隨著數(shù)字化轉(zhuǎn)型的飛速發(fā)展，企業(yè)面臨的安全威脅日益嚴(yán)峻。但是，目前許多企業(yè)仍在沿用傳統(tǒng)孤島式的安全能力建設(shè)模式，這種模式缺乏對全局安全數(shù)據(jù)的可見性，導(dǎo)致面對海量告警，安全產(chǎn)品自動化程度不高，安全人員也難以提高工作效率。

在此背景下，XDR（Extended Detection And Response：擴(kuò)展檢測響應(yīng)）成為了網(wǎng)絡(luò)安全領(lǐng)域的新興之秀。據(jù)了解，XDR最早由Palo Alto Networks于2018年提出，在2020年被Gartner命名為第一大安全趨勢，同時(shí)Gartner稱XDR解決方案將提高檢測準(zhǔn)確性、安全運(yùn)營效率和生產(chǎn)率。

近日，騰訊安全聯(lián)合權(quán)威機(jī)構(gòu)Gartner在全球發(fā)布了XDR白皮書——《XDR，威脅檢測與響應(yīng)的利器》。騰訊安全副總裁方斌在寄語中表示：XDR可以匯聚跨產(chǎn)品、跨層級的全局安全數(shù)據(jù)，利用機(jī)器學(xué)習(xí)等技術(shù)提升對全局?jǐn)?shù)據(jù)的關(guān)聯(lián)和分析能力，有效幫助企業(yè)走出安全孤島。

而騰訊依托自身成熟的云上安全能力，率先在國內(nèi)拓展云上XDR方案，并對私有化場景進(jìn)行賦能。針對公有云環(huán)境和傳統(tǒng)IT環(huán)境，形成兩套相對獨(dú)立的方案，應(yīng)對不同應(yīng)用場景需要。

當(dāng)前，傳統(tǒng)安全系統(tǒng)面臨著更加隱蔽、更加智能、更具破壞性的新一代網(wǎng)絡(luò)攻擊。尤其在威脅檢測方面，企業(yè)面臨的安全挑戰(zhàn)越來越大，高級威脅的發(fā)現(xiàn)越來越難以通過單一的安全能力來實(shí)現(xiàn)，海量告警、孤島式安全能力建設(shè)的缺陷、現(xiàn)有安全產(chǎn)品自動化能力不高、企業(yè)被動的安全防御策略等現(xiàn)實(shí)困境，使得企業(yè)急需尋找一種新的信息安全防護(hù)措施，加固云上安全防線。

XDR作為可演進(jìn)式集成安全架構(gòu)，結(jié)合了安全信息和事件管理（SIEM）、安全編排自動化和響應(yīng)（SOAR）、端點(diǎn)檢測與響應(yīng)（EDR）以及網(wǎng)絡(luò)流量分析（NTA），集中安全數(shù)據(jù)和事件響應(yīng)，是云上安全防護(hù)的有效利器。面對不斷加速的數(shù)字化轉(zhuǎn)型和紛繁復(fù)雜的網(wǎng)絡(luò)攻擊，XDR可促進(jìn)威脅防御、檢測、響應(yīng)等安全功能之間的協(xié)同和互操作，幫助企業(yè)提升威脅檢測和響應(yīng)的效率和效果。

XDR的模型架構(gòu)

據(jù)白皮書介紹，XDR擁有五大核心能力和六大顯著優(yōu)勢。首先，XDR支持對終端、網(wǎng)絡(luò)、云和工作負(fù)載的安全防護(hù)并具備控制能力，此外，還擁有安全集成和互操作能力、大數(shù)據(jù)處理和機(jī)器學(xué)習(xí)分析能力、自動化編排能力、威脅情報(bào)能力。XDR的優(yōu)勢體現(xiàn)在可演進(jìn)式集成安全架構(gòu)，更快、更深度的威脅發(fā)現(xiàn)，一處檢測、全局響應(yīng)，提升安全運(yùn)營效率，支持混合基礎(chǔ)設(shè)施和優(yōu)化企業(yè)安全支出成本。

Opportunity Snapshot的研究顯示，71%的安全負(fù)責(zé)人表示，他們的團(tuán)隊(duì)需要訪問威脅情報(bào)、安全運(yùn)營數(shù)據(jù)、事件響應(yīng)和漏洞數(shù)據(jù)，而64%的企業(yè)無法跨職能共享威脅情報(bào)數(shù)據(jù)。XDR面向?qū)嶋H的網(wǎng)絡(luò)攻擊防護(hù)需要，有效提升威脅檢測的及時(shí)性，并快速收斂已發(fā)現(xiàn)安全事件所造成的影響，改變企業(yè)現(xiàn)有安全能力零散建設(shè)運(yùn)維成本高、安全能力難以協(xié)同、單點(diǎn)產(chǎn)品利用不足等帶來的安全支出成本居高不下的難題。

