XDR信息安全下一步勝負手

1、 創(chuàng)新之處1、 市場上首篇對 XDR 進行專題詳細分析的報告；2、 總結(jié)了 XDR 的特點及優(yōu)勢，分析了 XDR 在大中小型客戶的落地機會；3、 梳理了國內(nèi)外網(wǎng)絡安全廠商在 XDR 的布局情況。 XDR 集多個安全產(chǎn)品能力于一體，實現(xiàn)云-網(wǎng)-端全面防護XDR 是近幾年產(chǎn)業(yè)熱點安全技術之一，其聯(lián)動多個安全產(chǎn)品功能，提高整體安全建設和安全運營方案的有效性。XDR（Extended Detection and Response）是指擴展威脅檢測與響應平臺，其聯(lián)動網(wǎng)絡、終端、云等層面的安全產(chǎn)品，結(jié)合威脅情報、大數(shù)據(jù)處理和機器學習技術，有效提升安全威脅檢測和事件響應能力。根據(jù) Gartner 的定義，X

2、DR 是一個安全平臺，將特定供應商的多個安全產(chǎn)品，原生地集成到一個統(tǒng)一的安全運行系統(tǒng)中。在 Gartner 新發(fā)布的Market Guide for Extended Detection and Response中，已經(jīng)將 XDR 技術擴展至 FWaaS、NDR、SWG、EDR、UEM、DLP 等能力的綜合體，因此，XDR中的“X”代表著安全能力的持續(xù)擴展，結(jié)合數(shù)據(jù)中臺技術、自動化編排技術及安全分析技術，形成面向多種甚至未知安全場景的綜合型安全解決方案。圖 1：XDR 概念架構(gòu)Gartner伴隨網(wǎng)絡攻擊逐漸復雜化、隱蔽化，傳統(tǒng)單點防御無法應對持續(xù)性威脅，XDR 有望消除政企機構(gòu)安全孤島導致的運

3、營低效。目前，網(wǎng)絡攻擊正在變得更加隱蔽和復雜，攻防對抗從原來的技術之爭逐步演變?yōu)樗俣戎疇?。盡管政企機構(gòu)此前已經(jīng)配備了防火墻、IDS、IPS、WAF 等安全設備，但是這些設備每天產(chǎn)生海量告警，且來自不同廠商的設備各自為戰(zhàn)、檢測割裂，難以將多個節(jié)點的痕跡自動關聯(lián)成一個完整的安全事件，安全團隊及時跟進告警分析與事件響應的難度大。根據(jù) ESG 的調(diào)查，76%的安全人員認為，當前的威脅檢測和響應工作比兩年前困難得多，一方面是因為威脅數(shù)量大幅增加，另一方面是因為安全人員仍然依靠手動流程來工作。鑒于此，XDR 通過集成各自為戰(zhàn)的單點安全產(chǎn)品，形成整體檢測和響應策略來消除安全孤島。圖 2：用戶安全分析能力需求

4、安恒信息新一代態(tài)勢感知戰(zhàn)略升級發(fā)布會與 EDR 相比，XDR 是 EDR 的擴展和增強版，具備更強大的檢測能力、響應處置能力，將減輕政企機構(gòu)安全運營負擔，聚焦實質(zhì)性安全威脅。XDR 的優(yōu)勢體現(xiàn)在：多元化的檢測能力、體系化的響應處置能力、各類環(huán)境的廣泛適配、不斷強化的訂閱能力。相較于端點安全產(chǎn)品 EDR，XDR 的告警更加完整，安全調(diào)查更加高效，同時，XDR 關注的不僅僅是技術問題，還有政企機構(gòu)的運營需求。XDR 可大幅減少政企機構(gòu)安全人員低價值的重復工作，自動將告警匯集成安全事件，使得安全人員聚焦到應對真正具備威脅的風險上。表 1：XDR 的核心能力核心能力具體介紹集成的 XDR 安全產(chǎn)品覆蓋

5、終端、網(wǎng)絡、云、郵件、身份等威脅檢測&響應鏈路中最重要XDR 組件產(chǎn)品布局統(tǒng)一安全配置管理跨數(shù)據(jù)源關聯(lián)分析場景化自動化響應本地威脅情報分享的部分。用少量的產(chǎn)品實現(xiàn)威脅鏈路的全覆蓋。各組件產(chǎn)品擁有過硬的威脅發(fā)現(xiàn)能力和業(yè)績領先的競爭力。對集成的安全產(chǎn)品實現(xiàn)統(tǒng)一安全配置管理, 統(tǒng)一策略下發(fā)，統(tǒng)一策略更新?？蛻裟軌蛞宰钚〉倪\維成本達到 XDR 方案套件的最佳防護效果?？鐢?shù)據(jù)源、跨攻擊階段, 結(jié)合資產(chǎn)情報上下文關聯(lián)分析告警降噪，提供上下文信息，檢測結(jié)果實時反饋調(diào)優(yōu)。場景化分析流程，固化安全分析經(jīng)驗。響應流程可以根據(jù)威脅攻擊場景(如勒索，挖礦，釣魚)以及客戶的 IT 架構(gòu), 事件處置流程可編排實現(xiàn)自動化響

