深度：为什么 XDR是网络安全的未来

不仅企业混合架构变得越来越复杂，攻击方法也变得越来越复杂。除了利用零日漏洞之外，网络攻击者现在还转向高级攻击方法，例如，利用无文件恶意软件可以逃避检测并且不留下任何痕迹；多阶段攻击允许黑客在网络内长时间横向移动以执行侦察，从而提高攻击目标的成功率；利用供应链攻击下游企业和消费者；利用加密和数据泄露的双重勒索攻击；以及利用人工智能工具开展攻击。

日趋复杂高级的网络攻击给目前各种针对单一防护目的的工具，带来严峻的安全挑战，告警疲劳成为行业普遍现象。

美国工业安全先驱H.W.海因里希（Herbert William Heinrich）在1930年代提出的安全管理理论“海因里希安全法则（Heinrich's Law）”发现,每一起严重的工伤事故（伤残或死亡），背后大约有29起轻伤事故和300起无伤事故（或安全隐患）。

海因里希的安全法则强调，绝大多数事故都是可以预防的，且它们往往是由于人为失误、不安全行为或条件引起的。根据这个理论，通过积极地识别和减少小的事故和隐患，可以有效地防止严重事故的发生。

从20世纪60年代末的ARPAnet到80年代的“莫里斯蠕虫”,网络安全概念起源准确来讲其实很难考究，以网络安全现况来看，安全领域每年都会推出众多新的产品、热词、技术术语。然而，这些众多的解决方案可能只能解决部分问题，也是网络安全领域竞争激烈和内卷的一个主要原因。可以确定的是随着计算机技术、IT架构和网络模式的发展,网络安全讨论的话题和需要解决的问题始终是变化的。

两点之间的最短距离是直线。快速检测和响应对于减轻攻击造成的损害至关重要。网络防护的重点是如何缩短从检测到响应行动的时间。此外，网络防护，不仅跟上攻击者的步伐，还要预测和先发制人。

仅靠一群全明星运动员并不能保证胜利一样，靠聚集一系列最好的安全工具也不能确保防止攻击发生。XDR 平台可以！

XDR 平台可以充分利用每个可用的数据遥测源，有效减少网络噪音并发现潜在入侵或攻击的信号，从而可以实时检测和响应潜在的入侵和攻击行动。

企业用什么高效的手段去快速梳理存在的jar包,利用安装的Agent还是利用各类扫描器如漏扫工具? 或是各类安全产品或工具梳理出来的数据各种割裂,能快速看到吗?能全局看到吗?还是让IT系统或安全产品的厂商各自梳理下是否用到了相关的jar包?

XDR“看见应用环境能力”可以帮助企业提前梳理梳理应用环境台账,并持续监测企业业务环境下的应用环境变更,做到看的见、可审计、可追溯。

# 看见行为看见活动

恐惧往往来自对未知的焦虑,网络安领域也是如此,购买大量的安全防护产品,您是否感觉到安全了?

在攻防技战术各种绕过和对抗场景下，企业安全团队需持续的监控被保护对象的各类细粒度操作行为或活动,通过细粒度的行为变更实现第一时间的变化感知、风险感知、攻击感知。需要细粒度看见和审计防护对象的各类行为活动如进程启停事件、模块加载行为、文件操作行为、网络访问行为、注册表变更行为、浏览器访问行为、提权行为等。XDR提供了一种全新的视角来理解和应对网络安全威胁。通过深入观察和分析系统内部的各类行为变化，企业安全专家可以从中发现异常模式，及时识别出潜在的威胁, 以便能够发现并采取措施进行阻断。

# 看见风险看见攻击面

随着企业IT环境的复杂化和多样化,攻击者利用的手段也越来越多样化，特别是企业数字化转型下企业IT及业务系统变得越来越复杂，各种中间件、开源软件、Web应用、数据库、容器、云服务等,加大了企业网络安全风险。从内部网络到云基础设施，再到移动设备和IoT设备，构成了一个错综复杂的IT架构。每一个组成部分都可能成为攻击者潜在的目标，每一个软件更新、配置更改或新服务部署都可能引入新的安全漏洞，给攻击者留下可利用的空间。

