xdr技术及行业发展研究报告.docx

XDR技术及行业发展研究报告 目CON录TENTS XDR概述 01 XDR发展背景 01 XDR的概念 03 XDR与防御体系建设 05 XDR国内外发展现状 06 XDR关键技术 09 全面遥测数据采集 10 自动化威胁狩猎 11 自动化响应 12 XDR 核心价值 15 应对潜伏威胁 15 根除攻击影响 17 多维安全视野 19 攻击可视化 20 发展问题及建议 21 平衡效率与隐私，逐步接受SaaS 21 关注AI+安全，提升行业生产力 22 建立互通标准，推动生态建设 23 01XDR概述 01 XDR概述 XDR O VER VIEW XDR发展背景 XDR发展背景 网络安全监测、预警、响应、处置是网络安全防护工作的重点。近年来，国家高度重视网络安全工作，先后发布了多项网络安全战略政策。《国家网络空间安全战略》明确指出需要建立完善国家网络安全技术支撑体系，完善网络安全监测预警和网络安全重大事件应急处置机制。《网络安全法》则提出了“国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏”的要求。 加强网络安全信息统筹机制、手段、平台建设，是提升网络安全事件应急指挥能力的有效途径。当前全球网络空间威胁水平不断提升，网络攻防对抗技术快速发展，网络安全防御存在着技术落后，甚至是失效等风险。在这种趋势下，业界普遍认为，拥有全局化、体系化的安全视角，掌握复杂的安全态势，是应对各类复杂网络攻击一种有效思路。在这种的理念驱使下，采用统一平台化构建的、拥有多维聚合检测和响应处置一体化能力产品方案则成为了一种业务共识。这也为之后 XDR 理念的提出和发展，奠定了重要基础。 XDR（Extended Detection and Response）最早由网络安全公司 Palo Alto Networks 的首席技术官 NirZuk 在 2018 年提出，之后被业界广泛接受。在必威体育精装版发布的《2022 Gartner 安全运营技术成熟度曲线（Hype Cycle）》报告中，XDR 登顶，被评为“安全运营体系中最炙手可热的技术之一”。各类的网络安全厂商都在考虑向XDR 技术转型，包括绝大多数 EDR 厂商，主流的 SIEM、MSS、NDR 厂商等。 XDR 理念是网络安全行业在近十年的网络威胁事件应对中，通过不断反思和探索而逐渐形成的。XDR 能够得到爆发式发展，并不是因为 Palo Alto Networks 公司或者 NirZuk 个人的影响力，而是网络空间安全的威胁态势、防御技术发展水平、数字化转型需求三方面因素共同作用的结果。 使整个行业认识到既有的被动防御难以应对当前面临的挑 使整个行业认识到既有的被动防御难以应对当前面临的挑战，大多数情况下企业要么已经被攻陷，要么在被 重新定义检测：2012-2013 年，多起 APT 事件被披露，展现出对各种高等级防护目标突破的普遍可能性， 攻陷的路上，这就需要在传统 IPS、AV 等特征检测防御的基础上，构建新的主动检测能力，以发现高级的、 隐蔽的渗透攻击行为。 发现响应价值： 发现响应价值：2015 年美国知名百货公司 Target 数亿用户隐私被窃事件，多种检测机制均产生了警报，但 事件却没有被及时处理，这件事引起了美国政府和安全企业的高度重视和深刻反思。由此认识到除了构建新 的检测能力外，为及时控制、清除已经在内部建立立足点的攻击者，还需要进一步完善事件响应能力，以保 障在攻击者完成最后的破坏、偷盗行为前进行有效地阻止。 构建统一平台： 构建统一平台：随着主动检测和事件响应相关技术和产品的发展，市场上出现了非常多种类的相关产品，如： NDR、EDR、SOAR、UEBA、SIR、NTA 等等，因为细分的产品太多，以致于在一个安全事件闭环运营过程中，可能 会涉及 10 个以上的安全工具或产品，这种情况不但效率低下，也难以通过相互独立的产品看到攻击的全景。 2021 年 2 月，CrowdStrike 的 CEO George Kurtz 就 SolarWinds 事件在美国参议院情报委员会作证，就强调 XDR 是跟上当今对手复杂性的关键创新：“长期以来，行业参与者一直专注于狭隘的解决方案。网络上的任何 盒子或单一用途的软件都无法覆盖全部范围。安全团队需要跨越整个环境的上下文和可见性，包括在云和临时 环境中。XDR 旨在通过在企业内部任何地方获得可见性和可操作性，从而将混乱的安全工具阵列变得井然有 序。正如本委员会所理解的那样，XDR 可能不仅仅是从信息过载中生成情报。” 如果威胁对抗的过程造就了 XD