6、應。響應過程可追蹤審計, 響應指標可度量。XDR 平臺通過報警會診，事件分析以及集成的分析工具如沙箱和其他集成產(chǎn)品生產(chǎn)本地威脅情報。實現(xiàn)本地威脅情報 XDR 各組件共享，達到聯(lián)防聯(lián)控的效果。亞信安全微信公眾號，XDR 于 2018 年由 Palo Alto 首席技術官 Nir Zuk 提出，2020-2021 年連續(xù)入選 Gartner 端點安全、安全運營技術成熟度曲線，目前處于創(chuàng)新啟動期。早在 2017 年，Gartner指出，未來 5 年企業(yè)的網(wǎng)絡安全支出戰(zhàn)略、預算結(jié)構(gòu)將發(fā)生重大改變，重心將從阻止向檢測和響應傾斜。2019 年，在國際信息安全領域規(guī)模最大的產(chǎn)業(yè)盛會RSA 大會上，有關 XD

7、R 的討論開始升溫。此后，Gartner 將 XDR 列為 2020 年第一大安全技術趨勢，以及 2020-2021 年十大安全項目之一。在有科技產(chǎn)業(yè)界風向標之稱的 Gartner 技術成熟度曲線中，端點安全和安全運營兩個領域在 2021 年都提及了 XDR，位置處于創(chuàng)新啟動期，說明 XDR 依然處于早期成長階段，潛在的發(fā)展空間廣闊。圖 3：Gartner 端點安全成熟度曲線（2021 年）Gartner圖 4：Gartner 安全運營成熟度曲線（2021 年）Gartner XDR 潛在市場空間達百億級，綜合型廠商具備布局優(yōu)勢XDR 有望成為行業(yè)內(nèi)主流部署方式，滲透率將快速提升對于大型政企機

8、構(gòu)而言，XDR 能力可以分階段被集成在已建成的 SOC 中，亦可用于攻防實戰(zhàn)。許多大型政企已經(jīng)在 SOC 上擁有積累，如建立 SIEM、SOAR 等，XDR 可增強現(xiàn)有的 SOC 技術和流程。SIEM 從整個企業(yè)聚合和分析日志數(shù)據(jù)，但只是一種發(fā)出警報的被動工具，很少用到上下文分析和安全產(chǎn)品的關聯(lián)分析，安全團隊或被海量警報淹沒；根據(jù) Solarwinds 白皮書調(diào)查數(shù)據(jù)，擁有一千名員工公司部署的 SIEM，每秒鐘記錄的安全事件數(shù)多達 2.2 萬個。由此，XDR 可與 SIEM 協(xié)同，充分利用其產(chǎn)生的安全日志數(shù)據(jù)。SOAR對于 SIEM 產(chǎn)生的報警和安全事件進一步進行流程化自動化分析&處置，對企業(yè)

9、的安全建設及業(yè)務配合要求更高，目前在國內(nèi)市場仍處于初級階段。相較于 SOAR，XDR 在部署時集成特定供應商產(chǎn)品的能力更強，更加聚焦威脅檢測和事件響應，且輕量化、標準化。此外，相較于主要采集網(wǎng)絡流量和第三方安全設備日志信息的態(tài)勢感知平臺，XDR 補齊對終端側(cè)的感知，并且能在眾多的告警中關聯(lián)查找、發(fā)現(xiàn)真正的威脅。根據(jù)安全牛的觀點，XDR在大型政企機構(gòu)的應用場景還包括：在網(wǎng)絡攻防實戰(zhàn)、HW 行動中，使用 XDR 平臺，實現(xiàn)快速聯(lián)動分析。表 2：XDR 與 NDR、SIEM、SOC 對比NDR（網(wǎng)絡威脅檢測與響產(chǎn)品應）網(wǎng)絡流量數(shù)據(jù)感知，網(wǎng)絡優(yōu)勢威脅檢測缺乏終端數(shù)據(jù)關聯(lián)分析，弱點無法定位安全事件根因適

10、用需要網(wǎng)絡流量分析的企業(yè)深信服微信公眾號，SIEM（安全信息和事件管理）廣泛的日志事件收集和管理，安全事件應急響應，取證與合規(guī)不同廠商設備難以有效關聯(lián)，需要投入人力分析研判有合規(guī)訴求的中型企業(yè)SOC（安全運營中心）協(xié)同人、流程和技術，打通安全管理與運營，將專家經(jīng)驗轉(zhuǎn)為檢測模型運行復雜，人力投入成本高超大型企業(yè)XDR（可擴展檢測與響應平臺）深度檢測、精準響應、服務連接業(yè)界常見XDR 能力只聚焦在威脅檢測與響應更多行業(yè)的組織單位對于中小客戶而言，XDR 未來有望成為安全建設的首選。對于未建立 SOC 或態(tài)勢感知全面配置的中小客戶，XDR 具有更為重要的價值，在快速安裝部署、快速配置集成、快速使用見

