近年來(lái)，隨著數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化進(jìn)程加快，網(wǎng)絡(luò)安全的基礎(chǔ)性、關(guān)鍵性作用更加突出。加之百年變局和世紀(jì)疫情交織疊加，國(guó)際環(huán)境日趨復(fù)雜，網(wǎng)絡(luò)霸權(quán)主義對(duì)世界和平與發(fā)展構(gòu)成威脅，國(guó)家產(chǎn)業(yè)鏈、供應(yīng)鏈及關(guān)鍵基礎(chǔ)設(shè)施頻繁遭受沖擊，網(wǎng)絡(luò)空間安全的形勢(shì)復(fù)雜多變，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)和新技術(shù)、新場(chǎng)景的網(wǎng)絡(luò)安全威脅事件頻發(fā)。針對(duì)企事業(yè)單位的網(wǎng)絡(luò)攻擊正在變得更加隱蔽和復(fù)雜，攻防對(duì)抗從原來(lái)的技術(shù)之爭(zhēng)演變?yōu)樗俣戎疇?zhēng)。雖然此前已配備了防火墻、IDS、 IPS、WAF、SIEM、SOAR等安全設(shè)備，但這些設(shè)備每天產(chǎn)生海量告警，且來(lái)自不同廠商的設(shè)備各自為戰(zhàn)、檢測(cè)割裂，難以將多個(gè)節(jié)點(diǎn)的痕跡自動(dòng)關(guān)聯(lián)成一個(gè)完整的攻擊案件，安全團(tuán)隊(duì)及時(shí)跟進(jìn)告警分析與事件響應(yīng)的難度大。

　　報(bào)告顯示，當(dāng)前威脅檢測(cè)和響應(yīng)工作和兩年前相比更加困難，一是威脅數(shù)量大幅增加，運(yùn)營(yíng)層面沒(méi)有將攻擊痕跡自動(dòng)關(guān)聯(lián)成攻擊案件；二是有效攻擊識(shí)別及處置不夠智能化，安全人員在無(wú)效事件處理上耗費(fèi)大量時(shí)間；三是響應(yīng)手段不夠?qū)崙?zhàn)化，當(dāng)安全事件發(fā)生時(shí)，響應(yīng)時(shí)間按天計(jì)算；四是業(yè)務(wù)安全能力無(wú)法做到精細(xì)化和場(chǎng)景化，處在宏觀可視層面，難落地。用戶迫切需要一個(gè)更加實(shí)戰(zhàn)、精細(xì)、智能的安全運(yùn)營(yíng)平臺(tái)，解決威脅事件的檢測(cè)、溯源、取證、響應(yīng)與處置問(wèn)題。

　　在國(guó)家網(wǎng)絡(luò)安全宣傳周開(kāi)幕首日，專注「網(wǎng)絡(luò)攻擊溯源」的安全廠商中睿天下正式發(fā)布XDR整體解決方案，這是一套站在“攻擊者視角”，基于“攻擊對(duì)抗”思想融合EDR、NDR、MDR、情報(bào)云能力，具備安全能力組件化持續(xù)擴(kuò)展與集成特質(zhì)，面向威脅事件的實(shí)戰(zhàn)化對(duì)抗安全運(yùn)營(yíng)平臺(tái)，該平臺(tái)包含監(jiān)測(cè)、溯源、防護(hù)、響應(yīng)、對(duì)抗、運(yùn)營(yíng)六大邏輯板塊，實(shí)戰(zhàn)化運(yùn)營(yíng)從攻擊前認(rèn)清風(fēng)險(xiǎn)、整改加固、定期演練，攻擊中攔截、監(jiān)控、溯源、應(yīng)急，攻擊后修改整改、常態(tài)運(yùn)營(yíng)共計(jì)三個(gè)方向九個(gè)動(dòng)作展開(kāi)，對(duì)客戶云、網(wǎng)、端進(jìn)行威脅檢測(cè)與響應(yīng)，有效提升客戶的安全運(yùn)營(yíng)效率，提高威脅檢測(cè)精度，節(jié)省人員成本，縮短應(yīng)急響應(yīng)時(shí)間，實(shí)現(xiàn)安全運(yùn)營(yíng)的降本增效。

　　在XDR技術(shù)中

　　X不應(yīng)該是一個(gè)未知數(shù)