鑒于XDR技術(shù)的上述優(yōu)勢，國外廠商通過相互合作，積極探索XDR前進(jìn)方向，目前網(wǎng)絡(luò)安全界已成立了三大XDR“聯(lián)盟”，分別由Crowd Strike領(lǐng)導(dǎo)，由Mimecast等供應(yīng)商發(fā)起，以及由IBM參與。同時(shí)，思科、微軟、Check Point等實(shí)力雄厚的大型廠商都在整合單個(gè)產(chǎn)品以構(gòu)建XDR套件，加大投資研發(fā)力度。據(jù)Grand View Research研究顯示，到2028年，XDR市場規(guī)模預(yù)計(jì)將達(dá)到20.6億美元，2021-2028年的復(fù)合年增長率將達(dá)到19.9%。

中國市場XDR發(fā)展前景亦十分廣闊，據(jù)CIC最新發(fā)布的《網(wǎng)絡(luò)安全威脅情報(bào)行業(yè)發(fā)展報(bào)告（2021年）》顯示，當(dāng)前我國威脅情報(bào)市場規(guī)模約為10.69億元。另外，在11月，全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)Palo Alto Networks和普華永道中國宣布擴(kuò)大合作，以XDR等產(chǎn)品為依托，在中國市場提供安全運(yùn)營服務(wù)。同時(shí)，以騰訊安全為首的威脅情報(bào)服務(wù)提供商紛紛入局XDR賽道。凡此種種，都標(biāo)志著XDR在研發(fā)投入與創(chuàng)新動力方面將迎來一波高潮。

聚焦到中國市場，中小企業(yè)數(shù)量占據(jù)了中國企業(yè)總數(shù)的半壁江山，2020年底中小企業(yè)數(shù)量便已突破4200萬家。研究機(jī)構(gòu)Gartner發(fā)布的報(bào)告顯示，2021年全球信息安全和風(fēng)險(xiǎn)管理技術(shù)與服務(wù)支出預(yù)計(jì)將達(dá)到1504億美元。為了抵御攻擊，企業(yè)機(jī)構(gòu)將擴(kuò)展和規(guī)范威脅檢測和響應(yīng)活動，由于沒有足夠的網(wǎng)絡(luò)安全人才或技能來推出自己的集成架構(gòu)，中型企業(yè)和小型企業(yè)對XDR有著強(qiáng)烈的需求。

XDR作為融合了“EDR+NDR+SOAR+威脅情報(bào)+安全中臺+X”的一站式安全檢測與響應(yīng)平臺，不論是傳統(tǒng)IT環(huán)境，還是公有云、私有云、單云、多云、混合云架構(gòu)，XDR都能夠更快、更準(zhǔn)確地檢測網(wǎng)絡(luò)攻擊活動，并以開箱即用的自動化操作快速應(yīng)對各類繁瑣枯燥的安全任務(wù)，有效應(yīng)對告警過載難題。

當(dāng)前，各類產(chǎn)業(yè)主體都在積極圍繞以XDR為代表的威脅情報(bào)技術(shù)及商業(yè)模式展開探索。在有科技產(chǎn)業(yè)界風(fēng)向標(biāo)之稱的Hype Cycle（技術(shù)成熟度曲線）中，端點(diǎn)安全和安全運(yùn)維都提及了XDR技術(shù)。此外，據(jù)ESG對339位企業(yè)安全專業(yè)人員的調(diào)查數(shù)據(jù)顯示，58%的人認(rèn)為XDR可以通過增強(qiáng)、改進(jìn)、聚合當(dāng)前的安全分析功能來實(shí)現(xiàn)SOC的現(xiàn)代化，55%的人認(rèn)為XDR可以通過與SOAR集成來實(shí)現(xiàn)安全流程自動化。

XDR已獲得市場發(fā)展的絕佳時(shí)機(jī)，安全技術(shù)廠商正抓住機(jī)會，聚焦企業(yè)需求痛點(diǎn)，探索XDR熱門解決方案的發(fā)展方向。

騰訊安全作為XDR探索的重要廠商代表，擁有20余年網(wǎng)絡(luò)攻防對戰(zhàn)經(jīng)驗(yàn)，一直以來都懷揣“做世界一流的威脅情報(bào)”的美好愿景，為用戶構(gòu)建更加穩(wěn)固的數(shù)字時(shí)代安全底座。