虽然企业IT建设也不断加大了企业安全投入,然而受限与安全产品间的数据割裂,更多的企业始终无法持续的监测和收敛攻击面。

XDR可通过集成和分析来自网络、终端、漏扫等多个数据源的风险信息，提供了一个全局视角来观察和分析安全风险点。这种全面的监控能力使得XDR能够跨越传统的安全边界，实时监控整个IT环境的变化，动态发现新的漏洞和安全风险。结合资产属性特别是业务重要性等属性定义,XDR能够识别出异常行为和潜在的安全风险及背后可能存在的业务风险,给企业呈现全域的安全风险感知与洞察视角。

举例,近期公安部在面对越演愈烈的勒索攻击，一剑封喉地指出了问题的本质，大部分的勒索攻击是利用了高危漏洞、高危端口、弱口令渗透到企业并进行勒索攻击结果的达成。为了减少勒索攻击带来的社会危害，公安部针对企业“两高一弱”的问题，会持续的展开监管检查活动，目前已经有一些企业因为“两高一弱”的问题而导致攻击事件发生被处罚。

XDR可利用其自身风险及攻击面监测能力及整合第三方安全设备风险数据,可有效应对“两高一弱”(高危漏洞、高危端口、弱口令)的问题，以下我们将通过未来智安XDR看看如何应对“两高一弱”。

XDR平台内置了端点保护和响应（EDR）、网络流量检测和响应（NDR）、自动化编排（SOAR）等功能，同时能够协助企业监管第三方安全产品的数据进行统一分析，从全局的视角覆盖应用程序、网络、端点、云、邮件等多个通道的数据，以便全面地发现网络中存在的高危端口、高危漏洞、弱口令等风险场景。

综上所叙,XDR全面的“安全可见能力”有助于实现快速的安全威胁响应。一旦发现异常活动或安全威胁，拥有全面的“安全可见能力”可以迅速定位问题所在，并采取相应的措施加以应对，从而最大程度地减少安全事件对业务的影响，保障网络及业务的持续运行。

XDR中的“X”具备多维度的扩展属性，强调由孤立单点式威胁检测过渡到基于更多上下文数据的可见，进行全面威胁检测的整体安全思路的转变。XDR不再单纯依赖于端点、网络或其他安全设备进行告警发现和安全事件的标记，重视底层的数据变化，比如主机上的权限变更、文件变更、账号体系变更、系统负载的变化等，从而研判企业网络的安全风险，为企业安全运营带来完整的上下文和可见性。

在XDR的框架下，"X"代表的扩展性不仅仅局限于将不同数据源融合到一个视图中，更重要的是XDR利用这些数据来实现主动风险发现到主动威胁检测的转变。这一过程体现了XDR对于安全事件的深入理解和快速响应能力。

XDR平台首先通过对网络和终端等多个维度的安全数据进行实时监控，识别出潜在的风险点。这些风险点可能是一个异常登录尝试、不寻常的网络流量模式，或是系统配置的未授权更改。XDR利用基于多源数据的主动分析技术如基于ATT&CK技战术的异常行为检测，来识别出这些行为背后可能隐藏的风险。这种风险发现机制能够捕捉到从传统安全工具可能遗漏的细微风险信号，为下一步的威胁检测打下基础。

在风险被发现后，XDR进一步分析这些风险点，将它们与已知的威胁模式和情报库进行匹配，以判断是否存在实际的威胁。XDR不仅关注单一事件，而是将相关事件串联起来，形成一个完整的攻击链。例如，一个不寻常的文件下载行为，本身可能不会引起警报，但如果与之前的异常登录尝试相关联，则可能表明一个更复杂的攻击正在进行中。

XDR的核心优势在于其对安全事件上下文的深入理解。通过整合来自不同数据源的信息，XDR能够提供详尽的上下文信息，帮助安全分析师快速准确地判断威胁的性质和严重性。这包括攻击者的可能目标、使用的攻击手法、受影响资产的重要性等。这种全面的视角使得XDR能够在复杂的安全环境中，实现精准的威胁检测。

XDR 的核心优势和承诺之一在于能够实现流程自动化、有效分类警报并实现主动事件响应，特别是对于重大警报。如何实现？

企业日常安全运营工作往往会陷入海量告警的运营困局,数量庞大且包含大量的误报，使得安全运营团队难以有效地识别真正的威胁，进而无法展开有效的安全运营工作。XDR为多安全设备多告警的安全运营困局提供的有效的解决路径:

传统的调查和分析过程通常需要大量的人力和时间投入。安全分析师需要手动收集、整理和分析大量的安全事件数据，进行威胁排查和取证工作。这不仅效率低下，还容易导致遗漏或延误关键事件的响应。

提高效率是安全运营一个永恒的话题，追求效率或利用利用自动化提升效率的前提一定是充分考虑和兼容企业安全运营及关注点差异,在满足前者基础上构建的。

XDR自动化分析能力体现在构建完善的数据标准化及安全能力原子化基础上,XDR通过整合来自网络、终端和其他安全工具的告警和日志信息，提供了一个统一的管理平台。这种集中式的数据管理不仅减少了信息孤岛的问题，还使得安全分析师能够在一个平台上查看和分析所有相关数据，从而更快地识别和响应威胁。

基于上下文丰富和关联分析,实现威胁的有效过滤和优先级排序,让安全团队聚焦真正的威胁

（1）基于多维权重入侵警报分流

通过不同维度如入侵警报的优先级(包括高中低等)、资产的价值/重要程度等多维度定义,有效的对海量告警进行分类、圈定优先级。

场景假定:在纵深防御阶段的NDR/全流量设备产生大量入侵警报,其中涉及一般资产、核心资产、资产对业务的影响程度、资产与数据/隐私/机密的重要程度、告警类型的多维度,赛选/分流出需要重点分析的入侵警报。

（2）基于攻击技战术

通过透视攻击路径和常见攻击方式方法，依据当下常见的攻击技战术生产阶段性的安全事件,通过攻击技战术收敛和归类告警,实现某类攻击技战术的有效防御如针对owasp top10,owasp top10是最新入侵风险的风向标,对如何解决网络安全问题有着重要且积极的影响。持续跟进owasp top10的变更,基于owasp top10对网络安全进行整体上重新评估与风险量化并生成对应的安全事件。

（3）基于攻击时序

在面对海量零散告警背后黑客攻击技战术看似变幻莫测,但纵观其整个入侵/攻击过程,往往还是有一定规律可循的,如攻击前信息收集而触发的扫描探测类入侵警报,信息收集之后的漏洞利用如web网页扫描后发生组件漏洞扫描,漏洞扫描后发起缓冲区溢出攻击之后发现后门木马。基于攻击时序不断覆盖攻击场景,并提供可运营和建模能力,不断增强、收敛和挖掘高价值入侵警报形成安全事件。

（4）基于攻击实际影响/结果

部署了越来越多的网络安全防护产品,每天数万甚至上百万的告警都给安全运营带来严重的告警研判和安全运营负担,据相关数据统计部分企业的入侵误报率可高达90%,严重降低安全运营效率,更大范围的增加了真实告警多带来的攻击影响面。利用各类安全设备的数据和安全能力要素,综合研判入侵警报的实际影响并基于实际影响研判入侵有效性同时生成针对性的高价值安全事件。

举例:

1、全流量NDR发现文件上传漏洞利用同时发现上传webshell; 2终端EDR发现webshell文件落地、执行蚁剑连接、执行了whoami和ipconfig，然后上传并执行恶意程序artifact.exe，执行了whoami和ipconfig，然后进程注入到notepad.exe中，执行了whomai、ipconfig。

Broadcom、Cisco、CrowdStrike、Fortinet、Microsoft、Palo Alto Networks、SentinelOne、Sophos、TEHTRIS、Trend Micro和VMWare。都将XDR作为未来发展的重点，各有有不同的侧重与方向。

2022年全球XDR扩展威胁检测和响应市场规模为7.548亿美元，2023年预计将达到9.118亿美元, 2023年至2030年将以20.7%的复合年增长率(CAGR)增长。

图6 美国XDR市场增长预测

北美在2022年主导了XDR市场，占全球收入份额近 47%。由于为改进现有网络安全解决方案而增加的研发活动投资，美国和加拿大是该地区 XDR 解决方案的领先市场。由于英国、德国和法国等国家对威胁检测和响应解决方案的高需求，欧洲市场的需求也显着增加。

