權威機構白皮書：XDR，威脅檢測與響應的利器

長期以來，無效威脅警報過載、安全運營效率低、安全威脅追溯難等問題一直讓網(wǎng)絡安全運維人員備受困擾，在此背景下XDR(擴展威脅檢測及響應)的理念及解決方案越來越受到行業(yè)關注。

近日，騰訊安全聯(lián)合Gartner撰寫的《XDR，威脅檢測與響應的利器》(簡稱《白皮書》)正式發(fā)布?！栋灼穼DR的演化路徑，核心能力、優(yōu)勢，以及XDR架構的適用性等進行了深入分析。同時結合騰訊安全的XDR相關實踐，對XDR的落地路徑以及未來發(fā)展進行了展望，以期給行業(yè)提供借鑒和參考。

(騰訊安全副總裁方斌寄語)

XDR助力企業(yè)構建全局主動安全防御能力

《白皮書》表示，孤島式的安全能力建設模式缺乏對全局安全數(shù)據(jù)的可見性，高級威脅的發(fā)現(xiàn)越來越難以通過單一的安全能力來實現(xiàn);并且海量信息的實時關聯(lián)和分析對安全算力要求極高，由于不同安全產(chǎn)品之間缺少數(shù)據(jù)的關聯(lián)，產(chǎn)生了大量無效的告警信息，降低了安全運維的效率;現(xiàn)有安全產(chǎn)品的自動化程度不足，導致網(wǎng)絡安全運營嚴重依賴安全人員的技術水平，難以保證對威脅的及時響應和處置。

面對種種難題，企業(yè)需要打破孤島式的安全能力建設模式，追求更高的安全運營效率和安全投入ROI。而XDR將終端、網(wǎng)絡、云和工作負載、威脅情報等層面的安全數(shù)據(jù)和安全產(chǎn)品，集中整合;將企業(yè)原有的安全孤島，通過歸一化的數(shù)據(jù)接入連接起來，集中分析，提供統(tǒng)一的告警處置界面，提供自動化的安全響應編排處置。使安全運營管理的視角，從局部躍升為全局。

(XDR模型框架)

具體來看，XDR可以聯(lián)動EDR、SIEM、SOAR等不同層面的安全產(chǎn)品的能力，實現(xiàn)跨產(chǎn)品、跨層級的安全數(shù)據(jù)獲取、威脅檢測和事件響應。同時，XDR基于大數(shù)據(jù)分析和機器學習能力，強化對高級威脅的分析，以及攻擊殺傷鏈的理解和還原，讓安全人員可以真正聚焦在數(shù)量有限且真正具備影響力的安全事件上;此外，XDR可以提供自動化響應威脅的技術和工具，讓用戶對文件、權限、主機和網(wǎng)絡執(zhí)行經(jīng)過預先設計編排過的手動和自動的補救措施，提高局部威脅發(fā)現(xiàn)、全局快速響應的能力，并減少對高水平安全運維人員的依賴。

從適用性上來說，XDR可以全面支持傳統(tǒng)IT環(huán)境、私有云、公有云、混合云、云原生等技術架構。尤其是云原生架構，可以為XDR提供超強的數(shù)據(jù)計算和存儲、細粒度的流量管控等能力支撐，云原生化SaaS形態(tài)的XDR產(chǎn)品更是能為用戶帶來即插即用的部署和使用體驗。

理論上，所有期待采用集成化、可演進式的安全體系建設的企業(yè)都適合采用XDR架構。但完成XDR能力架構是循序漸進的過程，需要企業(yè)在梳理已有的安全能力和方案的基礎上，定義威脅響應的優(yōu)先級策略，開放現(xiàn)有安全能力的接口，明確XDR與現(xiàn)有安全能力和方案的兼容需求;同時能夠接受升級XDR架構帶來的集成技術挑戰(zhàn)和時間損耗。

　　騰訊率先拓展云上XDR方案全面覆蓋各類IT環(huán)境

國際上，思科、微軟、Palo Alto Networks等科技廠商已經(jīng)探索出了相對成熟的XDR解決方案。而國內對XDR技術的探索實踐也從2018年左右開始起步。騰訊安全作為國內領先的安全服務提供商，依托自身成熟的云上安全能力，率先在國內拓展云上XDR方案，并對私有化場景進行賦能。

