深信服：2023年XDR技术及行业发展研究报告（26页）.pdf

1、XDR技术及行业发展研究报告CONTENTS目录XDR概述XDR发展背景XDR的概念XDR与防御体系建设XDR关键技术全面遥测数据采集自动化威胁狩猎XDR 核心价值应对潜伏威胁根除攻击影响多维安全视野攻击可视化发展问题及建议平衡效率与隐私，逐步接受SaaS关注AI+安全，提升行业生产力建立互通标准，推动生态建设010103050609101112151517192021212223XDR国内外发展现状自动化响应01网络安全监测、预警、响应、处置是网络安全防护工作的重点。近年来，国家高度重视网络安全工作，先后发布了多项网络安全战略政策。国家网络空间安全战略明确指出需要建立完善国家网络安全技术支撑

2、体系，完善网络安全监测预警和网络安全重大事件应急处置机制。网络安全法则提出了“国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏”的要求。加强网络安全信息统筹机制、手段、平台建设，是提升网络安全事件应急指挥能力的有效途径。当前全球网络空间威胁水平不断提升，网络攻防对抗技术快速发展，网络安全防御存在着技术落后，甚至是失效等风险。在这种趋势下，业界普遍认为，拥有全局化、体系化的安全视角，掌握复杂的安全态势，是应对各类复杂网络攻击一种有效思路。在这种的理念驱使下，采用统一平台化构建的、拥有多维聚合检测和响应处置一体化能力产品方

3、案则成为了一种业务共识。这也为之后 XDR 理念的提出和发展，奠定了重要基础。XDR（Extended Detection and Response）最早由网络安全公司 Palo Alto Networks 的首席技术官 NirZuk 在 2018 年提出，之后被业界广泛接受。在最新发布的2022 Gartner 安全运营技术成熟度曲线（Hype Cycle）报告中，XDR 登顶，被评为“安全运营体系中最炙手可热的技术之一”。各类的网络安全厂商都在考虑向 XDR 技术转型，包括：绝大多数 EDR 厂商，主流的 SIEM、MSS、NDR 厂商等。XDR 理念是网络安全行业在近十年的网络威胁事件应

4、对中，通过不断反思和探索而逐渐形成的。XDR 能够得到爆发式发展，并不是因为 Palo Alto Networks 公司或者 NirZuk 个人的影响力，而是网络空间安全的威胁态势、防御技术发展水平、数字化转型需求三方面因素共同作用的结果。X D R O V E R V I E WXDR概述XDR发展背景02如果威胁对抗的过程造就了 XDR 的大趋势，那么检测、响应技术的发展则是 XDR 形成的现实基础。威胁狩猎从早期阶段高度依赖安全分析师，已经发展成为绝大部分工作都可以依赖 AI 智能完成；随着 SIR、TIP、SOAR 的逐步整合，自动化的事件分类/分级、自动化响应也逐步成熟起来；而 ED

5、R 产品、MDR 服务在多个场景下的成功，也使得行业对如何完成平台的整合开发、交付和运营积累了足够的经验。这个时间点上 XDR 成了水到渠成的自然之选。同时数字化转型形成的迫切性，进一步推进了 XDR 的加速发展。随着近年数字化转型日益深化，越来越多的企业网络中分布了大量的关键业务资产（数据、应用、服务、设备等），这些资产对企业的发展至关重要，也使得攻击者更觉得有利可图，因此定向攻击已经从之前相对狭窄的国家 APT 对抗发展到更广大的网络犯罪领域，而和数字化相关的企业都有可能成为受害者，其中最典型的就是勒索软件，这几年不但越来越多的勒索攻击具备了定向攻击的特定，同时也从单纯的以数据加密为勒索手

6、段，转化为加密勒索、泄露数据勒索、向竞争对手或投资者暴露攻击机密等多重勒索的方式。同时对工业网络和IoT 网络的攻击时有发生，这种攻击可能对整个社会的正常生产、生活造成巨大影响，市场迫切需要可以及时发现各种高水平攻击并实时响应、遏制的产品，因此 XDR 的解决方案受到广泛关注。重新定义检测：2012-2013 年，多起 APT 事件被披露，展现出对各种高等级防护目标突破的普遍可能性，使整个行业认识到既有的被动防御难以应对当前面临的挑战，大多数情况下企业要么已经被攻陷，要么在被攻陷的路上，这就需要在传统 IPS、AV 等特征检测防御的基础上，构建新的主动检测能力，以发现高级的、隐蔽的渗透攻击行为