XDR关键能力与产品演进分析

随着人工智能技术的快速融入，新一代网络技术使攻击变得更加隐蔽和快速，基于对抗性机器学习的攻击和高级威胁使攻防对抗的战斗越来越惨烈，而为了应对各种挑战，“XDR”解决方案应运而生。在安全牛最新开展的《XDR技术应用指南报告》研究项目中，我们通过对国内外安全厂商XDR发展现状以及甲方企业应用需求的调研，对XDR进行了以下定义：XDR是一种新一代安全技术框架，全面收集威胁情报、端点数据、安全日志、流量分析数据以及云端安全数据等企业安全运营数据，综合利用大数据、人工智能、自动化技术，以体系化方式实现对威胁或攻击的快速检测和响应。

当前，越来越多的安全厂商推出XDR产品或方案，但是因为数据处理（多源数据处理解析、业务场景建模、威胁分析等）的算法和能力基本隐藏于幕后，它们之间也没有统一标准，导致厂商之间能力差异较大。同时XDR作为一种高交互体验型的产品，在可视化、自动化响应、关联分析查询时也会存在较大的应用体验差异。

通过调研，我们认为合格XDR产品应该具备的主要能力包括以下方面：

1)  跨越网络、云和端点进行分析，更快发现隐藏威胁

通过收集多种来源数据，并对上下文进行分析，实现对端点、网络甚至云环境的全面可视和情境理解，一旦有攻击发生，可以智能检测攻击的每个阶段，并快速识别。

2)  对威胁简化调查和溯源

孤立的安全设备每天产生海量的告警，安全人员不得不把大量的精力和时间消耗在这些“事件”上，XDR可以基于上下文安全信息对警报进行关联和分组，减少无意义的报警，只把有意义的告警生成事件提交给安全人员，通过智能的关联分析，实现事件溯源。

3)  自动化威胁响应

XDR提供自动化技术和工具，以减少安全人员手动操作的频率和人为操作出错的概率，提高安全运营效率；通过安全剧本编排将安全人员经验固化为自动执行的剧本，配合安全设备联动响应，达到快速阻断攻击的目的。

4)  自适应优化

需要能够融合第三方情报以及现有事件转化而来的情报，不断耦合威胁发现模型，进行自适应优化。

XDR在实际应用中能不能真正达到预期效果是企业CSO最关注的问题之一，组织在选择XDR工具时需要综合考评产品的实际能力，考虑XDR产品自身特点、以及使用体验上的主观影响因素等，各类考评指标难以具体量化。

因此，我们认为可以通过能力矩阵模型的方式来评估XDR产品的实际能力。我们将XDR能力级别表示为五个层次，五个层次在“可视化”、“数据集成”、“检测技术”、“响应技术”、“自适应优化”这五个方面均有不同的能力体现。

XDR能力矩阵

通过XDR能力矩阵模型，可以评估XDR产品对应的能力级别，并对XDR产品未来发展进行展望：

L1-基础的威胁发现与响应

大部分的威胁告警、事件分析、事件响应任务都由安全运营人员完成，因为人工介入的工作很多，系统的联动响应能力得不到发挥，也很难得到完整的攻击路径分析及可视化呈现。

L2-基于已知威胁的发现与响应

能够基于多种来源的安全数据进行分析并发现威胁，能够发现简单的攻击行为并告警，但此级别的检测与分析能力基本基于对已知威胁，事件响应往往还需要借助人工处置。

L3-基于高级威胁的发现与响应

能够对多种来源的安全数据进行关联分析，并能通过机器学习和人工智能算法深度挖掘分析数据，从而发现一些复杂的攻击以及高级威胁行为。通过联动响应技术，对可疑及未知威胁，进行缓解或消除，协助安全人员快速溯源、调查取证，并显示复杂攻击的完整攻击链。

L4-自动化的威胁发现与响应

在L3级别的基础上，通过内置或者自定义响应流程，自动化处理大部分的重复安全事件，通过与多种安全产品的联动响应自动化阻断、拦截大部分攻击，对于关键信息可以进行自动留存或者溯源分析。

L5-自适应的威胁发现与响应

在L4级别的基础上，XDR系统通过自适应机制，将企业安全运营过程中总结的经验，及与自身业务相关的威胁情报等不断与系统耦合，不断修正威胁模型，以增强对威胁的检测能力，提高威胁发现的精准度。

目前，国内XDR还处于早期探索阶段，但随着市场需求的快速增长，安全厂商正在快速提升XDR产品的应用能力。国产XDR主要包括两种产品发展路线：

一种是全面整合自有品牌下的大数据分析平台、EDR、NGFW、NDR、蜜罐等单点能力，组成完整XDR整体解决方案，提供覆盖终端、网络、应用、云端等多层防御的安全能力。该类XDR方案通常具备较丰富的私有API来执行自动化操作，可通过开箱即用式集成和跨产品的预先调优检测机制，快速实现可扩展的威胁检测和响应。

另一种类型是打造通用性、轻量化的XDR平台，通过灵活、智能化的日志分析及关联查询，实现威胁快速检测和响应。这种模式的开放性更高，可以对接更多第三方安全产品，通过标准协议或安全API与不同厂商的安全产品进行联动响应，但在与第三方安全供应商进行能力集成时也将面临挑战。

根据报告调研，我们发现目前多数国产XDR产品（方案）在轻量化部署、复杂策略生成、快速关联分析、智能告警、快速溯源等方面表现稳定，具备了较强的可用性。但是，在安全能力整体联动和实现自动化响应等方面，仅有少数头部厂商产品表现较出色， 国产XDR解决方案要实现智能安全运营所要求的理想价值，还需要一定时间的升级迭代。

作者简介：

陈发明，安全牛分析师，CCIE/CISP/CISSP。长期从事网络安全产品研发及市场研究15年+，关注信息安全领域相关技术与应用的发展与演进。