11、效等方面具備明顯優(yōu)勢。XDR 通過統(tǒng)一、高度集成的方案，為簡化企業(yè)的安全運營人力需求提供了便利性和回報率，有望成為中小客戶以及教育醫(yī)療機構(gòu)、地方政府等的首選。XDR 的目標是“SOC-lite”，中小客戶無需部署復雜、昂貴的 SIEM 和 SOAR，而是在預算和安全人員有限的情況下，上線輕量化的、“開箱即用”的 XDR 平臺。圖 5：XDR 是中小企業(yè)的潛在首選山石網(wǎng)科公司官網(wǎng)XDR 滲透率有望在未來 5-10 年迎來爆發(fā)式提升，全球潛在市場空間達百億級。根據(jù)Gartner 的報告，2020 年只有不到 5%的組織使用了 XDR，但預計到 2027 年，這一比例將攀升至 40%。我們認為，XD

12、R 滲透率提升的關鍵驅(qū)動因素在于，其所蘊含的安全集約化理念正在逐步被政企機構(gòu)所認可。ESG 調(diào)查發(fā)現(xiàn)，82%的組織正在構(gòu)建將多個產(chǎn)品集成在一起的安全技術體系結(jié)構(gòu)，此外，有 77%的公司正在積極精簡與其開展業(yè)務的安全技術供應商的數(shù)量。Grand View Research 指出，2020 年全球 XDR 市場規(guī)模為 5.8 億美元，預計到 2028 年將達到 20.6 億美元，2021-2028 年的年復合增長率為 19.9%。我們認為，如考慮 XDR 對廠商其他產(chǎn)品線的帶動銷售，市場空間將更為廣闊。圖 6：XDR 使用比例圖 7：外國企業(yè)安全投入意向使用XDR的組織占比投入意向（單位：萬美元）

13、45%40%35%30%25%20%15%10%5%0%20202027（E）4035302520151050XDRSOARSIEMGartner（含預測），Ponemon Institute，綜合型廠商在 XDR 布局上具備優(yōu)勢，客戶粘性和客單價有望進一步提升綜合型廠商在 XDR 布局上具備優(yōu)勢，未來或通過并購投資實現(xiàn)安全能力的持續(xù)生長。結(jié)合 XDR 定義，網(wǎng)絡安全公司提供 XDR 的能力需要循序漸進地形成。亞信安全對 XDR的發(fā)展提出具體設想：首先，布局集成的探針類產(chǎn)品終端、網(wǎng)絡、云、郵件以及身份安全；然后，基于廠商已有能力提出場景化的 XDR 解決方案；最后，通過 XDR 集成各類安全設

14、備，以及提升自動化程度、檢測效果。我們認為，XDR 仍處于初步產(chǎn)品化時期，距離實現(xiàn)提供成熟的跨廠商、跨產(chǎn)品的集成能力仍需一定時間。與此同時，綜合型網(wǎng)絡安全廠商更注重產(chǎn)品線的全面性，在集成自身產(chǎn)品基礎上實現(xiàn) XDR 布局具備顯著優(yōu)勢。專精型廠商在一些細分領域的技術演進速度或領先于綜合型廠商，因此伴隨 XDR 發(fā)展，網(wǎng)絡安全行業(yè)的投資并購活動或更加頻繁，綜合型廠商通過并購新興安全廠商以追求擴大 XDR 的場景覆蓋與競爭力。海外圍繞 XDR 的投資活動十分活躍，如 Google 宣布斥資 54 億美元收購網(wǎng)安公司 Mandiant。圖 8：XDR 的發(fā)展階段亞信安全公司官網(wǎng)中長期看，XDR 或推動安

15、全行業(yè)開放標準建設，打破廠商之間的隔閡?？傮w來看，網(wǎng)絡安全廠商提供 XDR 有三種路徑：1）原生 XDR，由單一供應商提供所有設備，特別是本身在 EDR 上積淀深厚的廠商更傾向于此，優(yōu)點是集成度高，缺點是用戶可能已經(jīng)部署多家廠商的產(chǎn)品，不愿意重復投資；2）開放 XDR，廠商集成多家第三方廠商的產(chǎn)品與技術，適合于 SIEM、SOAR 廠商，難題是如何說服其他同行參與；3）混合 XDR，廠商提供幾乎所有的 XDR 組件，但允許集成第三方工具，使得客戶充分利用此前在安全基礎設施上的投資。在當前背景下，網(wǎng)絡安全廠商期望客戶在 XDR 基礎架構(gòu)中整合自身提供的所有設備，但考慮到安全行業(yè)的多樣化以及客戶原

