)和傳感器的力量來提供全面且豐富的檢測和響應能力。通過利用日志源、威脅情報、端點數(shù)據(jù)和其他傳感器數(shù)據(jù)，XDR 可以將這些遙測數(shù)據(jù)創(chuàng)建為一致的安全警報。

正如“海因里希安全法則對于每一起嚴重的工傷事故(傷殘或死亡)，背后大約有29起輕傷事故和300起無傷事故(或安全隱患)”。有效的網(wǎng)絡安全防御與安全運營體系需要全局的安全可見。

XDR的安全可見能力也稱之為XDR的遙測能力,是XDR的最核心最關鍵的基礎能力，做為網(wǎng)絡安全防御體系XDR安全可見能力最為核心可以分為看見資產、看見應用環(huán)境、看見行為/活動、看見風險/攻擊面、看見入侵行為等。

# 看見資產能力

談到XDR的安全可見能力，"看見資產"的能力無疑是最應該被優(yōu)先考慮的。這是因為企業(yè)的安全防御體系建立在對其資產的全面了解之上，特別是對高價值資產和與核心業(yè)務密切相關的資產的保護。這些資產通常是企業(yè)運營的關鍵，一旦受到威脅或攻擊，可能會對企業(yè)的業(yè)務運行造成嚴重影響。因此，確保對這些資產有清晰的可見性，是實現(xiàn)有效安全防護的前提。

## 第一步,構建資產臺賬

不少企業(yè)雖然出臺的關于員工網(wǎng)絡安全相關行政要求或員工網(wǎng)絡準則,但是監(jiān)管措施依然滯后甚至無效,因而帶來如影子資產問題,大量散落在角落未被納入資產管理范圍的影子資產,往往成為黑客攻擊的突破口,給企業(yè)網(wǎng)絡安全管理帶來了嚴重挑戰(zhàn)。

傳統(tǒng)意義上的資產管理多是基于手動添加、更新,或是在指定時間節(jié)點進行統(tǒng)一的資產更新、變更或資產審計操作,很明顯其缺點是既費時又費力，更糟糕的是各自原因總是導致資產更新延遲、遺漏等問題。

對于企業(yè)安全團隊而言,需要使用保持即時更新的資產庫,才能保證安全運營過程的準確性。從攻防對抗角度,防守方將面臨進行有效防御范圍界定問題,未知資產意味著可能存在更多未發(fā)現(xiàn)的風險和攻擊暴露面。黑客攻擊手法每天都在不斷變化并變得越來越復雜，過時、不完整、粗曠的資產清單無法有效應對高對抗的安全挑戰(zhàn)。

持續(xù)跟蹤資產并保持即時更新是一個看似簡單實際復雜命題也是一項復雜而艱巨的任務,要做到持續(xù)的資產監(jiān)控并保持更新除了周期性的資產發(fā)現(xiàn)和采集外,更多需要關注觸發(fā)類的資產變更行為,并需要具備對接企業(yè)ITAM或CMDB系統(tǒng),從企業(yè)整體資產管理角度進行統(tǒng)一資產管理或持續(xù)增強。

XDR看見資產能力,除了基于XDR廠商內置的EDR Agent實現(xiàn)資產采集或是通過內置的NDR,通過流量層面采集資產,更重要的是需要具備基與數(shù)據(jù)驅動的自動化資產數(shù)據(jù)提取能力及對接企業(yè)現(xiàn)有資產管理系統(tǒng)如CMDB,減少對數(shù)據(jù)接入過程的人工干預,降低實施和運營成本,構建跨安全平臺的資產可見能力。

## 第二步, 定位和看見真實資產

當發(fā)生安全事件時，比如安全團隊從NDR監(jiān)測到可疑流量，這些流量似乎正在嘗試利用某個已知漏洞。在沒有NAT/PAT的情況下，NDR類設備可以直接定位到對應的內部IP地址，安全團隊可以迅速定位并檢查該設備，以確定是否真的遭受了攻擊。然而，在NAT/PAT等場景下因為IP地址映射，安全團隊需要訪問NAT/PAT設備的日志文件，以確定真實受害者IP地址對應于警報中的應受害IP。

