随着数字化转型的深入，互联网成为新的企业网络，云成为新的数据中心，传统安全防御的空域、对象、攻击方式等均发生了根本性变化。因此，企业迫切需要新型的数字安全防御思路和手段来应对数字安全新威胁。

日前，360数字安全集团联合Gartner发布了《新一代 XDR — 面向未来的数字安全防御架构》白皮书，同时，凭借XDR创新技术入选嘶吼《中国网络安全细分赛道发展与技术创新趋势洞察报告》。

如何快速精准地感知风险、看见威胁、抵御攻击，是安全运营的核心难题。安全运营引入面向攻击攻击链的高质量多维数据关联分析技术，即XDR技术，成为行业共识。

为此，嘶吼对360数字安全集团副总裁余凯进行了采访，就安全运营面临的挑战、XDR的特点以及未来演进、360 XDR技术优势等话题进行了深度探讨。

落一子而全盘活

数字化转型新形态下，企业业务应用呈现数字化、服务化、线上化的发展趋势和特点，数字资产密集联网，网络边界更加模糊，内外部威胁更加高级未知，保护核心数据资产面临巨大挑战。

《新一代 XDR — 面向未来的数字安全防御架构》白皮书里指出，现在数字时代面临着外部和内部双重安全压力：外部威胁持续升级，造成告警风暴无法应对、高级威胁无法看见、安全事件难以处置等三大困境；内在固有脆弱性难以解决，存在安全人才奇缺、安全技术碎片化、运营流程无法量化改进等三大瓶颈。

在余凯看来，安全运营需求有很多层次，对于大型组织而言，“假设失陷”(Assume-breach)，“敌已在我”是一个必须面对的高频常态。客户需要能力开放和可成长的一体化平台全面整合并激活既有纵深防御体系上的众多孤岛产品。而无论是缺人还是告警风暴，还是碎片化、烟囱化的产品难以运营，它的本质和源头是检测黑洞的问题，通俗来讲就是无法精准“看见”攻击的问题；对于中小企业而言，面对勒索、黑产等现实压力，急迫需要已被头部验证过的一体化开箱即用，简单有效合规的高性价比安全运营产品和服务。

XDR是破局上述安全运营挑战，“落一子而全盘活”的关键技术。

为了解决“看见”的难题， XDR（Extended Detection And Response：扩展检测响应）作为新兴威胁检测与响应架构一经提出便受到行业普遍关注，有望大幅提升安全运营效率和效能。XDR的核心是攻击链检测，“X”代表着以终端为起点的安全视野持续扩展。XDR将特定供应商的多类安全产品，原生地集成到一个统一的安全运行系统中，共享安全大数据，提供一体化威胁检测、告警管理和事件研判响应处置能力。360 XDR 产品以“打破安全孤岛，实现有效的检测与响应”的理念为驱动力，来解决数字时代新威胁格局下“看见”威胁的难题。

以“酸狐狸事件”为例，终端探针设备，采集终端上的进程、文件、注册表以及敏感API调用等遥测数据，识别恶意软件的植入、劫持、上传数据等行为；流量探针设备，通过采集网络会话的元数据，识别异常流量，发现诸如中间人攻击、下载恶意软件以及外连命令控制服务器等行为；360 XDR 可进一步关联终端和流量数据，分析还原整个攻击链路，方便安全团队研判。

同时，能自动化提取威胁攻击IOC和标记受害资产，预置的自动化预案自动调度防火墙对 C2 地址进行封禁，调度终端防护系统扫描受害主机隔离恶意文件。通过部署360 XDR，企业能有效提高威胁检测精度，大幅提升安全运营的效率，缩短 MTTD和MTTR。

未来的XDR的演进

传统的单点安全技术工具正在形成新的安全孤岛，如传统 VPN 等甚至成为攻击者的攻击目标。传统安全工具产生的越来越多的报警使得安全运维团队筋疲力尽，海量的报警淹没了真正重要的安全风险，为对手创造了更多的攻击机会，导致防与攻的差距不断拉大。

未来的 XDR将更加开放，通过对所有安全操作中的事件进行管理，并提供持续监控和分析，为零信任计划的实施提供原生的决策支持。

360多年以来在云端发力成功实践了基于海量大数据、威胁情报以及机器学习能力和云计算框架支持的原生XDR 技术，同时为企业提供基于SaaS的云原生XDR 服务。相信随着数字化转型深入，国内大多数企业会逐渐拥抱云原生的XDR技术和服务。