16、有部署的安全基礎設施可能來自不同的品牌，廠商需要支持一定程度的開放性，包括開源消息總線集成、開放的 API、合作伙伴生態(tài)系統(tǒng)、行業(yè)標準等。因此，中長期看，安全行業(yè)內(nèi)部的設備互聯(lián)互通標準、數(shù)據(jù)格式標準等有望逐步建設，推動廠商之間打破隔閡。圖 9：XDR 技術成熟度模型安全牛XDR 應用指南此外，安全托管服務的重要性或?qū)⑻嵘c XDR 相輔相成。XDR 與 MDR（托管檢測和響應服務）存在一定的競爭關系，但事實上，企業(yè) CISO 關注的是威脅檢測和響應的效果，XDR 供應商未來也有可能建立自己的托管服務團隊或與 MDR 服務商達成合作。從海外來看，CrowdStrike、FireEye、Secu

17、reworks、Trend Micro 等廠商正在提供 XDR 和 MDR 集成的產(chǎn)品服務組合。許多中小企業(yè)通過 MSS（安全托管服務）來獲得業(yè)務系統(tǒng)的安全保障，XDR 與 MSSP（安全托管服務提供商）同樣存在合作機遇：一方面，XDR 的成功落地仍然需要借助安全專家的專業(yè)技能，企業(yè)需要具備通過智能分析對噪聲中的真實事件進行排序并確定響應優(yōu)先級能力的人才；同時，對于 MSSP 而言，借助于 XDR，可以投入更少的人力、花費更低的成本，來搭建一套有效的安全技術架構(gòu)，為客戶提供可靠的安全服務，并獲得運營收益。圖 10：MDR 服務需求分布情況ESG，虎符智庫圖 11：安全托管服務模式賽博英杰隨著

18、XDR 的應用逐步深化，安全廠商在銷售策略上或更加關注客戶的業(yè)務與戰(zhàn)略，XDR 有助于客戶粘性提升，進一步帶來客單價的增長。XDR 的價值主張是用一整套集成的專有產(chǎn)品套件，代替來自不同網(wǎng)絡安全公司的工具，對于政企機構(gòu)而言，這需要分步驟進行，因為已經(jīng)投資建設或部署的安全設備需要時間周期進行替換。XDR 供應商需要說服政企機構(gòu)認同 XDR 的理念，同時，對于網(wǎng)絡安全廠商而言，這意味著要從交易型銷售轉(zhuǎn)變?yōu)閼?zhàn)略型銷售，以用戶與業(yè)務為中心，將產(chǎn)品服務與行業(yè)屬性深度結(jié)合，提供匹配的解決方案。在此過程中，網(wǎng)絡安全廠商與客戶的粘性將得以強化，傳統(tǒng)安全公司多銷售硬件類產(chǎn)品，需要持續(xù)獲取新客戶、新銷售機會，而 X

19、DR 為客戶提供逐步疊加的安全組件，使得供應商、客戶的粘性增加，更易于拓展產(chǎn)品合作，打開了客單價增長空間。 網(wǎng)安廠商加快布局，推出多形式 XDR 產(chǎn)品海外 XDR 市場表現(xiàn)火熱，各類安全廠商踴躍探索前進方向海外 XDR 市場火熱，安全廠商積極探索方向，XDR 技術在實際場景中發(fā)揮作用。從海外來看，網(wǎng)絡安全先進技術發(fā)展方向出現(xiàn)變化，廠商通過著重發(fā)展云化、服務化方式交付核心安全能力，通過產(chǎn)業(yè)促進、自發(fā)開放等方式擴大廠商間、產(chǎn)品間對接，以提升整體安全效果，而 XDR 充分符合這一發(fā)展趨勢。目前，海外大型網(wǎng)絡安全廠商紛紛發(fā)布 XDR套件，不限于 Palo Alto、Check Point、Fortin

20、et、Trend Micro、Trelix（FireEye & McAfee）、 Cisco 等，反映了 XDR 市場前景的廣闊。同時，各類廠商的具體思路不同，如趨勢科技、 Palo Alto、Crowdstrike 等廠商基于 EDR 構(gòu)建 XDR 能力，而 Exabeam、LogRhythm 等廠商基于 SIEM 發(fā)力 XDR，不同稟賦或決定其 XDR 能力的差異。圖 12：XDR 供應商矩陣Forrester New Wave: Extended Detection And Response (XDR) Providers Scorecard, Q4 2021Palo Alto 于 20

21、19 年推出業(yè)界首個原生集成網(wǎng)絡、終端、云和第三方數(shù)據(jù)來阻止攻擊的 XDR 平臺Cortex XDR。Cortex XDR 是基于云的應用，在調(diào)查方面，支持接入第三方數(shù)據(jù)引擎，開發(fā)自定義收集解析規(guī)則，對第三方數(shù)據(jù)源進行規(guī)范化；在分析檢測方面，使用云主機、流量和審計日志+Prisma Cloud 警報對以云為中心的威脅進行檢測，通過防火墻、IAM（Okta、Ping Azure AD）、AD、HR 平臺（Workday）、SASE 網(wǎng)關分析用戶活動；在事件響應方面，Cortex XDR 本地分析引擎以機器學習技術為驅(qū)動，實現(xiàn)業(yè)界領先的惡意軟件檢測率，并借助敏捷架構(gòu)實現(xiàn)模型快速更新，從而應對多變的