看見和快速定位資產做為XDR安全運營的基本能力,XDR具備去IP化(不完全依賴單一IP視角)的資產歸一化治理體系,是一種不完全依賴單一IP地址來識別和管理網(wǎng)絡資產的方法。通過將資產與其它標識符關聯(lián)，實現(xiàn)對資產的精準識別和管理，即使在復雜的NAT/PAT環(huán)境中也能有效工作,保障安全運營快速。

正所謂,安全網(wǎng)絡從資產管理開始,XDR看見資產為“摸清家底、認清風險、找出漏洞、通報結果、督促整改”構建基本前提。

# 看見應用環(huán)境

看見應用環(huán)境意味著企業(yè)擁有對運行的所有軟件\服務等支撐體系的深入洞察。這包括了諸如應用軟件、運行的進程、內核模塊、系統(tǒng)賬號、開放的端口、計劃任務、系統(tǒng)環(huán)境變量、系統(tǒng)服務、數(shù)據(jù)庫、WEB服務、WEB站點、移動存儲、Windows根證書、Windows補丁、系統(tǒng)啟動項、共享目錄和jar包等等。每一個維度都構成了企業(yè)應用環(huán)境安全的一部分，對于看見和維護整體的網(wǎng)絡安全至關重要。

如Apache Log4j 在爆出 CVE-2021-44228漏洞時,所有安全廠商都熱火朝天的發(fā)應急響應軟文,讓企業(yè)去排查和梳理涉及的相關jar包,以確定可能存在的安全影響面。

圖2 某廠商軟文截圖

企業(yè)用什么高效的手段去快速梳理存在的jar包,利用安裝的Agent還是利用各類掃描器如漏掃工具? 或是各類安全產品或工具梳理出來的數(shù)據(jù)各種割裂,能快速看到嗎?能全局看到嗎?還是讓IT系統(tǒng)或安全產品的廠商各自梳理下是否用到了相關的jar包?

XDR“看見應用環(huán)境能力”可以幫助企業(yè)提前梳理梳理應用環(huán)境臺賬,并持續(xù)監(jiān)測企業(yè)業(yè)務環(huán)境下的應用環(huán)境變更,做到看的見、可審計、可追溯。

# 看見行為看見活動

恐懼往往來自對未知的焦慮,網(wǎng)絡安領域也是如此,購買大量的安全防護產品,您是否感覺到安全了?

在攻防技戰(zhàn)術各種繞過和對抗場景下，企業(yè)安全團隊需持續(xù)的監(jiān)控被保護對象的各類細粒度操作行為或活動,通過細粒度的行為變更實現(xiàn)第一時間的變化感知、風險感知、攻擊感知。需要細粒度看見和審計防護對象的各類行為活動如進程啟停事件、模塊加載行為、文件操作行為、網(wǎng)絡訪問行為、注冊表變更行為、瀏覽器訪問行為、提權行為等。XDR提供了一種全新的視角來理解和應對網(wǎng)絡安全威脅。通過深入觀察和分析系統(tǒng)內部的各類行為變化，企業(yè)安全專家可以從中發(fā)現(xiàn)異常模式，及時識別出潛在的威脅, 以便能夠發(fā)現(xiàn)并采取措施進行阻斷。

# 看見風險看見攻擊面

隨著企業(yè)IT環(huán)境的復雜化和多樣化,攻擊者利用的手段也越來越多樣化，特別是企業(yè)數(shù)字化轉型下企業(yè)IT及業(yè)務系統(tǒng)變得越來越復雜，各種中間件、開源軟件、Web應用、數(shù)據(jù)庫、容器、云服務等,加大了企業(yè)網(wǎng)絡安全風險。從內部網(wǎng)絡到云基礎設施，再到移動設備和IoT設備，構成了一個錯綜復雜的IT架構。每一個組成部分都可能成為攻擊者潛在的目標，每一個軟件更新、配置更改或新服務部署都可能引入新的安全漏洞，給攻擊者留下可利用的空間。