　　2018年，Gartner 提出了XDR（Extended Detection And Response：擴(kuò)展威脅檢測(cè)與響應(yīng)）的概念。XDR作為一項(xiàng)新興的威脅檢測(cè)與響應(yīng)技術(shù)，結(jié)合數(shù)據(jù)中臺(tái)技術(shù)、自動(dòng)化編排技術(shù)及安全分析技術(shù)，形成面向已知和未知安全場(chǎng)景的綜合性安全解決方案。其中，“X”代表著安全能力的持續(xù)擴(kuò)展。

　　2022年，在Gartner發(fā)布的安全運(yùn)營(yíng)技術(shù)成熟度曲線（Hype Cycle）中，XDR更是站上Peak of Inflated Expectations的頂端，成為安全運(yùn)營(yíng)體系中最炙手可熱的技術(shù)之一。

　　劉慶林談到，在Gartner提出XDR概念后，國(guó)內(nèi)部分安全廠商開(kāi)始了相應(yīng)的產(chǎn)品研發(fā)，但由于各家安全廠商對(duì)XDR概念的理解不同，產(chǎn)品也存在較大差異，這種差異性為用戶帶來(lái)巨大困擾。

　　“針對(duì)新的安全概念，用戶的感知不像安全廠商那么敏感，他們的關(guān)注點(diǎn)會(huì)聚焦于如何解決面臨的實(shí)際需求上。安全的概念層出不窮，但是用戶的痛點(diǎn)變化不大，他們剛剛理解了什么是EDR、NDR，XDR又馬不停蹄地出爐了。甚至有用戶開(kāi)玩笑說(shuō)，什么是XDR？X就像是一個(gè)需要不停投資的無(wú)底洞?！?/p>

　　劉慶林表示，從技術(shù)視角看，XDR并非新鮮事物。在更復(fù)雜的安全形勢(shì)下，用戶更加聚焦實(shí)戰(zhàn)攻防并以結(jié)果為導(dǎo)向，XDR能夠?qū)⒃械陌踩夹g(shù)和手段進(jìn)行有機(jī)地排列組合，通過(guò)系統(tǒng)的更新和升級(jí)，更有效的解決檢測(cè)與響應(yīng)的難題。從嚴(yán)格意義上來(lái)說(shuō)，XDR并不是一項(xiàng)創(chuàng)新的安全技術(shù)或產(chǎn)品，而是面向高級(jí)威脅提出了更有效的安全運(yùn)營(yíng)解決方案。

　　“從Gartner的定義來(lái)看，XDR被稱為可擴(kuò)展的威脅檢測(cè)與響應(yīng)技術(shù)，它仍然是以威脅為對(duì)象，解決當(dāng)前檢測(cè)與響應(yīng)技術(shù)方面的不足。早在XDR提出之前，國(guó)內(nèi)就已經(jīng)在強(qiáng)調(diào)‘云管邊端’的防護(hù)理念，如果在這個(gè)基礎(chǔ)上增加‘人’的維度，就已經(jīng)符合了XDR在各個(gè)維度做擴(kuò)展的思路?！?/p>

　　所以中睿天下對(duì)XDR的定義是：XDR是一個(gè)新一代安全運(yùn)營(yíng)解決方案，它采用平臺(tái)+組件+服務(wù)的組合方式，通過(guò)對(duì)終端、網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的采集、處理和分析，能夠?qū)⒉煌瑫r(shí)點(diǎn)產(chǎn)生的攻擊片段自動(dòng)化整合成攻擊事件，并結(jié)合安全專家能力，進(jìn)行自動(dòng)化的攻擊研判、標(biāo)準(zhǔn)化的響應(yīng)處理、更高效的攻擊事件處置，最終有效支撐用戶常態(tài)化的安全運(yùn)營(yíng)，為用戶的網(wǎng)絡(luò)安全賦能。

　　XDR的最終使命

　　解決聯(lián)防聯(lián)控、精準(zhǔn)防護(hù)、人員能力的三大挑戰(zhàn)

　　過(guò)去二十年里，多數(shù)用戶已采購(gòu)了防火墻、IDS、IPS、WAF、防病毒軟件等大量的安全設(shè)備和安全軟件，如何讓網(wǎng)絡(luò)中各自為戰(zhàn)的安全設(shè)備和軟件更加有效的協(xié)同運(yùn)營(yíng)，并以聯(lián)防聯(lián)控的方式使其各司其職并發(fā)揮應(yīng)有的作用，這是擺在安全運(yùn)營(yíng)者面前的第一道難題。

　　此外，這種傳統(tǒng)的、碎片化的安全建設(shè)方案還催生出了告警風(fēng)暴，用戶內(nèi)部屈指可數(shù)的安全運(yùn)維人員被淹沒(méi)在海量安全告警中?！八械臋z測(cè)設(shè)備都會(huì)提醒你疑似發(fā)現(xiàn)異常，但告警是否準(zhǔn)確？攻擊是否真實(shí)發(fā)生？這個(gè)判定的過(guò)程本身就是一件很有挑戰(zhàn)的工作?！?/p>