“现在有些企业组织非常担心，比如隔离问题，如何把数据开放出来去接受SaaS，但这个趋势是不会改变的。所谓是否支持SaaS化，本质上，在于是否能够真正看到SaaS化带来的收益改变。我们首先会通过原生XDR产品，让中小客户真正感受到XDR降本增效的价值。同时，在这个过程中，慢慢地将客户引导到云原生的SaaS XDR上面来，这也是国际上获得广泛共识并行之有效的选项”余凯说到。

同时XDR开放框架将鼓励社区力量进行联防，鼓励提供开放式XDR和大数据分析、威胁检测、攻击面管理、调查和响应等标准框架支持；该框架也将更广泛的与托管安全服务提供商（MSSP）、托管检测和响应服务（MDR）以及系统集成商（SI）等进行合作。

长远看，XDR将超越技术本身，成为数字安全通用架构，成为一种思想和哲学：即从对手视角出发，以结果为导向，以运营为中心，打破对手藏匿的筒仓和传统安全工具的孤岛，针对威胁而不是报警不断优化快速“看见”和极速响应能力的方向不断演进。

选择一条“难而正确”的道路

“和国内大多数厂商相比，360选择了一条难而正确的道路，坚定地将XDR构建在EDR和大数据分析上。在XDR的探索上，360本身拥有一个非常庞大的安全运营系统，再结合最佳实践，在头部行业最难的场景下先去落地。在技术路线上，360和国际上行业的主流选择是一致的、趋同的。”余凯对嘶吼说道。

Gartner最新发布的安全运营热度曲线报告《Hype Cycle for Security Operations,2022》中指出，XDR 技术正处于“期望膨胀顶峰期”（Peak of Inflated Expectation），市场关注热度极高，相关的各项技术在行业中，均处于快速发展期。

余凯强调，XDR的起点是过硬的终端安全技术和大数据分析技术。可以看到，国际上优秀的XDR厂商，不管是CrowdStrike由EDR起家，再通过和Humio技术结合，或是IBM由QRadar收购新兴终端安全厂商ReaQta，或是Elastic收购Endgame，还是微软通过Defender和他的大数据系统整合，背后都反复地在证明一件事情，XDR最原始的胚胎是由终端与大数据产生化学反应。

而在这个过程中，逐步丰富的AI、攻防知识百科以及BAS安全评估等技术可以敏捷地迭代，将整个XDR技术变成扎实的系统性创新。XDR是一项整合型、复合型技术，是硬核技术发展到高峰的自然成果。

在近20年的实战中，360进化获得了行业内最强的终端安全技术和大数据分析技术基因，并逐步迭代形成七大核心优势：EDR上高质量事件的捕获能力、全网安全大数据、运营商级大数据处理及灵活低代码分析技术、AI人工智能技术、创新智能安全评估 BAS技术、360 APT基因库和攻防知识百科、世界顶级安全运营和对抗专家服务。

余凯认为，其中，BAS技术的本质和难处不在于功能，而是能不能够持续地将知识化的攻击技战术和攻击链重放出来，去针对安全纵深防御系统做高效自动化的评估验证。中间需要有两个非常核心的技术：

一是有没有全量的、足够看到的攻击的技战术和攻击链的知识库积累，这是非常难于在短时间内一蹴而就的事情；二是能不能够开放地接入和识别市面上众多厂商的设备，类似于SIEM做安全管理的能力，是浮在水面之下BAS技术的挑战。而在这点上，360已经实践了很长的时间，BAS技术能真正地形成XDR的伴生技术，去驱动它的有效性。

“未知攻，焉知防？现在国内大多数厂商事实上是由人直接在做引擎和产品的优化，中间是有断档的。安全人员往往没有办法直接参与到产品开发上，他们之间存在认知壁垒。国际上虽然公布了ATT&CK的标准，但内容并没有公开。所以，我们的原则是模型兼容、内容自建、领域创新，慢慢地积累自己的一套攻防知识图谱，这也是360 XDR得以领先背后不一样的黑科技所在。”余凯说到。