雖然企業(yè)IT建設也不斷加大了企業(yè)安全投入,然而受限與安全產品間的數(shù)據(jù)割裂,更多的企業(yè)始終無法持續(xù)的監(jiān)測和收斂攻擊面。

XDR可通過集成和分析來自網(wǎng)絡、終端、漏掃等多個數(shù)據(jù)源的風險信息，提供了一個全局視角來觀察和分析安全風險點。這種全面的監(jiān)控能力使得XDR能夠跨越傳統(tǒng)的安全邊界，實時監(jiān)控整個IT環(huán)境的變化，動態(tài)發(fā)現(xiàn)新的漏洞和安全風險。結合資產屬性特別是業(yè)務重要性等屬性定義,XDR能夠識別出異常行為和潛在的安全風險及背后可能存在的業(yè)務風險,給企業(yè)呈現(xiàn)全域的安全風險感知與洞察視角。

舉例,近期公安部在面對越演愈烈的勒索攻擊，一劍封喉地指出了問題的本質，大部分的勒索攻擊是利用了高危漏洞、高危端口、弱口令滲透到企業(yè)并進行勒索攻擊結果的達成。為了減少勒索攻擊帶來的社會危害，公安部針對企業(yè)“兩高一弱”的問題，會持續(xù)的展開監(jiān)管檢查活動，目前已經(jīng)有一些企業(yè)因為“兩高一弱”的問題而導致攻擊事件發(fā)生被處罰。

XDR可利用其自身風險及攻擊面監(jiān)測能力及整合第三方安全設備風險數(shù)據(jù),可有效應對“兩高一弱”(高危漏洞、高危端口、弱口令)的問題，以下我們將通過未來智安XDR看看如何應對“兩高一弱”。

圖3 未來智安XDR 安全工作臺: 直觀監(jiān)測“兩高一弱”

XDR平臺內置了端點保護和響應(EDR)、網(wǎng)絡流量檢測和響應(NDR)、自動化編排(SOAR)等功能，同時能夠協(xié)助企業(yè)監(jiān)管第三方安全產品的數(shù)據(jù)進行統(tǒng)一分析，從全局的視角覆蓋應用程序、網(wǎng)絡、端點、云、郵件等多個通道的數(shù)據(jù)，以便全面地發(fā)現(xiàn)網(wǎng)絡中存在的高危端口、高危漏洞、弱口令等風險場景。

綜上所敘,XDR全面的“安全可見能力”有助于實現(xiàn)快速的安全威脅響應。一旦發(fā)現(xiàn)異?；顒踊虬踩{，擁有全面的“安全可見能力”可以迅速定位問題所在，并采取相應的措施加以應對，從而最大程度地減少安全事件對業(yè)務的影響，保障網(wǎng)絡及業(yè)務的持續(xù)運行。

2、XDR 實現(xiàn)主動威脅檢測

XDR中的“X”具備多維度的擴展屬性，強調由孤立單點式威脅檢測過渡到基于更多上下文數(shù)據(jù)的可見，進行全面威脅檢測的整體安全思路的轉變。XDR不再單純依賴于端點、網(wǎng)絡或其他安全設備進行告警發(fā)現(xiàn)和安全事件的標記，重視底層的數(shù)據(jù)變化，比如主機上的權限變更、文件變更、賬號體系變更、系統(tǒng)負載的變化等，從而研判企業(yè)網(wǎng)絡的安全風險，為企業(yè)安全運營帶來完整的上下文和可見性。

