近年來，隨著數字產業化和產業數字化進程加快，網絡安全的基礎性、關鍵性作用更加突出。加之百年變局和世紀疫情交織疊加，國際環境日趨復雜，網絡霸權主義對世界和平與發展構成威脅，國家產業鏈、供應鏈及關鍵基礎設施頻繁遭受沖擊，網絡空間安全的形勢復雜多變，針對關鍵基礎設施行業和新技術、新場景的網絡安全威脅事件頻發。針對企事業單位的網絡攻擊正在變得更加隱蔽和復雜，攻防對抗從原來的技術之爭演變為速度之爭。雖然此前已配備了防火墻、IDS、 IPS、WAF、SIEM、SOAR等安全設備，但這些設備每天產生海量告警，且來自不同廠商的設備各自為戰、檢測割裂，難以將多個節點的痕跡自動關聯成一個完整的攻擊案件，安全團隊及時跟進告警分析與事件響應的難度大。

　　報告顯示，當前威脅檢測和響應工作和兩年前相比更加困難，一是威脅數量大幅增加，運營層面沒有將攻擊痕跡自動關聯成攻擊案件；二是有效攻擊識別及處置不夠智能化，安全人員在無效事件處理上耗費大量時間；三是響應手段不夠實戰化，當安全事件發生時，響應時間按天計算；四是業務安全能力無法做到精細化和場景化，處在宏觀可視層面，難落地。用戶迫切需要一個更加實戰、精細、智能的安全運營平臺，解決威脅事件的檢測、溯源、取證、響應與處置問題。

　　在國家網絡安全宣傳周開幕首日，專注「網絡攻擊溯源」的安全廠商中睿天下正式發布XDR整體解決方案，這是一套站在“攻擊者視角”，基于“攻擊對抗”思想融合EDR、NDR、MDR、情報云能力，具備安全能力組件化持續擴展與集成特質，面向威脅事件的實戰化對抗安全運營平臺，該平臺包含監測、溯源、防護、響應、對抗、運營六大邏輯板塊，實戰化運營從攻擊前認清風險、整改加固、定期演練，攻擊中攔截、監控、溯源、應急，攻擊后修改整改、常態運營共計三個方向九個動作展開，對客戶云、網、端進行威脅檢測與響應，有效提升客戶的安全運營效率，提高威脅檢測精度，節省人員成本，縮短應急響應時間，實現安全運營的降本增效。

　　在XDR技術中

　　X不應該是一個未知數

　　2018年，Gartner 提出了XDR（Extended Detection And Response：擴展威脅檢測與響應）的概念。XDR作為一項新興的威脅檢測與響應技術，結合數據中臺技術、自動化編排技術及安全分析技術，形成面向已知和未知安全場景的綜合性安全解決方案。其中，“X”代表著安全能力的持續擴展。

　　2022年，在Gartner發布的安全運營技術成熟度曲線（Hype Cycle）中，XDR更是站上Peak of Inflated Expectations的頂端，成為安全運營體系中最炙手可熱的技術之一。

　　劉慶林談到，在Gartner提出XDR概念后，國內部分安全廠商開始了相應的產品研發，但由于各家安全廠商對XDR概念的理解不同，產品也存在較大差異，這種差異性為用戶帶來巨大困擾。

　　“針對新的安全概念，用戶的感知不像安全廠商那么敏感，他們的關注點會聚焦于如何解決面臨的實際需求上。安全的概念層出不窮，但是用戶的痛點變化不大，他們剛剛理解了什么是EDR、NDR，XDR又馬不停蹄地出爐了。甚至有用戶開玩笑說，什么是XDR？X就像是一個需要不停投資的無底洞。”

　　劉慶林表示，從技術視角看，XDR并非新鮮事物。在更復雜的安全形勢下，用戶更加聚焦實戰攻防并以結果為導向，XDR能夠將原有的安全技術和手段進行有機地排列組合，通過系統的更新和升級，更有效的解決檢測與響應的難題。從嚴格意義上來說，XDR并不是一項創新的安全技術或產品，而是面向高級威脅提出了更有效的安全運營解決方案。

　　“從Gartner的定義來看，XDR被稱為可擴展的威脅檢測與響應技術，它仍然是以威脅為對象，解決當前檢測與響應技術方面的不足。早在XDR提出之前，國內就已經在強調‘云管邊端’的防護理念，如果在這個基礎上增加‘人’的維度，就已經符合了XDR在各個維度做擴展的思路。”

