XDR關鍵能力與產品演進分析

隨著人工智慧技術的快速融入，新一代網路技術使攻擊變得更加隱蔽和快速，基於對抗性機器學習的攻擊和高階威脅使攻防對抗的戰鬥越來越慘烈，而為了應對各種挑戰，“XDR”解決方案應運而生。在安全牛最新開展的《XDR技術應用指南報告》研究專案中，我們透過對國內外安全廠商XDR發展現狀以及甲方企業應用需求的調研，對XDR進行了以下定義：XDR是一種新一代安全技術框架，全面收集威脅情報、端點資料、安全日誌、流量分析資料以及雲端安全資料等企業安全運營資料，綜合利用大資料、人工智慧、自動化技術，以體系化方式實現對威脅或攻擊的快速檢測和響應。

當前，越來越多的安全廠商推出XDR產品或方案，但是因為資料處理（多源資料處理解析、業務場景建模、威脅分析等）的演算法和能力基本隱藏於幕後，它們之間也沒有統一標準，導致廠商之間能力差異較大。同時XDR作為一種高互動體驗型的產品，在視覺化、自動化響應、關聯分析查詢時也會存在較大的應用體驗差異。

透過調研，我們認為合格XDR產品應該具備的主要能力包括以下方面：

1)  跨越網路、雲和端點進行分析，更快發現隱藏威脅

透過收集多種來源資料，並對上下文進行分析，實現對端點、網路甚至雲環境的全面可視和情境理解，一旦有攻擊發生，可以智慧檢測攻擊的每個階段，並快速識別。

2)  對威脅簡化調查和溯源

孤立的安全裝置每天產生海量的告警，安全人員不得不把大量的精力和時間消耗在這些“事件”上，XDR可以基於上下文安全資訊對警報進行關聯和分組，減少無意義的報警，只把有意義的告警生成事件提交給安全人員，透過智慧的關聯分析，實現事件溯源。

3)  自動化威脅響應

XDR提供自動化技術和工具，以減少安全人員手動操作的頻率和人為操作出錯的機率，提高安全運營效率；透過安全劇本編排將安全人員經驗固化為自動執行的劇本，配合安全裝置聯動響應，達到快速阻斷攻擊的目的。

4)  自適應最佳化

需要能夠融合第三方情報以及現有事件轉化而來的情報，不斷耦合威脅發現模型，進行自適應最佳化。

XDR在實際應用中能不能真正達到預期效果是企業CSO最關注的問題之一，組織在選擇XDR工具時需要綜合考評產品的實際能力，考慮XDR產品自身特點、以及使用體驗上的主觀影響因素等，各類考評指標難以具體量化。

因此，我們認為可以透過能力矩陣模型的方式來評估XDR產品的實際能力。我們將XDR能力級別表示為五個層次，五個層次在“視覺化”、“資料整合”、“檢測技術”、“響應技術”、“自適應最佳化”這五個方面均有不同的能力體現。

XDR能力矩陣

透過XDR能力矩陣模型，可以評估XDR產品對應的能力級別，並對XDR產品未來發展進行展望：

L1-基礎的威脅發現與響應

大部分的威脅告警、事件分析、事件響應任務都由安全運營人員完成，因為人工介入的工作很多，系統的聯動響應能力得不到發揮，也很難得到完整的攻擊路徑分析及視覺化呈現。

L2-基於已知威脅的發現與響應

能夠基於多種來源的安全資料進行分析並發現威脅，能夠發現簡單的攻擊行為並告警，但此級別的檢測與分析能力基本基於對已知威脅，事件響應往往還需要藉助人工處置。

L3-基於高階威脅的發現與響應

能夠對多種來源的安全資料進行關聯分析，並能透過機器學習和人工智慧演算法深度挖掘分析資料，從而發現一些複雜的攻擊以及高階威脅行為。透過聯動響應技術，對可疑及未知威脅，進行緩解或消除，協助安全人員快速溯源、調查取證，並顯示覆雜攻擊的完整攻擊鏈。

L4-自動化的威脅發現與響應

在L3級別的基礎上，透過內建或者自定義響應流程，自動化處理大部分的重複安全事件，透過與多種安全產品的聯動響應自動化阻斷、攔截大部分攻擊，對於關鍵資訊可以進行自動留存或者溯源分析。

L5-自適應的威脅發現與響應

在L4級別的基礎上，XDR系統透過自適應機制，將企業安全運營過程中總結的經驗，及與自身業務相關的威脅情報等不斷與系統耦合，不斷修正威脅模型，以增強對威脅的檢測能力，提高威脅發現的精準度。

目前，國內XDR還處於早期探索階段，但隨著市場需求的快速增長，安全廠商正在快速提升XDR產品的應用能力。國產XDR主要包括兩種產品發展路線：

一種是全面整合自有品牌下的大資料分析平臺、EDR、NGFW、NDR、蜜罐等單點能力，組成完整XDR整體解決方案，提供覆蓋終端、網路、應用、雲端等多層防禦的安全能力。該類XDR方案通常具備較豐富的私有API來執行自動化操作，可透過開箱即用式整合和跨產品的預先調優檢測機制，快速實現可擴充套件的威脅檢測和響應。

另一種型別是打造通用性、輕量化的XDR平臺，透過靈活、智慧化的日誌分析及關聯查詢，實現威脅快速檢測和響應。這種模式的開放性更高，可以對接更多第三方安全產品，透過標準協議或安全API與不同廠商的安全產品進行聯動響應，但在與第三方安全供應商進行能力整合時也將面臨挑戰。

根據報告調研，我們發現目前多數國產XDR產品（方案）在輕量化部署、複雜策略生成、快速關聯分析、智慧告警、快速溯源等方面表現穩定，具備了較強的可用性。但是，在安全能力整體聯動和實現自動化響應等方面，僅有少數頭部廠商產品表現較出色， 國產XDR解決方案要實現智慧安全運營所要求的理想價值，還需要一定時間的升級迭代。