在XDR的框架下，"X"代表的擴展性不僅僅局限于將不同數(shù)據(jù)源融合到一個視圖中，更重要的是XDR利用這些數(shù)據(jù)來實現(xiàn)主動風險發(fā)現(xiàn)到主動威脅檢測的轉變。這一過程體現(xiàn)了XDR對于安全事件的深入理解和快速響應能力。

XDR平臺首先通過對網(wǎng)絡和終端等多個維度的安全數(shù)據(jù)進行實時監(jiān)控，識別出潛在的風險點。這些風險點可能是一個異常登錄嘗試、不尋常的網(wǎng)絡流量模式，或是系統(tǒng)配置的未授權更改。XDR利用基于多源數(shù)據(jù)的主動分析技術如基于ATT&CK技戰(zhàn)術的異常行為檢測，來識別出這些行為背后可能隱藏的風險。這種風險發(fā)現(xiàn)機制能夠捕捉到從傳統(tǒng)安全工具可能遺漏的細微風險信號，為下一步的威脅檢測打下基礎。

在風險被發(fā)現(xiàn)后，XDR進一步分析這些風險點，將它們與已知的威脅模式和情報庫進行匹配，以判斷是否存在實際的威脅。XDR不僅關注單一事件，而是將相關事件串聯(lián)起來，形成一個完整的攻擊鏈。例如，一個不尋常的文件下載行為，本身可能不會引起警報，但如果與之前的異常登錄嘗試相關聯(lián)，則可能表明一個更復雜的攻擊正在進行中。

XDR的核心優(yōu)勢在于其對安全事件上下文的深入理解。通過整合來自不同數(shù)據(jù)源的信息，XDR能夠提供詳盡的上下文信息，幫助安全分析師快速準確地判斷威脅的性質和嚴重性。這包括攻擊者的可能目標、使用的攻擊手法、受影響資產的重要性等。這種全面的視角使得XDR能夠在復雜的安全環(huán)境中，實現(xiàn)精準的威脅檢測。

3、XDR 實現(xiàn)安全自動化，提高響應速度

XDR 的核心優(yōu)勢和承諾之一在于能夠實現(xiàn)流程自動化、有效分類警報并實現(xiàn)主動事件響應，特別是對于重大警報。如何實現(xiàn)?

企業(yè)日常安全運營工作往往會陷入海量告警的運營困局,數(shù)量龐大且包含大量的誤報，使得安全運營團隊難以有效地識別真正的威脅，進而無法展開有效的安全運營工作。XDR為多安全設備多告警的安全運營困局提供的有效的解決路徑:

傳統(tǒng)的調查和分析過程通常需要大量的人力和時間投入。安全分析師需要手動收集、整理和分析大量的安全事件數(shù)據(jù)，進行威脅排查和取證工作。這不僅效率低下，還容易導致遺漏或延誤關鍵事件的響應。

提高效率是安全運營一個永恒的話題，追求效率或利用利用自動化提升效率的前提一定是充分考慮和兼容企業(yè)安全運營及關注點差異,在滿足前者基礎上構建的。

XDR自動化分析能力體現(xiàn)在構建完善的數(shù)據(jù)標準化及安全能力原子化基礎上,XDR通過整合來自網(wǎng)絡、終端和其他安全工具的告警和日志信息，提供了一個統(tǒng)一的管理平臺。這種集中式的數(shù)據(jù)管理不僅減少了信息孤島的問題，還使得安全分析師能夠在一個平臺上查看和分析所有相關數(shù)據(jù)，從而更快地識別和響應威脅。

基于上下文豐富和關聯(lián)分析,實現(xiàn)威脅的有效過濾和優(yōu)先級排序,讓安全團隊聚焦真正的威脅

(1)基于多維權重入侵警報分流

通過不同維度如入侵警報的優(yōu)先級(包括高中低等)、資產的價值/重要程度等多維度定義,有效的對海量告警進行分類、圈定優(yōu)先級。

場景假定:在縱深防御階段的NDR/全流量設備產生大量入侵警報,其中涉及一般資產、核心資產、資產對業(yè)務的影響程度、資產與數(shù)據(jù)/隱私/機密的重要程度、告警類型的多維度,賽選/分流出需要重點分析的入侵警報。

