攻击链电影剧情解析「分析」

安全圈，历来是有鄙视链的

大家熟知的安全“三大件”

防火墙、IDPS、杀毒软件

个个都惨遭鄙视

先看下一代防火墙

这厮鄙视了传统防火墙/UTM好些年

如今，又被「云防火墙」给鄙视了

↓

再看IDS和IPS

历来互相看不惯彼此

现在，双双被新出道的「NDR」吊打

↓

最后轮到杀毒软件

作为资格最老的“安全产品”

不仅没有老而弥坚

反而成了「EDR」们的垫脚石

↓

这都还不算啥

更流行的是整个大圈子的鄙视链

比如

「云原生安全」对「传统安全」

进行碾压式整体鄙视→_→

为什么会有这些“鄙视链”？

是因为安全建设的大趋势变了

传统的“合规驱动型”安全建设

往往是这样的

↓

如今，这种“合规驱动型”安全建设

正在向“实战驱动型”演进

既然是实战

就必须注重攻防演练和动态防御

↓

so，在这样的新形势下

安全市场的鄙视链

就越发清晰了

➊

静态防御

一定会被动态、自动化防御能力鄙视

↓

➋

单点防御

一定会被多点立体防御能力鄙视

↓

➌

传统本地化防御

一定会被云化防御能力“鄙视”

↓

so

今天我们隆重介绍一个

结合了以上3大“鄙视”特征

站在鄙视链顶端的产品

它就是：XDR

↓

XDR的全称叫作

ExtendedDetection andResponse

扩展的安全检测与响应

↓

“检测“和”响应”

但凡搞安全，都绕不开这两个词

检测→Detection

简单说就是从相关维度查找蛛丝马迹

诊断出安全威胁

↓

响应→Response

就是发现威胁之后，进行应对和处置

该喊的喊，该堵的堵，该杀的杀

↓

检测和响应的过程，好比大夫看病

先“望闻问切”、“查尿验血拍片”

然后再给治理方案：吃药打针动手术

不同的大夫，擅长看不同的病

比如EDR，主要看终端上的病

再比如NDR，主要查网络中的病

↓

专科专治，固然没毛病

但安全威胁，今时不同往日

攻击全天候、立体化、无孔不入

危害性也越来越强

所以，检测和响应的方式也要立体化

就这样，更加“立体”的XDR来了

“X”代表“Extended”，是“扩展”的意思

XDR不是一个人在战斗

它是多种检测和响应能力的团队作战

↓

从前，企业安全的各个组件

像一块块散装木板，很难形成合力

XDR像是“桶箍”

把一块块散架的木板变成了

牢不可破的安全全家桶

这才有了“能力齐射”的效果

↓

在这个“全家桶”里

XDR与各种安全组件紧密集成

对各种日志、流量、告警、情报

进行智能分析和威胁检测

然后再指挥、协调各个安全组件

完成自动化的响应和处置

↓

XDR之所以能“号令天下”

源于它具备5大超能力

首先

XDR是一个全局安全控制点

不像EDR只局限于终端侧

XDR统揽终端、网络、云和工作负载

把各个层面防护和控制都兼顾到

说白了，格局够大，能一杆子通到底

↓

第二

XDR有超强的联动能力

也就是安全集成和互操作能力

不但要汇总各种数据，进行监测

还要联动各类产品快速响应

比SOAR更容易与其它产品集成

特别考验“沟通”和“协调”的本事

↓

第三

大数据处理和AI分析

也是XDR必须要具备的本领

既然汇聚了全局的安全数据

（日志、告警、流量、情报）

就要依赖机器学习和AI算法

还会引入数据湖的相关能力

对海量数据进行分析处理

发现高级威胁，还原攻击杀伤链

↓

第四

XDR还具备自动化编排能力

通过自动化技术和工具

减少安全运维人员的手动操作

降低出错概率，提高安全运营效率

可以提前编排响应策略

在威胁发生时，自动执行“预案”

↓

最后

XDR还要具备威胁情报能力

既可以利用威胁情报产品

提升检测时效

又可以将分析结果反哺

给威胁情报提供实战加持

↓

通过这些“超能力”

XDR统揽全局，号令天下

深度、全面地检测各类威胁

而且可以一处检测，全局响应

大大提升安全运营效率

降低安全支出成本

那么，对于广大企业来讲

具体该如何落地XDR方案呢？

接下来，我们以鹅厂为例

讲讲腾讯安全XDR是怎么干的

当前IT环境，大多以混合IT为主

既有公有云/云原生场景

也有本地化部署/传统IT场景

鹅厂XDR充分考虑了场景差异

提供两套相对独立的方案

↓

➊

云原生XDR方案

XDR产品的特色是“集众之智”

充分整合现有安全产品

所以，鹅厂的云上XDR

融合了腾讯云上的成熟安全产品

（CWPP、云WAF、云FW、iOA SaaS等）

多产品联动形成立体化的检测和响应

↓

同时

基于云端强大算力和大数据能力

结合威胁情报、ML算法、专家知识

能够自动实现事件分析和调查

云上联动的均为鹅系自家安全产品

API接口成熟，调度便捷

轻松实现一键快速响应

↓

对于使用腾讯云公有云/混合云的客户

这套云原生XDR方案可以说是绝配

部署成本极低，SaaS化订阅

可以得到开箱即用的安全体验

➋

私有化XDR方案

这类客户通常经历过长期的迭代建设

本地拥有大量异构的安全组件

腾讯私有化XDR针对这种场景

支持大量第三方设备告警和日志

并进行统一的分析和检测

↓

在整合原有老设备的同时

引入腾讯安全NDR和iOA两大利器

强化网络和终端层面的检测与响应

利用云上经验为本地化防护赋能

在两套XDR方案的底层

由天幕PaaS提供安全算力和算法支持

这是鹅厂多年云能力和云防护经验的积累

通过高性能、低代码的底层PaaS驱动

XDR可以比SOAR更轻松联动生态

强力驱动上层应用

↓

最终，两套XDR方案

灵活应对不同的业务场景

云原生方案开箱即用，一站式防护

私有化方案开放性好，持续集成

↓

如果面对更复杂的混合IT环境

需要分别部署不同XDR方案的时

可以部署鹅厂T-Sec安全运营中心

将多套XDR平台的结果整合起来

实现混合架构下的一体化检测与响应

↓

看到这里，相信很多人还有顾虑

尤其是已经搞了一大堆NDR/EDR

甚至刚刚建了SIEM的客户

毕竟，XDR是新鲜事物

到底有没有坑，能不能打？

但您如果回顾一下XDR的发展史

会发现NDR/EDR/SIEM这些组件

恰恰是建设XDR的基础

XDR与这些单点能力可以相互促进

还可缓解SIEM过度告警带来的困扰

最终形成合力，登上鄙视链之巅

↓

更重要的一点

XDR的战斗力强不强，肉眼可见

比如鹅厂的云原生XDR方案

SaaS化开箱即用，部署成本极低

好不好用，适不适用，立马见分晓

同时

鹅厂通过云上锤炼+云下赋能

已经摸索出一条稳健“爬坡”路径

帮助客户快速落地私有化XDR方案

我们也相信

在实战驱动的大背景下

XDR，作为安全防御的“重装护甲”

必将迎来大爆发！