智能化安全对抗与运营——火线云XDR平台创新发布

随着攻防对抗的不断升级，企业面临的安全挑战也愈发严峻，传统孤岛式的安全能力建设方案不仅缺乏对安全态势的整体感知，在面对海量的告警数据时，也无法及时排查出有用的告警信息，导致安全运营人员难以提高响应处置效率。

总结以往的攻击事件，可以得出其有以下主要特征：

对于攻击者而言，了解企业外部暴露的攻击面信息尤为重要，比如暴露在外的资产服务器、敏感信息等，一旦拿到了这类信息，就相当于确定了攻击的目标范围以及可使用的攻击方式，在攻击时可以轻松地做到有的放矢。因此，企业需要全面了解攻击面信息，掌控自身环境的安全情况。

以高级可持续性攻击为例，整个攻击过程包括前期的信息收集、后续的攻击渗透，以及最后的痕迹清除，而且一般都是悄无声息的，如果没有部署有效的安全防护软件或者检测响应系统，就会导致企业出现数据丢失、泄露、加密，甚至财产及名誉损失等情况。

这些告警包括流量告警、端点告警等，而这些告警可能来源于不同平台或产品，需要安全运营人员依靠人工去分析、研究、调查，还原真实的攻击事件，并且响应处置；这就需要运营人员在各个安全设备之间来回切换，还需要手动设置处置策略，不仅费时费力，最后可能直接被淹没在海量的告警信息里，错失最佳的防守时机。

实际的攻击场景中，攻击者往往只需要抓到一个防御缺陷进行利用，就可能导致企业整个网络安全受到威胁，这就需要企业在防御时对企业网络的每一处都做好相关的防御策略，并且需要了解策略的真实防御效果，但做到这些并非易事。

XDR，全称为Extended Detection and Response，即可扩展的威胁检测与响应。Gartner连续两年将其列为十大安全项目之一，并指出XDR能够将多个安全产品集成至统一安全运营系统，主要功能包括安全分析、告警关联、事件响应和事件响应剧本自动化。

火线云XDR不仅拥有上述能力，还具备自身特有的核心优势。

考虑到攻防不对称导致的问题，火线云XDR首次将AI蓝军机器人“击虚”与平台能力相结合，用人工智能替代传统渗透测试服务，在真实环境中利用AI机器人，全天候主动、持续地进行模拟黑客攻击，在真正的入侵者攻击主机资产之前发现可利用的漏洞、还原攻击手法，并将攻击链路完整地展现给用户，实现完全从“黑客”视角评估资产的安全态势，量化评估风险，验证企业当前安全防护手段的有效性，并帮助企业精确定位资产安全隐患，防患于未然。

火线云XDR帮助企业提前预知资产可能面临的所有攻击风险，同时和防护模块有效联动，检测防护体系的不足，通过矛与盾的不断PK提升客户的安全水位，确保真实攻击发生时已做好万全准备，使防守立于不败之地。

为了解决不同产品多维度频繁告警的问题，火线云XDR基于存活性扫描的资产主动探测技术、深度协议解析的流量协议分析技术、第三方平台的多源数据融合技术，将来自云、网、端等多源异构数据统一整合汇聚至火线云XDR，通过自研的AI研判引擎“觅踪”，实时匹配环境安全状态、多源研判安全事件，结合关联分析、上下文分析和情境分析，解决99%的安全误报问题，从而帮助运营人员精确梳理内外网资产，感知资产整体安全态势。

当前安全防护体系由于安全运营困难，变成自动化攻击（精确制导）和人（人肉）的对抗，响应效率无比低下。火线云XDR打破传统的靠人的响应模式，从整体安全运维的角度出发，将分散的检测与响应机制整合起来，自动化完成安全事件的处理流程。当安全事件发生时，火线云XDR的处置策略功能自动将各类安全应急响应过程中的动作进行组合，借助编排好的安全应急响应剧本自动开展应急响应工作，执行各类预案并快速处置安全事件，实时阻止各类入侵行为。此外，企业的安全运营人员也能够从重复繁重的工作流程中解放出来。 

火线云XDR提供公网SaaS服务，一键安装部署agent，即可接入全面的XDR安全能力。

火线云XDR支持绝大部分主流Linux/Windows系统，适用本地物理环境、私有云、公有云、混合云等复杂架构，集中管控。

火线云XDR内置安全市场模块，可接入第三方安全能力，提供多元化的安全治理手段，且无需购买大型成套系统，按照实际需要订阅服务。

火线云XDR具备云端AI安全能力，持续进化升级，无缝获取最新的安全能力。

火线云XDR通过Agent+私有堡垒机的部署模式，并借助智能安全运营+AI蓝军及安全市场接入默安科技高级威胁狩猎与溯源系统“幻阵”，在攻防演练期间可以做到“一键接入部署”、演练前“模拟攻击”、演练期间“智能值守”。

火线云XDR基于Agent+堡垒机的模式，可以帮助客户快速进行部署，无需硬件设备，即可完成跨网段网络环境资产的部署安装。

火线云XDR的AI蓝军模块，本身具备“攻击队”的攻击能力，可以帮助客户在演练前深入发现“资产暴露攻击面”、梳理资产应用服务“指纹”信息。并通过模拟攻击队“打点”的过程，帮助演练用户发现重点防守缺陷，做好演练前的安全预防工作。

火线云XDR的安全运营模块，可以做到精准检测来自攻击队的攻击入侵事件，并提供“战时防护策略”，进行自动化防守；同时，在安全市场模块中提供默安科技高级威胁狩猎与溯源系统“幻阵”产品的集成，通过火线云XDR可以快速完成蜜网部署，进行攻击事件溯源分析。

针对部分企业资产多、业务更新快、渗透测试服务效率低；风险漏洞误报多，无法确定相关漏洞的影响范围，导致等保测评难通过的情况，火线云XDR通过在终端或云主机上安装Agent，对终端数据统一收集和管控，发现安全漏洞风险，确定漏洞影响范围，并提供修复建议；创建AI蓝军任务，进行全天候的自动化渗透测试且生成报告，不仅减少了人工渗透成本，而且安全建设成本低，无需增加任何硬件设备。

混合云场景下，企业面临资产数量多，位置分散，容易感染勒索病毒、变种木马，云上云下安全设备多、告警多、误报多，分析难等困境，从而导致安全事件处置复杂，响应速度慢，响应效率低，运维难度大，耗费时间长。

通过火线云XDR对终端数据和第三方数据进行统一收集和管控，精确梳理资产，发掘资产弱点，然后对数据进行分析，对高级威胁进行监测，对勒索病毒进行实时防御，利用AI蓝军模拟入侵攻击，对未知威胁事前预防，实现内网资产可视、威胁可控、自动响应、联动处置。

长沙火线云网络科技有限公司是默安科技的全资子公司，专注于威胁检测与安全运营领域，基于以攻促防、AI驱动的核心理念，推出业内首个集成AI蓝军的SaaS XDR安全平台，助力广大政企用户全面提升安全事件的检测和响应能力，构建智能化的安全运营体系，适用于常态化安全运营、攻防演练、自动化渗透测试、跨云安全管理等多种场景。