《白皮書》指出，騰訊XDR方案以天幕PaaS底層安全算力為驅動，通過對原有的云端威脅情報、哈勃沙箱分析能力、防病毒等能力整合，對各類威脅實現(xiàn)更深層次的研判分析。同時，利用CWPP和EPP產(chǎn)品完善的數(shù)據(jù)采集能力，對威脅技戰(zhàn)術做到有效監(jiān)測和覆蓋，再結合機器學習、圖計算、自動化編排等技術對告警中的進程、IP、域名、文件等威脅關鍵實體關系進行拓展，以有效的對事件發(fā)生過程和相關性進行分析。

騰訊XDR方案還可以根據(jù)企業(yè)實際網(wǎng)絡環(huán)境定制，充分考慮公有云環(huán)境和傳統(tǒng)IT環(huán)境的差異，分別定制兩套相對獨立的技術方案應對不同應用場景。

(騰訊XDR解決方案)

公有云環(huán)境中，依賴騰訊云上豐富的大數(shù)據(jù)計算算力資源，結合多年積累的威脅情報、機器學習算法、專家知識等能力能夠自動實現(xiàn)事件分析與調查，同時云上成熟的API接口能力可以為XDR平臺提供較為便捷的響應能力，可以為客戶提供一鍵響應，自動化響應等能力。公有云XDR方案可以依賴CWPP、WAF、云防火墻、iOA SaaS等產(chǎn)品針對混合云環(huán)境實現(xiàn)集中威脅檢測與響應。

而在私有化環(huán)境中，騰訊將iOA終端安全、NDR解決方案進行整合，可以實現(xiàn)對私有化環(huán)境下的威脅檢測與響應。同時，為了兼顧私有化環(huán)境中往往存在多廠商安全設備的現(xiàn)實，騰訊私有化XDR方案中，將接入更多第三方設備告警與日志。針對云環(huán)境和傳統(tǒng)IT環(huán)境并存的客戶，依靠騰訊安全運營產(chǎn)品實現(xiàn)對多套XDR平臺的整合，滿足客戶合規(guī)、審計、重保等方面的需求。

除此之外，騰訊云XDR解決方案還可以提供MDR服務，為不同成熟度的客戶實現(xiàn)不同級別的安全操作能力。其中，對于資產(chǎn)規(guī)模較小的客戶，建議選擇安全事件監(jiān)測、響應、處置服務。對于安全要求較高的客戶，除提供上述服務外，還可以選擇風險咨詢/安全態(tài)勢評估、托管安全產(chǎn)品、威脅捕獲/威脅欺騙等。最重要的是，騰訊云MDR能夠幫助客戶憑借較低的投資獲得一套行之有效的、高度成熟的云安全運營流程。

XDR作為一種新興的技術理念，在解決網(wǎng)絡安全行業(yè)諸多痛點的同時，其實也面臨著許多挑戰(zhàn)。在市場方面，企業(yè)需要更多的成功案例來增強其投入動力;XDR檢測能力依賴單一廠商的產(chǎn)品能力集成，對客戶的安全產(chǎn)品供應鏈管理提出了挑戰(zhàn)。在技術方面，私有化部署和XDR龐雜的數(shù)據(jù)分析計算能力之間的矛盾需要突破;事件生成機制以及事件分析的方法還需要繼續(xù)完善并標準化。

不過，挑戰(zhàn)總是與機遇并存?！栋灼分赋?，未來XDR的發(fā)展將繼續(xù)聚焦在對事件的響應能力，行業(yè)將逐步形成針對事件調查的通用方法與標準。另外，通過SaaS化平臺來降低客戶部署XDR的復雜程度和高昂的交付成本也是必然趨勢。充分發(fā)揮客戶已投資的安全產(chǎn)品價值，助力客戶構建起更加主動的威脅檢測和防御能力，將是今后安全廠商在XDR領域共同努力的方向，也是競爭的焦點。

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）