　　在海量的告警信息中鑒別出真正有效的攻擊后，如何快速處置并將一個(gè)個(gè)獨(dú)立的攻擊片段聚類還原成一次系統(tǒng)的攻擊事件，繼而將多起攻擊事件串聯(lián)形成一個(gè)攻擊案例，并在下一次攻擊到來(lái)前實(shí)現(xiàn)精準(zhǔn)防護(hù)，這是擺在用戶安全運(yùn)營(yíng)中的第二道難題。

　　最終，安全運(yùn)營(yíng)的種種問(wèn)題還要回歸到“人”。安全產(chǎn)品的品類過(guò)于繁雜，這就對(duì)安全運(yùn)營(yíng)人員的能力要求極為苛刻，加之能夠精通多品類安全產(chǎn)品的安全運(yùn)營(yíng)專家具有一定的稀缺性，如何通過(guò)一套標(biāo)準(zhǔn)化、更友好的安全運(yùn)營(yíng)平臺(tái)，讓不同水平的安全運(yùn)營(yíng)人員都能及時(shí)、有效地進(jìn)行標(biāo)準(zhǔn)化、流程化的安全威脅處置工作，降低對(duì)安全運(yùn)維人員個(gè)人能力的依賴，成為擺在用戶面前的第三道難題。

　　劉慶林指出，隨著攻防對(duì)抗的日趨激烈，攻擊者也在向著更智能和更隱蔽的方向進(jìn)化?！肮粽叩氖侄魏图夹g(shù)已經(jīng)有了大幅的進(jìn)化，一個(gè)攻擊手法從誕生的那一刻起，就已經(jīng)將如何繞過(guò)市面上的安全防護(hù)設(shè)備作為出發(fā)點(diǎn)。以秒撥攻擊為例，攻擊者會(huì)在一次攻擊事件中，利用秒撥的手段偽造10萬(wàn)個(gè)以上的IP地址同時(shí)發(fā)起攻擊，而真正的攻擊則以加密數(shù)據(jù)包的形式隱藏其中，所以如何發(fā)現(xiàn)有效攻擊則成為防護(hù)的難點(diǎn)。”

　　劉慶林認(rèn)為，以靜態(tài)檢測(cè)能力來(lái)對(duì)抗動(dòng)態(tài)攻擊是當(dāng)前安全運(yùn)營(yíng)頭號(hào)挑戰(zhàn)?！斑^(guò)去大家面臨的問(wèn)題是怎樣發(fā)現(xiàn)自己被攻擊了，但現(xiàn)在面臨的問(wèn)題已經(jīng)變成了如何在獨(dú)立的攻擊碎片中發(fā)現(xiàn)更深層次的未知威脅，所以整個(gè)安全行業(yè)迎來(lái)了更大的挑戰(zhàn)，我們必須向下一個(gè)階段進(jìn)化?！?/p>

　　圖：中睿天下XDR解決方案架構(gòu)

　　中睿XDR：九層之臺(tái)始于累土

　　以EDR、NDR為基礎(chǔ)組件逐步打造XDR閉環(huán)

　　計(jì)算機(jī)網(wǎng)絡(luò)由終端和網(wǎng)絡(luò)構(gòu)成，不同的終端設(shè)備之間要通過(guò)網(wǎng)絡(luò)進(jìn)行對(duì)話，這個(gè)過(guò)程中產(chǎn)生了大量的流量。因此，對(duì)終端和網(wǎng)絡(luò)流量數(shù)據(jù)的分析檢測(cè)是網(wǎng)絡(luò)安全最核心的環(huán)節(jié)。

　　劉慶林談到，在長(zhǎng)期服務(wù)關(guān)鍵行業(yè)用戶的過(guò)程中，中睿天下深入了解用戶業(yè)務(wù)場(chǎng)景和真實(shí)痛點(diǎn)，多年來(lái)中睿人秉承實(shí)戰(zhàn)對(duì)抗的基因，面對(duì)真實(shí)威脅態(tài)勢(shì)，幫助用戶消除了一個(gè)又一個(gè)安全隱患。目前，中睿天下通過(guò)自主研發(fā)已經(jīng)形成了系列產(chǎn)品布局：從網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)系統(tǒng)（NDR）到終端威脅檢測(cè)與響應(yīng)系統(tǒng)（EDR），再到托管檢測(cè)與響應(yīng)服務(wù)（MDR），并構(gòu)建了一整套具備核心競(jìng)爭(zhēng)力的中睿天下XDR解決方案體系。