图7 北美XDR市场增长预测

亚太地区XDR市场因不断增长的IT支出和越来越多的数据泄露是推动区域市场增长的关键因素。根据GSM协会的数据，就连接数量而言，亚太地区是最大的物联网市场。因此，为了保护跨组织的数据（无论是物联网设备、电子邮件、云还是本地服务器上的数据），对 XDR 解决方案的需求预计会增加。

预计2023年至2030年，全球扩展检测和响应市场将以20.7%的复合年增长率增长，到2030年将达到34.098 亿美元。

2022-2023年主导全球XDR市场的主要参与者包括思科、趋势科技、微软、Palo Alto Networks、CrowdStrike、Fortinet、Trellix和SentinelOne等。这些安全厂商专注于通过实施新产品开发、合作和并购等增长战略来提高其市场占有率。这些战略进一步帮助市场参与者扩大地域并进入未开发的市场。

XDR的技术路线发展演进是一个不断进化的过程。最初，XDR主要集中在终端检测与响应（EDR）技术的扩展，但随着时间的推移，它已经演化为一个更广泛的解决方案，包括网络检测与响应（NDR）、云安全、身份和访问管理等。XDR的演进路径包括：

整体来说XDR产品的实现模式可以分为三种不同模式，分别是“原生XDR”、“生态XDR”，以及“混合模式XDR”。

“原生XDR”依赖厂商自身的安全防护和数据采集能力来实现XDR，具有实施方便、集成成本低、数据和响应能力可控的优点。然而，缺点在于安全防护产品可能存在数据和遥测能力不足的问题，可能影响XDR的整体效果。

“生态XDR”具有较高的包容性，可以复用甲方前期的安全投入和安全建设，但它严重依赖第三方安全设备，整体集成成本较高，数据质量、遥测能力和响应处置能力相对不可控，因为它依赖第三方设备，存在一定不可控的风险。

“混合模式XDR”融合了“原生”和“生态”XDR的优势，可以接入原生的自有安全组件和第三方安全防护产品，实现了更灵活的集成。不论是数据还是安全能力，都可以通过混合模式XDR实现集成，兼顾了自有能力和第三方设备的优势。

强大的安全覆盖需要最好的网络解决方案之间的集成和协作。同时，用户希望整合安全供应商和产品，发挥现有产品的价值，同时降低复杂度。实现安全设备实现无缝集成，对XDR至关重要，但目前市场上没有一家安全公司可以做到。

随着数字化转型的加速，企业的业务和数据不断向数字化平台迁移。虽然数字化带来了效率和便捷性，但也增加了网络攻击的风险。这使企业更容易受到各种网络威胁的威胁，包括恶意软件、网络钓鱼、勒索软件等。XDR作为一种综合性的威胁检测和响应解决方案，可以帮助组织更好地适应数字化转型，确保其数字化环境的安全性。

从长远来看，XDR扩展威胁检测和响应的效果保障之一是具备安全生态化与开放性。这一趋势反映了XDR解决方案的未来发展方向，旨在提供更全面、协同、互操作的安全体验，以更好地保护组织免受网络威胁的侵害。

安全生态化是指建立一个综合、多层次的安全体系，其中各种安全解决方案、设备、应用和服务能够协同工作，共同应对威胁。这种生态系统能够更好地捕获威胁情报、分享威胁信息，同时提供综合性的威胁检测和响应。通过构建安全生态系统，XDR可以更好地应对威胁的多样性和复杂性。

XDR供应商将积极与其他安全生态系统的参与者建立合作伙伴关系，包括安全技术提供商、威胁情报供应商、合规性解决方案提供商等。这些合作关系将有助于构建更综合的安全生态系统，为企业/组织提供更强大的安全保护。

XDR的开放性意味着它具有与其他安全解决方案和服务进行集成的能力。这种集成可以跨越不同供应商、不同领域的安全工具，使它们能够共同工作，共享威胁情报，提高整体的安全效能。这种开放性对于保护组织免受威胁至关重要，因为威胁的复杂性要求不同的安全工具之间能够有效合作。

XDR的开放性还涉及到支持开放标准和API（应用程序接口）。这意味着XDR解决方案应该提供易于与其他安全工具进行集成的接口，使不同厂商的安全工具能够协同工作。通过支持开放标准和API，XDR可以更好地实现多样化的集成，提高整体的安全性。