22、攻擊技術。圖 13：Cortex XDR 安全事件調(diào)查界面Palo Alto 公司網(wǎng)站Cortex XDR 持續(xù)升級產(chǎn)品，不斷提高安全效率。隨著安全威脅的發(fā)展，Cortex XDR在不斷創(chuàng)新的基礎上，致力于提供新功能，以提高安全效率并簡化操作，目前 3.0 系列產(chǎn)品已經(jīng)發(fā)布。2021 年 11 月，Palo Alto 和普華永道中國宣布擴大合作，將把普華永道提供的托管安全服務與 Cortex XDR、Cortex XSOAR 安全平臺相結(jié)合，在中國市場提供安全運營服務，減輕安全運營人員的負擔，實現(xiàn)從警報管理、調(diào)查到事件響應的全天候覆蓋，從而進一步提高安全運營效率。圖 14：Cortex XDR

23、 產(chǎn)品發(fā)展歷程Palo Alto 公司網(wǎng)站CrowdStrike 基于 EDR 發(fā)展 XDR，強調(diào) EDR 的突出地位，2021 年發(fā)起成立 CrowdXDR 聯(lián)盟。CrowdStrike 正從單一的 EDR 供應商轉(zhuǎn)型為包括 XDR、SOAR 和 SIEM的多產(chǎn)品安全平臺公司。CrowdStrike 強調(diào)終端安全依然是其基本盤，CTO Sentonas 認為，“好的 EDR 本身就構(gòu)成了 XDR 方案的 90%”，同時指出，“XDR 并不是日志管理，我們實現(xiàn) XDR 的方法是在不損失 EDR 能力的前提下去增加 XDR 的功能”。2021 年初， CrowdStrike 宣布將以4 億美元收

24、購日志管理平臺Humio，將其打造為安全數(shù)據(jù)集成平臺。 2021 年 10 月，CrowdStrike 推出 XDR 模塊，同時發(fā)起成立 CrowdXDR 聯(lián)盟，啟動合作伙伴包括來自云、Web、電子郵件、身份、網(wǎng)絡、OT 和 IT 運營等安全和 IT 行業(yè)的領導者。圖 15：CrowdXDR 聯(lián)盟CrowdStrike 公司網(wǎng)站國內(nèi)亞信安全較早提出 XDR，頭部網(wǎng)安公司近幾年陸續(xù)布局亞信安全是國內(nèi)較早提出 XDR 的網(wǎng)絡安全廠商，2019 年正式推出 XDR 解決方案。AIS XDR 具備集成套件產(chǎn)品、統(tǒng)一配置管理、場景化分析處置、威脅情報聯(lián)動等四大核心能力。前端由終端、主機、網(wǎng)絡、身份、郵件

25、網(wǎng)關類產(chǎn)品構(gòu)成，為高級威脅檢測提供了最重要的遙測數(shù)據(jù)；XDR 統(tǒng)一威脅運營平臺基于安全大數(shù)據(jù)分析技術，構(gòu)建了威脅建模，報警收斂、事件聚合等核心技術，通過威脅情報的賦能，有效聯(lián)動各類產(chǎn)品，遏制報警風暴、還原攻擊鏈路、自動處置高級威脅。亞信安全通過 XDR 套件，為客戶提供了更全面的聯(lián)動安全防護能力，同時以持續(xù)授權(quán)方式提供實時更新的威脅情報庫、威脅情報分析及專業(yè)服務，使得廠商與客戶之間產(chǎn)生了長期的用戶粘性，更易于合作的深化。圖 16：亞信安全 XDR 解決方案亞信安全微信公眾號表 3：亞信安全 XDR 四大核心能力核心能力具體介紹亞信安全明星產(chǎn)品如終端、身份、網(wǎng)絡、郵件、云安全等在 XDR 方案中

26、定位清晰。終端安全產(chǎn)品確認攻擊事件；網(wǎng)絡安全產(chǎn)品擴展監(jiān)控范圍,；云安全除分析云工作負載威脅監(jiān)集成套件產(chǎn)品統(tǒng)一安全配置管理場景化分析處置威脅情報聯(lián)動測和行為數(shù)據(jù)外，同時監(jiān)控 Docker & Kubernetes 關鍵配置；身份安全是在應用云化后能看到攻擊信號的為數(shù)不多途徑；郵件安全能鎖定定向攻擊范圍，還原原始攻擊點。XDR 平臺提供對集成產(chǎn)品的統(tǒng)一安全配置管理、策略下發(fā)、情報和安全知識庫數(shù)據(jù)更新。安全運營團隊可以將應對不同威脅場景的各個產(chǎn)品配置策略模板、檢測規(guī)則、獵捕腳本、專項威脅情報等，統(tǒng)一自動下發(fā)到集成產(chǎn)品。XDR 平臺根據(jù)不同類型的威脅攻擊，如勒索、挖礦、釣魚、弱密碼、數(shù)據(jù)泄露等，提供場