　　劉慶林介紹，中睿天下圍繞網(wǎng)絡(luò)層面打造了網(wǎng)絡(luò)攻擊溯源、Web攻擊溯源、郵件攻擊溯源、全流量回溯、資產(chǎn)風(fēng)險(xiǎn)監(jiān)測(cè)、賬號(hào)安全監(jiān)測(cè)、鏈接及文件沙箱、SSL解密網(wǎng)關(guān)、郵件網(wǎng)關(guān)在內(nèi)的加密和非加密網(wǎng)絡(luò)流量檢測(cè)溯源系統(tǒng)，形成了中睿NDR產(chǎn)品矩陣；圍繞終端層面開(kāi)發(fā)了基線檢查、調(diào)查取證、監(jiān)測(cè)響應(yīng)系列產(chǎn)品，安全分析對(duì)象涵蓋了操作系統(tǒng)（Windows、Linux等）、底層固件、內(nèi)存、文件、日志、網(wǎng)絡(luò)及IOT設(shè)備等，形成了中睿EDR產(chǎn)品系列布局；圍繞實(shí)戰(zhàn)化對(duì)抗層面研發(fā)了攻擊決策輔助系統(tǒng)、釣魚(yú)演練系統(tǒng)、蜜網(wǎng)等產(chǎn)品矩陣，形成了中睿對(duì)抗產(chǎn)品矩陣；圍繞服務(wù)層面開(kāi)展了溯源、應(yīng)急響應(yīng)、托管運(yùn)營(yíng)、專家值守、安全巡檢、風(fēng)險(xiǎn)評(píng)估等服務(wù)矩陣，形成了中睿服務(wù)產(chǎn)品矩陣；圍繞運(yùn)營(yíng)層面構(gòu)建了微應(yīng)用態(tài)勢(shì)感知平臺(tái)、睿云管控平臺(tái)、一鍵封禁等產(chǎn)品系列，形成了中睿運(yùn)營(yíng)產(chǎn)品矩陣。

　　他表示，中睿天下能夠解決的安全問(wèn)題一直都十分明確，網(wǎng)絡(luò)層面幫用戶解決針對(duì)網(wǎng)絡(luò)威脅的檢測(cè)、發(fā)現(xiàn)、攔截、防護(hù)問(wèn)題，終端層面幫用戶解決來(lái)自威脅發(fā)現(xiàn)、溯源、取證和防護(hù)問(wèn)題；隨后依托可擴(kuò)展威脅檢測(cè)和響應(yīng)安全運(yùn)營(yíng)平臺(tái)，將來(lái)自不同安全廠商的不同類型、不同位置的安全設(shè)備連接起來(lái)，以精準(zhǔn)防護(hù)的思路，從海量告警數(shù)據(jù)中將不同位置的攻擊片段抽離出來(lái)，組合成攻擊事件，事件組合成攻擊案件，最終以友好可視化的形式進(jìn)行呈現(xiàn)，降低對(duì)于安全運(yùn)營(yíng)人員水平的依賴，幫助運(yùn)營(yíng)人員實(shí)現(xiàn)更加快速、高效的流程化處置。中睿天下XDR通過(guò)NDR/EDR/MDR全方位的數(shù)據(jù)采集和多源異構(gòu)數(shù)據(jù)接入處理，采用大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、行為監(jiān)測(cè)、安全建模、自動(dòng)化編排、加密流量分析、狩獵誘捕、攻擊取證、追蹤溯源、攻擊畫(huà)像、云托管等技術(shù)，結(jié)合攻擊者視角、運(yùn)營(yíng)視角、業(yè)務(wù)視角，幫助用戶實(shí)現(xiàn)了對(duì)安全事件的檢測(cè)、溯源、取證、跟蹤、處置全流程閉環(huán)。

　　談及中睿天下這一套XDR解決方案的技術(shù)優(yōu)勢(shì)，劉慶林分享到，中睿天下是一家將「網(wǎng)絡(luò)攻擊溯源」刻在基因里的公司，在公司成立至今的8年時(shí)間里，圍繞網(wǎng)絡(luò)威脅來(lái)進(jìn)行持續(xù)對(duì)抗是中睿天下專注和聚焦的事情，足夠的專注也讓中睿積累下了獨(dú)具特色的技術(shù)壁壘。XDR同樣不應(yīng)該是一個(gè)大而全的大雜燴式解決方案，而是要精細(xì)地深入到每一個(gè)威脅檢測(cè)單元去做精準(zhǔn)的檢測(cè)和響應(yīng)。因此，中睿天下實(shí)際上是把這道大雜燴中的食材全部拆分出來(lái)，對(duì)每一道菜品進(jìn)行精加工，給用戶呈現(xiàn)出一桌滿漢全席。

