由“被动死守”到“主动响应” XDR如何应对数字时代威胁？ - 网安

作为近两年最为热门的安全技术方向，XDR成为被Gartner《Top Security and Risk Management Trends》报告提到的第一项技术和解决方案。在素有科技产业界风向标之称的Gartner Hype Cycle（技术成熟曲线）中，端点安全和安全运维两个Hype Cycle也都提及了XDR这项技术。

对于XDR，虽然很多安全厂商给出的定义都不尽相同，但是却有这样一个基本的共识：它不仅是众多安全能力的集合，更将这些单独的能力进行全面协同，从而使之成为上下联动、前后协作的有机整体。虽然XDR仍处概念阶段，但其最大优势在于把此前已经发展相对成熟的安全解决方案进行融合，发挥各自长处形成功能更为完整的解决方案。

从EDR到XDR，看懂“点线面体”才有能力谈安全战略

提到XDR，就不得不先提及一下EDR的发展路径，业界普遍认为XDR源于EDR（端点检测与响应）。EDR脱胎于EPP这种传统安全产品，在EDR出现之前，终端安全的核心能力还在于杀毒能力。不同于以往的端点被动防护思路，EDR通过云端威胁情报、机器学习、异常行为分析等方式，主动发现来自外部或内部的安全威胁，并进行自动化的阻止、取证、补救和溯源，从而有效对端点进行防护。

基于特征库的传统查杀软件由于更新速度慢，因此对新型威胁的防护响应很慢，只能在威胁发生后进行防护，属于被动防护。而EDR以主动防护视角填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。

虽然EDR很有价值，但它的焦点只放在端点本身，属于“点”的范畴，无法做到更大范围的威胁检测和响应。该技术类似于从轮船舷窗往外看，视野相当有限。如果想要得到更多方面的信息，仅从舷窗是看不出什么的，只有走上舰桥才能获得全面视野。

因此，除了对端点的检测和响应，XDR还有另一个关键点就是NDR（网络检测与响应）。NDR是在网络边界上进行检测与响应，可以用来检测用户在网络上的行为轨迹，属于“线”的范畴。与传统的IDS产品相比，NDR技术不依赖于特征库，也不基于某个特定业务或资产对象，而是通过对于流量变化的监测和分析，形成相对准确且能动态调整的网络流量行为模型来发现风险和异常，从而极大提升了对于新型威胁的检出能力和安全运维效率。

可以看到，无论是EDR还是NDR，都强调对新型高级威胁的检测和响应能力。正如Gartner所预测，未来五年企业网络安全支出战略将发生重大改变，重心将从“阻止”向“检测”和“响应”倾斜。微步在线CEO薛锋也表示，检测技术是一种核心技术，将在未来的安全方面发挥重要作用，而由情报驱动的安全检测和响应体系将是大势所趋。

微步在线CEO薛锋

九层之台起于垒土，“云+端点+流量”协同安全能力至关重要

目前，市场上不乏单一安全能力做的十分出色的厂商，各家产品虽然单独应用起来没有问题，但由于缺乏产品间的联动，导致安全能力输出各自为战。

SIEM（安全信息和事件管理）作为一种成熟的安全集成方案，被很多企业用于安全运营中心。但其弊端在于仅仅做到了日志收集，将成千上万的告警展示出来，这对于日常安全运营而言基本上是无效的。由于无法将多维度的日志和事件数据进行协同分析，SIEM在检测和响应上存在诸多痛点如：抓不到、告警多、溯源难，更不用谈全面感知和及时响应了。

为了解决这个问题，不管是平时还是“战时”，都需要一套能把安全数据孤岛和防御孤岛有序串联、协同工作的系统。这时候，XDR在“端+流量”方面的协同分析能力优势就突显出来。

作为一种“全面”和“立体”的解决方案，XDR不仅可以帮助安全团队纵观攻击的所有元素，还可以更清晰、准确地追踪恶意攻击来源，对攻击进行结果判定，重建攻击全貌，让安全团队更好地理解发生了什么，确定攻击发生的位置，在最有可能的实施点加以响应，实现对威胁“面”和“体”的360°清晰认知，以此来提高整体的检测和响应效率。