27、景化的威脅風險展示，將專家對威脅分析的經(jīng)驗固化到分析師體驗中，降低威脅研判門檻。處置方面，XDR 綜合考慮客戶主流 IT 架構(gòu)和不同威脅攻擊事件響應流程的差異性, 內(nèi)置的自動化威脅處置預案可適配大部分客戶的環(huán)境和流程。XDR 平臺將來自各個集成產(chǎn)品的報警數(shù)據(jù)，集成的沙箱分析數(shù)據(jù)，聯(lián)動云端威脅情報等形成本地情報生產(chǎn)能力。同時提供多種集成接口，推送威脅情報到各集成產(chǎn)品。亞信安全公司官網(wǎng)，解決方案基于自適應架構(gòu)理論，專注“威脅感知”與“自動化運維”。在“威脅感知”方面，亞信安全 XDR 解決方案集成亞信安全云威脅情報能力，為威脅提供全面分析報告，站在全局角度對網(wǎng)絡中未知威脅的出現(xiàn)情況做統(tǒng)一監(jiān)控，讓用

28、戶了解網(wǎng)絡中安全狀態(tài)，降低安全分析和監(jiān)控的人力成本。在“自動化運維”方面，XDR 解決方案能根據(jù)安全事件的重要程度自動下發(fā)終端、網(wǎng)絡、服務器不同維度的遏制策略，提高運維效率，縮短安全事件的響應時間。圖 17：亞信安全 XDR 聯(lián)動能力亞信安全公司微信公眾號亞信安全募資建設“智能聯(lián)動安全產(chǎn)品建設項目”，形成基于 XDR 和安全中臺的智能化聯(lián)動安全平臺，未來 XDR 還將提升安全服務價值。智能化聯(lián)動安全平臺將以 XDR 產(chǎn)品套件、安全中臺解決方案或綜合服務的方式交付給客戶，具有三大特點：1）全云化，全線產(chǎn)品 SaaS 服務化交付，實現(xiàn)云 XDR 和云態(tài)勢驅(qū)動的 SaaS 安全中心；2）全連接，產(chǎn)品

29、之間數(shù)據(jù)接口聯(lián)通、數(shù)據(jù)情報共享，實現(xiàn)管理平臺聯(lián)動編排、客戶本地威脅分析中心情報共享、云端威脅情報聯(lián)動全網(wǎng)免疫；3）全智能，通過威脅情報和機器學習分析，實現(xiàn)安全可視化、自動化、智能化，從而顯著降低安全配置和事件響應的復雜性。亞信安全未來還將 XDR 與安全服務相結(jié)合。傳統(tǒng)的安全服務往往重人力投入，在成本端壓力較大。亞信安全在建立成規(guī)模的安全專家團隊的同時，將服務結(jié)合 XDR 平臺、優(yōu)勢產(chǎn)品的能力，助力客戶切實解決安全問題，為客戶提供更多戰(zhàn)略價值，也保證了自身安全服務業(yè)務未來的毛利率企穩(wěn)。以 XDR 產(chǎn)品套件為核心工具平臺的托管安全服務，以風險管理為中心，提供暴露面管理、高級威脅分析、安全事件管理

30、、本地威脅情報管理、威脅獵捕等服務內(nèi)容，驅(qū)動客戶網(wǎng)絡安全建設、攻防對抗能力整體提升。圖 18：亞信安全“產(chǎn)品+平臺+服務”安全道路亞信安全公司業(yè)績交流會深信服發(fā)布 SaaS XDR，提升安全事件處置效率?；诰W(wǎng)絡安全領域多年積累的檢測、響應等能力，深信服面向攻防實戰(zhàn)設計了深度關聯(lián)分析和聯(lián)動響應機制，有效打通了跨品類安全產(chǎn)品能力的融合。在數(shù)據(jù)采集方面，公司 SaaS XDR 將端、網(wǎng)、云等遙測數(shù)據(jù)構(gòu)建為完整的攻擊鏈，把海量告警轉(zhuǎn)換為安全事件，實現(xiàn)告警削減近 90%；在安全檢測方面，結(jié)合 IOA、IOC 檢測技術，疊加云端專家提供的 XTH 威脅鑒定能力，實現(xiàn)事件檢測精準度達到 99%。此外，開放

31、性讓深信服 XDR 不僅可以集成自家的安全產(chǎn)品，也可以和產(chǎn)業(yè)內(nèi)的產(chǎn)品融合，幫助用戶復用現(xiàn)有投資，將各類產(chǎn)品有效聯(lián)動應對攻擊威脅。圖 19：深信服 SaaS XDR 結(jié)合云網(wǎng)端遙測數(shù)據(jù)、遠程專家能力深信服公司微信公眾號SaaS 化交付助力客戶降本增效，對接托管檢測與響應服務 MDR。深信服 XDR 采用 SaaS 化交付的形式，客戶在本地只需部署相關采集設備和防護組件，與 XDR 平臺對接后即可完成交付。這種形式可彈性擴展，解決了傳統(tǒng)安全建設存在的一次性投入成本高、安全能力可擴展性差等問題，實現(xiàn)安全事件處置效率提升近 70%，有效地節(jié)約安全運營人力成本。同時，深信服 SaaS XDR 還可對接