　　什么樣的XDR解決方案才會(huì)得到甲方用戶的認(rèn)可？

　　劉慶林認(rèn)為，作為一個(gè)以解決安全運(yùn)營(yíng)痛點(diǎn)為目標(biāo)的綜合解決方案，除了檢測(cè)與響應(yīng)能力外，用戶體驗(yàn)也是一個(gè)核心因素。安全人員短缺、能力參差不齊是每家甲方企業(yè)當(dāng)前都要面對(duì)的現(xiàn)實(shí)問(wèn)題，在有限的人力條件下，將來(lái)自不同設(shè)備的關(guān)聯(lián)性告警信息聚類成為一個(gè)安全事件，引入完全自動(dòng)化、流程化、制度化的工作模式，實(shí)現(xiàn)提效減負(fù)。

　　例如，在國(guó)家電網(wǎng)的安全運(yùn)營(yíng)平臺(tái)中，中睿天下提出了5秒響應(yīng)的理念，首次引入開(kāi)關(guān)量模型并進(jìn)行可視化展示，從而將安全運(yùn)營(yíng)工作簡(jiǎn)化為兩種結(jié)果：安全OR不安全。綠燈亮表示安全；紅燈亮則表示檢測(cè)到有效攻擊，提醒運(yùn)營(yíng)人員迅速一鍵處置；若黃燈閃爍表示檢測(cè)到正在進(jìn)行中的攻擊行為，需要予以關(guān)注。開(kāi)關(guān)量模型讓不同安全水平的運(yùn)營(yíng)人員能夠最大程度提高運(yùn)營(yíng)效率，發(fā)揮自己的價(jià)值。

　　XDR未來(lái)的進(jìn)化之路

　　精細(xì)化、智能化、個(gè)性化和場(chǎng)景化

　　采訪最后，我們請(qǐng)劉慶林就當(dāng)前XDR未來(lái)發(fā)展方向的問(wèn)題分享了他的洞察和思考。劉慶林認(rèn)為，精細(xì)化、智能化、個(gè)性化和場(chǎng)景化將是未來(lái)XDR的重要方向。

　　首先，實(shí)現(xiàn)精準(zhǔn)防護(hù)的唯一路徑，就是要從云、管、邊、端、人五個(gè)維度出發(fā)，不斷進(jìn)行精細(xì)化拓展，最終以更細(xì)粒度的方式實(shí)現(xiàn)威脅檢測(cè)、發(fā)現(xiàn)、溯源和防護(hù)。

　　其次，要進(jìn)一步實(shí)現(xiàn)更智能的安全運(yùn)營(yíng)，在XDR中規(guī)?；階I技術(shù)是一個(gè)必然趨勢(shì)。通過(guò)對(duì)威脅數(shù)據(jù)進(jìn)行大數(shù)據(jù)的關(guān)聯(lián)挖掘和識(shí)別攻擊者，利用機(jī)器學(xué)習(xí)技術(shù)進(jìn)一步快速判別攻擊手法，反向定位黑客，并進(jìn)行攻擊溯源分析，促進(jìn)XDR解決方案向智能化升級(jí)。

　　第三，為更高效的應(yīng)對(duì)動(dòng)態(tài)變化的安全威脅，防御側(cè)或?qū)⒆呦騻€(gè)性化，即依據(jù)不同終端的特性，自動(dòng)化形成檢測(cè)與防護(hù)模型，實(shí)現(xiàn)更高效和準(zhǔn)確的安全防護(hù)，這也是未來(lái)XDR進(jìn)化的重要方向。

　　最后一個(gè)趨勢(shì)是場(chǎng)景化，過(guò)去安全行業(yè)做的事情更像是通用型解決方案，不管什么網(wǎng)絡(luò)都可以套用流量檢測(cè)系統(tǒng)。但是在不久的未來(lái)，無(wú)論是辦公網(wǎng)、生產(chǎn)網(wǎng)還是專網(wǎng)，都會(huì)更加的場(chǎng)景化。因此安全廠商需要更加深層次地了解用戶真實(shí)的訴求，甚至去補(bǔ)充用戶安全的角色，只有場(chǎng)景化才有可能打造出契合用戶需求的安全解決方案。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<