備注: 需對威脅等級、告警類型等維度進行歸一化處理

(2)基于攻擊技戰(zhàn)術

通過透視攻擊路徑和常見攻擊方式方法，依據(jù)當下常見的攻擊技戰(zhàn)術生產階段性的安全事件,通過攻擊技戰(zhàn)術收斂和歸類告警,實現(xiàn)某類攻擊技戰(zhàn)術的有效防御如針對owasp top10,owasp top10是最新入侵風險的風向標,對如何解決網(wǎng)絡安全問題有著重要且積極的影響。持續(xù)跟進owasp top10的變更,基于owasp top10對網(wǎng)絡安全進行整體上重新評估與風險量化并生成對應的安全事件。

(3)基于攻擊時序

在面對海量零散告警背后黑客攻擊技戰(zhàn)術看似變幻莫測,但縱觀其整個入侵/攻擊過程,往往還是有一定規(guī)律可循的,如攻擊前信息收集而觸發(fā)的掃描探測類入侵警報,信息收集之后的漏洞利用如web網(wǎng)頁掃描后發(fā)生組件漏洞掃描,漏洞掃描后發(fā)起緩沖區(qū)溢出攻擊之后發(fā)現(xiàn)后門木馬?；诠魰r序不斷覆蓋攻擊場景,并提供可運營和建模能力,不斷增強、收斂和挖掘高價值入侵警報形成安全事件。

舉例:

(4)基于攻擊實際影響/結果

部署了越來越多的網(wǎng)絡安全防護產品,每天數(shù)萬甚至上百萬的告警都給安全運營帶來嚴重的告警研判和安全運營負擔,據(jù)相關數(shù)據(jù)統(tǒng)計部分企業(yè)的入侵誤報率可高達90%,嚴重降低安全運營效率,更大范圍的增加了真實告警多帶來的攻擊影響面。利用各類安全設備的數(shù)據(jù)和安全能力要素,綜合研判入侵警報的實際影響并基于實際影響研判入侵有效性同時生成針對性的高價值安全事件。

舉例:

1、全流量NDR發(fā)現(xiàn)文件上傳漏洞利用同時發(fā)現(xiàn)上傳webshell; 2終端EDR發(fā)現(xiàn)webshell文件落地、執(zhí)行蟻劍連接、執(zhí)行了whoami和ipconfig，然后上傳并執(zhí)行惡意程序artifact.exe，執(zhí)行了whoami和ipconfig，然后進程注入到notepad.exe中，執(zhí)行了whomai、ipconfig。

圖4 攻擊實際影響評估

XDR可以實時監(jiān)控和分析大量的安全事件數(shù)據(jù)，自動識別和定位潛在威脅，并提供關鍵的上下文信息和響應建議。這樣，安全團隊可以更快速地做出響應，減少事件的持續(xù)時間和影響范圍。

圖5 未來智安XDR攻擊路徑完整呈現(xiàn)

XDR從安全運營的視角自動化分析和呈現(xiàn)攻擊者是誰?攻擊者是怎么打進來的?用什么漏洞打進來?用什么武器打進來的?攻擊者拿下一臺服務器之后，在服務器上做了什么事兒?有沒有發(fā)生橫向移動?有沒有下載攻擊載荷或者相關的攻擊載荷?攻擊過程中都產生了哪些關鍵的線索，如IP、域名、攻擊樣本，同時這些樣本涉及到哪些進程、服務、端口和網(wǎng)絡?哪些服務器受到影響、哪些數(shù)據(jù)被篡改了?那攻擊背后都產生了哪些告警?有沒有應急響應的處置方式?能不能和其他安全設備進行快速的聯(lián)動和處置?最后一點就是攻擊背后黑客所使用的攻擊技術，比如說在ATT&CK上的攻擊矩陣的分布，企業(yè)如何基于ATT&CK的戰(zhàn)術、技術持續(xù)的提升安全防護能力?