32、MDR，實現(xiàn)云地協(xié)同 7*24 小時持續(xù)監(jiān)測威脅和事件，從監(jiān)測、判斷、調(diào)查到處置，服務專家實時處置閉環(huán)，減輕運維人員壓力。圖 20：深信服 SaaS XDR 高效交付與工作深信服公司微信公眾號圖 21：深信服 SaaS XDR 可對接 MDR深信服公司微信公眾號未來，深信服將開放SASE 3.0 能力對接XDR，提供一站式安全服務。以 SASE、MSS、 XDR 思想在云端構(gòu)建安全防護體系，未來，SASE、XDR、零信任、開發(fā)安全有望成為深信服四大安全平臺。SASE 3.0 最核心的技術升級體現(xiàn)為在 SASE 節(jié)點上實現(xiàn)全安全棧，通過編排的方式實現(xiàn)按需使用和分類防護，包括上網(wǎng)流量接入審計、管控

33、和防火墻能力，內(nèi)網(wǎng)流量接入零信任、內(nèi)網(wǎng) WAF 等能力。SASE 3.0 通過平臺方式把安全工具化、服務化，深信服將開放 SASE 3.0 能力對接 MSS、XDR 平臺以及廣大安全生態(tài)伙伴，以便給用戶提供更高階的和一站式的安全服務。圖 22：深信服 SASE 全景圖深信服公司微信公眾號奇安信 XDR 解決方案以天眼系統(tǒng)為主，全線產(chǎn)品聯(lián)動，突出實戰(zhàn)攻防，打造“云管端”一體化安全防護能力。奇安信天眼系統(tǒng)以攻防滲透和數(shù)據(jù)分析為核心競爭力，聚焦威脅檢測和響應，為安全服務和分析人員提供一套在監(jiān)測預警、威脅檢測、溯源分析和響應處置上得心應手的威脅檢測平臺。2018 年開始，天眼系統(tǒng)與奇安信安服體系整合，

34、順利進入政企客戶攻防對抗一線，實戰(zhàn)化水平、防守效果得到驗證。憑借天眼系統(tǒng)的優(yōu)勢，奇安信在國內(nèi)威脅檢測與響應市場領先，根據(jù)數(shù)世咨詢 2020 年發(fā)布的威脅檢測與響應（TDR）市場指南報告，奇安信在應用創(chuàng)新力和市場執(zhí)行力兩個維度，均位列 15 家入圍廠商第一名。通過天眼系統(tǒng)與終端管理系統(tǒng)（天擎）、下一代智慧防火墻（NGFW）、服務器安全管理系統(tǒng)（椒圖云鎖）、攻擊誘捕系統(tǒng)（蜜罐）等產(chǎn)品的協(xié)同聯(lián)動，奇安信能夠幫助客戶更好更快地發(fā)現(xiàn)攻擊方的攻擊行為。2021 年，奇安信還發(fā)布天眼 MDR 安全托管服務，助力提升企業(yè)安全運營效率。圖 23：奇安信天眼威脅感知產(chǎn)品體系奇安信公司微信公眾號啟明星辰 XDR 安

35、全運營服務“遠程+本地”協(xié)同聯(lián)動，相較于傳統(tǒng)安全運營服務更加輕量化。啟明星辰 XDR 方案是以緊耦合方式實現(xiàn)快速威脅檢測和響應的工具集，完整覆蓋 EDR、加密隧道檢測、全流量取證分析、沙箱樣本分析、攻擊鏈還原等核心能力。XDR安全運營服務的優(yōu)勢體現(xiàn)在：1）輕量化，運營所需的平臺、技術工具均可以租賃的形式提供，減少客戶的一次性建設投入；2）基于實戰(zhàn)演練視角，將服務劃分為脆弱性閉環(huán)管理和持續(xù)性威脅管理，前者側(cè)重于對客戶資產(chǎn)的安全監(jiān)測和漏洞發(fā)現(xiàn)，后者側(cè)重于對客戶網(wǎng)絡安全事件的監(jiān)測和響應處置，通過對兩類服務的組合，為客戶的網(wǎng)絡安全監(jiān)測與防御技術堆棧提供有效性驗證機制，幫助客戶構(gòu)建起基于實戰(zhàn)視角的網(wǎng)絡安