　　所以中睿天下對XDR的定義是：XDR是一個新一代安全運營解決方案，它采用平臺+組件+服務的組合方式，通過對終端、網絡進行數據的采集、處理和分析，能夠將不同時點產生的攻擊片段自動化整合成攻擊事件，并結合安全專家能力，進行自動化的攻擊研判、標準化的響應處理、更高效的攻擊事件處置，最終有效支撐用戶常態化的安全運營，為用戶的網絡安全賦能。

　　XDR的最終使命

　　解決聯防聯控、精準防護、人員能力的三大挑戰

　　過去二十年里，多數用戶已采購了防火墻、IDS、IPS、WAF、防病毒軟件等大量的安全設備和安全軟件，如何讓網絡中各自為戰的安全設備和軟件更加有效的協同運營，并以聯防聯控的方式使其各司其職并發揮應有的作用，這是擺在安全運營者面前的第一道難題。

　　此外，這種傳統的、碎片化的安全建設方案還催生出了告警風暴，用戶內部屈指可數的安全運維人員被淹沒在海量安全告警中。“所有的檢測設備都會提醒你疑似發現異常，但告警是否準確？攻擊是否真實發生？這個判定的過程本身就是一件很有挑戰的工作。”

　　在海量的告警信息中鑒別出真正有效的攻擊后，如何快速處置并將一個個獨立的攻擊片段聚類還原成一次系統的攻擊事件，繼而將多起攻擊事件串聯形成一個攻擊案例，并在下一次攻擊到來前實現精準防護，這是擺在用戶安全運營中的第二道難題。

　　最終，安全運營的種種問題還要回歸到“人”。安全產品的品類過于繁雜，這就對安全運營人員的能力要求極為苛刻，加之能夠精通多品類安全產品的安全運營專家具有一定的稀缺性，如何通過一套標準化、更友好的安全運營平臺，讓不同水平的安全運營人員都能及時、有效地進行標準化、流程化的安全威脅處置工作，降低對安全運維人員個人能力的依賴，成為擺在用戶面前的第三道難題。

　　劉慶林指出，隨著攻防對抗的日趨激烈，攻擊者也在向著更智能和更隱蔽的方向進化。“攻擊者的手段和技術已經有了大幅的進化，一個攻擊手法從誕生的那一刻起，就已經將如何繞過市面上的安全防護設備作為出發點。以秒撥攻擊為例，攻擊者會在一次攻擊事件中，利用秒撥的手段偽造10萬個以上的IP地址同時發起攻擊，而真正的攻擊則以加密數據包的形式隱藏其中，所以如何發現有效攻擊則成為防護的難點。”

　　劉慶林認為，以靜態檢測能力來對抗動態攻擊是當前安全運營頭號挑戰。“過去大家面臨的問題是怎樣發現自己被攻擊了，但現在面臨的問題已經變成了如何在獨立的攻擊碎片中發現更深層次的未知威脅，所以整個安全行業迎來了更大的挑戰，我們必須向下一個階段進化。”

　　圖：中睿天下XDR解決方案架構

　　中睿XDR：九層之臺始于累土

　　以EDR、NDR為基礎組件逐步打造XDR閉環

　　計算機網絡由終端和網絡構成，不同的終端設備之間要通過網絡進行對話，這個過程中產生了大量的流量。因此，對終端和網絡流量數據的分析檢測是網絡安全最核心的環節。

　　劉慶林談到，在長期服務關鍵行業用戶的過程中，中睿天下深入了解用戶業務場景和真實痛點，多年來中睿人秉承實戰對抗的基因，面對真實威脅態勢，幫助用戶消除了一個又一個安全隱患。目前，中睿天下通過自主研發已經形成了系列產品布局：從網絡威脅檢測與響應系統（NDR）到終端威脅檢測與響應系統（EDR），再到托管檢測與響應服務（MDR），并構建了一整套具備核心競爭力的中睿天下XDR解決方案體系。

　　劉慶林介紹，中睿天下圍繞網絡層面打造了網絡攻擊溯源、Web攻擊溯源、郵件攻擊溯源、全流量回溯、資產風險監測、賬號安全監測、鏈接及文件沙箱、SSL解密網關、郵件網關在內的加密和非加密網絡流量檢測溯源系統，形成了中睿NDR產品矩陣；圍繞終端層面開發了基線檢查、調查取證、監測響應系列產品，安全分析對象涵蓋了操作系統（Windows、Linux等）、底層固件、內存、文件、日志、網絡及IOT設備等，形成了中睿EDR產品系列布局；圍繞實戰化對抗層面研發了攻擊決策輔助系統、釣魚演練系統、蜜網等產品矩陣，形成了中睿對抗產品矩陣；圍繞服務層面開展了溯源、應急響應、托管運營、專家值守、安全巡檢、風險評估等服務矩陣，形成了中睿服務產品矩陣；圍繞運營層面構建了微應用態勢感知平臺、睿云管控平臺、一鍵封禁等產品系列，形成了中睿運營產品矩陣。