三、XDR是網(wǎng)絡安全的未來

Broadcom、Cisco、CrowdStrike、Fortinet、Microsoft、Palo Alto Networks、SentinelOne、Sophos、TEHTRIS、Trend Micro和VMWare。都將XDR作為未來發(fā)展的重點，各有有不同的側重與方向。

2022年全球XDR擴展威脅檢測和響應市場規(guī)模為7.548億美元，2023年預計將達到9.118億美元, 2023年至2030年將以20.7%的復合年增長率(CAGR)增長。

圖6 美國XDR市場增長預測

北美在2022年主導了XDR市場，占全球收入份額近 47%。由于為改進現(xiàn)有網(wǎng)絡安全解決方案而增加的研發(fā)活動投資，美國和加拿大是該地區(qū) XDR 解決方案的領先市場。由于英國、德國和法國等國家對威脅檢測和響應解決方案的高需求，歐洲市場的需求也顯著增加。

圖7 北美XDR市場增長預測

亞太地區(qū)XDR市場因不斷增長的IT支出和越來越多的數(shù)據(jù)泄露是推動區(qū)域市場增長的關鍵因素。根據(jù)GSM協(xié)會的數(shù)據(jù)，就連接數(shù)量而言，亞太地區(qū)是最大的物聯(lián)網(wǎng)市場。因此，為了保護跨組織的數(shù)據(jù)(無論是物聯(lián)網(wǎng)設備、電子郵件、云還是本地服務器上的數(shù)據(jù))，對 XDR 解決方案的需求預計會增加。

預計2023年至2030年，全球擴展檢測和響應市場將以20.7%的復合年增長率增長，到2030年將達到34.098 億美元。

2022-2023年主導全球XDR市場的主要參與者包括思科、趨勢科技、微軟、Palo Alto Networks、CrowdStrike、Fortinet、Trellix和SentinelOne等。這些安全廠商專注于通過實施新產品開發(fā)、合作和并購等增長戰(zhàn)略來提高其市場占有率。這些戰(zhàn)略進一步幫助市場參與者擴大地域并進入未開發(fā)的市場。

四、XDR的本地化與落地

XDR的技術路線發(fā)展演進是一個不斷進化的過程。最初，XDR主要集中在終端檢測與響應(EDR)技術的擴展，但隨著時間的推移，它已經(jīng)演化為一個更廣泛的解決方案，包括網(wǎng)絡檢測與響應(NDR)、云安全、身份和訪問管理等。XDR的演進路徑包括：

整體來說XDR產品的實現(xiàn)模式可以分為三種不同模式，分別是“原生XDR”、“生態(tài)XDR”，以及“混合模式XDR”。

“原生XDR”依賴廠商自身的安全防護和數(shù)據(jù)采集能力來實現(xiàn)XDR，具有實施方便、集成成本低、數(shù)據(jù)和響應能力可控的優(yōu)點。然而，缺點在于安全防護產品可能存在數(shù)據(jù)和遙測能力不足的問題，可能影響XDR的整體效果。

“生態(tài)XDR”具有較高的包容性，可以復用甲方前期的安全投入和安全建設，但它嚴重依賴第三方安全設備，整體集成成本較高，數(shù)據(jù)質量、遙測能力和響應處置能力相對不可控，因為它依賴第三方設備，存在一定不可控的風險。

“混合模式XDR”融合了“原生”和“生態(tài)”XDR的優(yōu)勢，可以接入原生的自有安全組件和第三方安全防護產品，實現(xiàn)了更靈活的集成。不論是數(shù)據(jù)還是安全能力，都可以通過混合模式XDR實現(xiàn)集成，兼顧了自有能力和第三方設備的優(yōu)勢。