36、全監(jiān)測、分析、響應和防御體系。啟明星辰堅持“第三方獨立安全運營”的理念，已在全國各地 30 多個城市開展安全運營業(yè)務，XDR 安全運營服務有望迎來持續(xù)發(fā)展。圖 24：啟明星辰 XDR 運營體系的核心是專業(yè)運營人員啟明星辰公司網(wǎng)站圖 25：啟明星辰 XDR 服務采用全標準化運營流程管理啟明星辰公司網(wǎng)站安恒信息新發(fā)布 AXDR 高級威脅檢測與分析系統(tǒng)，作為態(tài)勢感知方案組成，全方位覆蓋日常運維、重保、攻防演練等場景。AXDR 是基于安恒信息的威脅檢測和數(shù)據(jù)分析能力，構(gòu)建的一種跨多個安全層收集并自動關聯(lián)信息以實現(xiàn)快速威脅檢測和事件響應的解決方案。AXDR 結(jié)合網(wǎng)絡、終端告警，自動化提取安全事件，具備威

37、脅檢測、攻擊溯源、場景感知、威脅響應和威脅狩獵等功能。在日常安全運維中，AXDR 提供豐富的檢測手段，如規(guī)則引擎檢測、語義分析檢測、機器學習檢測、情報庫碰撞、異常行為檢測等，支持與其他安全設備聯(lián)動。在重大場景保障中，AXDR 提供多視角檢測方案以及態(tài)勢感知大屏，通過安全事件聚合、關聯(lián)分析等手段進行分析，幫助安全分析人員及時捕捉重要威脅來源，同時對危險來源進行追蹤溯源，保障網(wǎng)絡環(huán)境安全。在實戰(zhàn)化攻防演練中，AXDR 結(jié)合安全專家紅藍對抗，組織網(wǎng)絡安全實戰(zhàn)化攻防演練，構(gòu)建“檢測-預警-監(jiān)測-防護-分析-溯源”網(wǎng)絡安全攻防體系，提高單位網(wǎng)絡安全意識，增強安全防護能力，檢驗單位應急響應能力。圖 26：

38、安恒信息 AXDR 平臺安恒信息公司微信公眾號表 4：安恒信息 AXDR 平臺核心功能核心功能具體介紹平臺從攻防場景入手，通過安全知識經(jīng)驗以及多種聚合算法中提煉安全事件，從規(guī)則源頭靈活可運營的安全事件多角度場景分析終端溯源取證告警日志關聯(lián)“0”腳本快速響應進行事件線頭標記，自動化提取安全事件。同時安全事件通過規(guī)則包升級實現(xiàn)安全事件靈活可運營，通過告警、日志關聯(lián)自動化生成安全事件，提煉有效安全事件，減少告警量，幫助客戶提升安全效率，降低平均修復時間（MTTR）。支持 20+種威脅場景分析，涵蓋登錄分析、訪問關系、挖礦、勒索、隱蔽隧道、郵件和數(shù)據(jù)安全等，貼合不同的安全運營場景，同時結(jié)合機器學習引擎

39、、語義分析引擎、深度分析引擎，全面檢測多種威脅。場景分析主要分為三大模塊：惡意程序場景分析、服務安全場景分析以及合規(guī)要求場景分析。支持終端威脅檢測，有效彌補網(wǎng)絡檢測的不足，支持對攻擊事件進行終端溯源取證，精準定位攻擊事件并有效查殺。通過網(wǎng)絡和終端的告警、日志關聯(lián)分析功能達到告警降噪、提升精準度的目的。將告警與原始流量日志關聯(lián)，提升精準度。同時，網(wǎng)絡與終端日志關聯(lián)，形成精準安全事件，當有終端數(shù)據(jù)時，將網(wǎng)絡側(cè)的告警與終端日志關聯(lián)形成精準告警，進一步溯源形成安全事件。支持多種靈活的事件響應和處置能力，可對接多種安全設備，對攻擊事件和告警進行“0腳本”快速處置，提升響應和處置效率。安恒信息公司微信公眾

40、號，迪普科技檢測與響應系統(tǒng)（XDR）以安全大數(shù)據(jù)、云計算、人工智能引擎、威脅情報、檢測與響應等新技術為支撐，保障政企用戶全網(wǎng)終端安全。迪普科技 XDR 系統(tǒng)主要面向政企用戶，集惡意代碼防御、漏洞修復、檢測與響應（EDR）、桌面管控等功能于一體，兼容不同操作系統(tǒng)和計算平臺，基于單一代理、單一管理控制臺幫助客戶建立面向已知和未知威脅防護以及統(tǒng)一管控、高效運維的新一代網(wǎng)絡安全立體防護體系。圖 27：迪普終端檢測與響應系統(tǒng)（XDR）結(jié)構(gòu)迪普科技公司網(wǎng)站綠盟科技智能安全運營平臺（ISOP）作為 XDR 的核心平臺，整合建立數(shù)據(jù)湖，構(gòu)建全面安全運營能力。綠盟智能安全運營平臺（ISOP）融合 XDR 的能力，利用人工智能（AI）進行事件調(diào)查響應，以集成、開放的架構(gòu)設計簡化了安全防護工作，通過低成本的安全編排