对于 XDR 来说，产品自身的功能与产品间的配合能力都十分重要。同时，威胁情报能力是产品检测响应能力的基础，如此才能发挥“端+流量”深层次的联动能力。

以微步在线为例，其迈向XDR的做法在于，将威胁感知平台TDP与主机威胁检测响应产品OneEDR结合，把网络流量监测和端点监测两部分联动起来。

其中，威胁感知平台TDP，作为一种NDR服务，提供网络流量的监测，可以作为防火墙和DNS解析等安全措施的补充。当前者失效，NDR的流量检测能力可以通过网络攻击的行进路线来判断分析。

而主机威胁检测响应产品OneEDR，作为一种EDR服务，能够在服务器和PC等终端内部做安全的检测与响应。

值得注意的是，目前市场上大多数NDR和EDR联动的产品都做不到这一点，其主要原因在于一般NDR和EDR的联动，只能做到两者互为彼此的眼睛，但无法使用同一个大脑来分析。XDR则将NDR和EDR的安全能力进行深度融合，升级为一种综合的、高维度的分析能力，其最大价值在于让安全人员对威胁的认知视角从“一维”进化到“多维”。

聚焦威胁检测与响应深挖以XDR为核心的综合安全能力

目前，XDR这类新型检测与响应解决方案目前还处于初期阶段，后续的演进路线更多的应该强化在云、端点、流量方面的协同分析能力，使之成为一个前后联动、全面检测、深度分析、及时响应的有机系统。

XDR的内涵其实非常丰富，XDR的“X”包含所有对检测有帮助的技术或者是产品，大趋势是“两条腿走路”，要想检测和响应做得好，威胁情报和机器学习能力都少不了，云端威胁情报需要做到量大、高准确度、高频率更新，机器学习则是要通过动态建模来帮助企业建立自己的检测响应体系，包括企业自身的威胁情报库、企业的误报告警特征等。

一般而言，威胁情报做得好的厂商一般在机器学习领域都有着丰厚的成果积累，响应的前提是检测，而威胁情报也正是准确检测的核心能力，所以威胁情报能力出众的厂商会在迈向新型检测和响应解决方案的时候具备先天优势。早期的XDR厂商包括Cisco、Fortinet、McAfee、Microsoft、Trend Micro、Sophos、FireEye和赛门铁克。这些XDR产品的一大吸引力在于，由于开箱即用的集成和跨产品的预调检测机制，可以快速实现价值。

在中国，还有一些像微步在线这类创新型安全厂商涉足XDR领域。在产品侧，微步拥有基于网络流量检测的威胁感知平台TDP，用于对客户网络流量、数据分析来进行威胁感知。同时，构建起一个广阔的威胁情报云，通过对互联网以及多个渠道中开放数据的不断采集，再对这些数据进行加工、分析，进而生产出威胁情报，去感知攻击者的行为、动态以及新变化。在掌握庞大的威胁情报数据后，只需要和企业用户的信息做比对，就能清晰地洞察企业是否受到攻击，这是微步在线在检测模式上与传统安全厂商的本质不同。

2021年，微步在线正式发布了主机威胁检测响应产品OneEDR，与TDP、互联网安全接入服务OneDNS、本地多源威胁情报管理平台TIP等共同构成微步在线的“云+流量+端点”威胁检测响应模式，向XDR方向迈出了重要一步。

如今，以XDR为代表的新型检测和响应解决方案不仅在国内已成为各家安全厂商关注的焦点，在国外也已经有一些安全厂商提供相关的案例可以作为参考，其核心解决方案的产品也有一定的共性。攻击链可视、根本原因分析、威胁狩猎都是此类解决方案的核心场景。

不过，XDR在国内的落地还有一段比较长的路要走，但为未来的安全运营提供了一种创新思路。不积跬步无以至千里，不积小流无以成江海。新型检测和响应解决方案能否成为最佳的安全解决方案，还需要全球安全厂商的共同努力。