五、未來挑戰(zhàn)與應對

強大的安全覆蓋需要最好的網(wǎng)絡解決方案之間的集成和協(xié)作。同時，用戶希望整合安全供應商和產品，發(fā)揮現(xiàn)有產品的價值，同時降低復雜度。實現(xiàn)安全設備實現(xiàn)無縫集成，對XDR至關重要，但目前市場上沒有一家安全公司可以做到。

隨著數(shù)字化轉型的加速，企業(yè)的業(yè)務和數(shù)據(jù)不斷向數(shù)字化平臺遷移。雖然數(shù)字化帶來了效率和便捷性，但也增加了網(wǎng)絡攻擊的風險。這使企業(yè)更容易受到各種網(wǎng)絡威脅的威脅，包括惡意軟件、網(wǎng)絡釣魚、勒索軟件等。XDR作為一種綜合性的威脅檢測和響應解決方案，可以幫助組織更好地適應數(shù)字化轉型，確保其數(shù)字化環(huán)境的安全性。

從長遠來看，XDR擴展威脅檢測和響應的效果保障之一是具備安全生態(tài)化與開放性。這一趨勢反映了XDR解決方案的未來發(fā)展方向，旨在提供更全面、協(xié)同、互操作的安全體驗，以更好地保護組織免受網(wǎng)絡威脅的侵害。

安全生態(tài)化趨勢

安全生態(tài)化是指建立一個綜合、多層次的安全體系，其中各種安全解決方案、設備、應用和服務能夠協(xié)同工作，共同應對威脅。這種生態(tài)系統(tǒng)能夠更好地捕獲威脅情報、分享威脅信息，同時提供綜合性的威脅檢測和響應。通過構建安全生態(tài)系統(tǒng)，XDR可以更好地應對威脅的多樣性和復雜性。

XDR供應商將積極與其他安全生態(tài)系統(tǒng)的參與者建立合作伙伴關系，包括安全技術提供商、威脅情報供應商、合規(guī)性解決方案提供商等。這些合作關系將有助于構建更綜合的安全生態(tài)系統(tǒng)，為企業(yè)/組織提供更強大的安全保護。

開放性趨勢

XDR的開放性意味著它具有與其他安全解決方案和服務進行集成的能力。這種集成可以跨越不同供應商、不同領域的安全工具，使它們能夠共同工作，共享威脅情報，提高整體的安全效能。這種開放性對于保護組織免受威脅至關重要，因為威脅的復雜性要求不同的安全工具之間能夠有效合作。

XDR的開放性還涉及到支持開放標準和API(應用程序接口)。這意味著XDR解決方案應該提供易于與其他安全工具進行集成的接口，使不同廠商的安全工具能夠協(xié)同工作。通過支持開放標準和API，XDR可以更好地實現(xiàn)多樣化的集成，提高整體的安全性。

關于作者 陳毓端

虎符智庫專家，未來智安聯(lián)合創(chuàng)始人兼CTO，擁有十余年網(wǎng)絡安全行業(yè)經(jīng)驗。他深耕網(wǎng)絡攻防技術和安全架構設計多年，深入探索終端研發(fā)與終端安全，具備基于GoLang、PHP、Python、Openresty等語言的Web服務端開發(fā)能力，在大數(shù)據(jù)分析和企業(yè)級高性能技術架構等業(yè)務領域有豐富的落地實踐經(jīng)驗。目前，他還擔任PHP官方PECL開發(fā)組成員、安徽工業(yè)互聯(lián)網(wǎng)產業(yè)聯(lián)盟專家職務。由其主導研發(fā)的未來智安XDR平臺已完成多個版本迭代，平臺的擴展威脅檢測與響應能力處于行業(yè)領先地位。作者還獲評2023網(wǎng)絡安全金帽子“年度技術突破者”。

文章來源：虎符智庫