據(jù)白皮書內(nèi)容顯示，基于PaaS層的安全算力算法支撐，騰訊XDR方案可面向云環(huán)境和私有化環(huán)境分別提供針對性方案，覆蓋客戶IT各類場景需要，同時(shí)其云原生方案集成度高、部署成本極低、SaaS化服務(wù)即申請即使用，還可憑借云上各種基礎(chǔ)設(shè)施針對用戶訪問等場景進(jìn)行威脅檢測與分析，擁有包括云上成熟的大數(shù)據(jù)和機(jī)器學(xué)習(xí)能力、安全算力算法在內(nèi)的諸多優(yōu)勢。

騰訊XDR解決方案

例如，在公有云上，騰訊安全云上成熟的API接口可為XDR平臺提供較為便捷的響應(yīng)能力，同時(shí)借助CWPP、WAF、iOA、SaaS等產(chǎn)品，還可針對混合云環(huán)境進(jìn)行滲透，實(shí)現(xiàn)對混合云的集中威脅檢測與響應(yīng)；在私有化環(huán)境中，騰訊安全將iOA終端安全、NDR解決方案進(jìn)行整合，兼顧環(huán)境特點(diǎn)的同時(shí)接入更多第三方設(shè)備告警與日志；針對云環(huán)境和傳統(tǒng)IT環(huán)境并存的客戶，騰訊安全通過SIEM實(shí)現(xiàn)對多套XDR平臺結(jié)果的整合，滿足客戶合規(guī)和審計(jì)方面的需求。

Gartner聯(lián)合騰訊安全XDR白皮書的發(fā)布，勾畫了更為清晰的XDR發(fā)展歷程，對于不滿足于現(xiàn)有獨(dú)島式、分散安全能力現(xiàn)狀，希望提升安全威脅應(yīng)對整體能力，以及采用集成化、可演進(jìn)式的安全體系建設(shè)的企業(yè)送來了“及時(shí)雨”，同時(shí)也為傳統(tǒng)安全系統(tǒng)進(jìn)化提供了新路徑。

從發(fā)展理念上來看，白皮書構(gòu)建了一個(gè)清晰的、基于XDR的發(fā)展愿景。隨著數(shù)字化時(shí)代網(wǎng)絡(luò)安全領(lǐng)域攻防對抗的不斷升級，XDR匯聚跨產(chǎn)品、跨層級的全局安全數(shù)據(jù)，利用機(jī)器學(xué)習(xí)等技術(shù)提升對全局?jǐn)?shù)據(jù)的關(guān)聯(lián)和分析能力，提升高級威脅的發(fā)現(xiàn)能力和發(fā)現(xiàn)速度，有效解決當(dāng)前孤島式安全能力建設(shè)難題。

從技術(shù)手段上來看，白皮書提到的云原生是XDR實(shí)踐的一個(gè)新方向。XDR廠商將考慮針對公有云提供針對性的安全方案，以更好的兼容混合云架構(gòu)，同時(shí)以XDR集成一體化聯(lián)防聯(lián)控思想搭建的云原生安全體系，有效提升針對各類威脅的檢測能力、響應(yīng)效率，并通過SOAR提升響應(yīng)自動化水平，降低MTTR。

從實(shí)踐落地上來看，騰訊安全為云上XDR探索提供了參考模板。目前使用騰訊云上XDR方案的客戶，可將公有云上失陷事件的MTTD時(shí)間減到分鐘級。依靠云原生XDR方案和SIEM結(jié)合的方式，客戶得以實(shí)現(xiàn)各類IT環(huán)境下的統(tǒng)一威脅運(yùn)營，依托自身成熟的云上安全能力，騰訊率先在國內(nèi)拓展云上XDR方案，并對私有化場景進(jìn)行賦能。

我們看來，白皮書梳理了XDR演進(jìn)與應(yīng)用，有利于推動后續(xù)標(biāo)準(zhǔn)的共建。未來，平臺SaaS化是必然選擇，XDR會朝著技術(shù)更加成熟、產(chǎn)品集成能力和標(biāo)準(zhǔn)化程度更高、安全廠商間的合作更加緊密的趨勢發(fā)展。XDR在繼續(xù)聚焦事件響應(yīng)的同時(shí)，會加強(qiáng)事件的背景和損害判斷，行業(yè)內(nèi)將逐步形成一些針對事件調(diào)查的通用方法與標(biāo)準(zhǔn)。

點(diǎn)擊“以下鏈接”可進(jìn)入Gartner官網(wǎng)閱讀完整版騰訊安全&Gartner聯(lián)合發(fā)布的《XDR，威脅檢測與響應(yīng)的利器》白皮書。