　　他表示，中睿天下能夠解決的安全問題一直都十分明確，網絡層面幫用戶解決針對網絡威脅的檢測、發現、攔截、防護問題，終端層面幫用戶解決來自威脅發現、溯源、取證和防護問題；隨后依托可擴展威脅檢測和響應安全運營平臺，將來自不同安全廠商的不同類型、不同位置的安全設備連接起來，以精準防護的思路，從海量告警數據中將不同位置的攻擊片段抽離出來，組合成攻擊事件，事件組合成攻擊案件，最終以友好可視化的形式進行呈現，降低對于安全運營人員水平的依賴，幫助運營人員實現更加快速、高效的流程化處置。中睿天下XDR通過NDR/EDR/MDR全方位的數據采集和多源異構數據接入處理，采用大數據分析、機器學習、行為監測、安全建模、自動化編排、加密流量分析、狩獵誘捕、攻擊取證、追蹤溯源、攻擊畫像、云托管等技術，結合攻擊者視角、運營視角、業務視角，幫助用戶實現了對安全事件的檢測、溯源、取證、跟蹤、處置全流程閉環。

　　談及中睿天下這一套XDR解決方案的技術優勢，劉慶林分享到，中睿天下是一家將「網絡攻擊溯源」刻在基因里的公司，在公司成立至今的8年時間里，圍繞網絡威脅來進行持續對抗是中睿天下專注和聚焦的事情，足夠的專注也讓中睿積累下了獨具特色的技術壁壘。XDR同樣不應該是一個大而全的大雜燴式解決方案，而是要精細地深入到每一個威脅檢測單元去做精準的檢測和響應。因此，中睿天下實際上是把這道大雜燴中的食材全部拆分出來，對每一道菜品進行精加工，給用戶呈現出一桌滿漢全席。

　　什么樣的XDR解決方案才會得到甲方用戶的認可？

　　劉慶林認為，作為一個以解決安全運營痛點為目標的綜合解決方案，除了檢測與響應能力外，用戶體驗也是一個核心因素。安全人員短缺、能力參差不齊是每家甲方企業當前都要面對的現實問題，在有限的人力條件下，將來自不同設備的關聯性告警信息聚類成為一個安全事件，引入完全自動化、流程化、制度化的工作模式，實現提效減負。

　　例如，在國家電網的安全運營平臺中，中睿天下提出了5秒響應的理念，首次引入開關量模型并進行可視化展示，從而將安全運營工作簡化為兩種結果：安全OR不安全。綠燈亮表示安全；紅燈亮則表示檢測到有效攻擊，提醒運營人員迅速一鍵處置；若黃燈閃爍表示檢測到正在進行中的攻擊行為，需要予以關注。開關量模型讓不同安全水平的運營人員能夠最大程度提高運營效率，發揮自己的價值。

　　XDR未來的進化之路

　　精細化、智能化、個性化和場景化

　　采訪最后，我們請劉慶林就當前XDR未來發展方向的問題分享了他的洞察和思考。劉慶林認為，精細化、智能化、個性化和場景化將是未來XDR的重要方向。

　　首先，實現精準防護的唯一路徑，就是要從云、管、邊、端、人五個維度出發，不斷進行精細化拓展，最終以更細粒度的方式實現威脅檢測、發現、溯源和防護。

　　其次，要進一步實現更智能的安全運營，在XDR中規模化引入AI技術是一個必然趨勢。通過對威脅數據進行大數據的關聯挖掘和識別攻擊者，利用機器學習技術進一步快速判別攻擊手法，反向定位黑客，并進行攻擊溯源分析，促進XDR解決方案向智能化升級。

　　第三，為更高效的應對動態變化的安全威脅，防御側或將走向個性化，即依據不同終端的特性，自動化形成檢測與防護模型，實現更高效和準確的安全防護，這也是未來XDR進化的重要方向。

　　最后一個趨勢是場景化，過去安全行業做的事情更像是通用型解決方案，不管什么網絡都可以套用流量檢測系統。但是在不久的未來，無論是辦公網、生產網還是專網，都會更加的場景化。因此安全廠商需要更加深層次地了解用戶真實的訴求，甚至去補充用戶安全的角色，只有場景化才有可能打造出契合用戶需求的安全解決方案。

更多信息可以來這里獲取==>>電子技術應用-AET<<