隨著數字化轉型的飛速發(fā)展，企業(yè)面臨的安全威脅日益嚴峻。但是，目前許多企業(yè)仍在沿用傳統(tǒng)孤島式的安全能力建設模式，這種模式缺乏對全局安全數據的可見性，導致面對海量告警，安全產品自動化程度不高，安全人員也難以提高工作效率。

在此背景下，XDR（Extended Detection And Response：擴展檢測響應）成為了網絡安全領域的新興之秀。據了解，XDR最早由Palo Alto Networks于2018年提出，在2020年被Gartner命名為第一大安全趨勢，同時Gartner稱XDR解決方案將提高檢測準確性、安全運營效率和生產率。

近日，騰訊安全聯(lián)合權威機構Gartner在全球發(fā)布了XDR白皮書——《XDR，威脅檢測與響應的利器》。騰訊安全副總裁方斌在寄語中表示：XDR可以匯聚跨產品、跨層級的全局安全數據，利用機器學習等技術提升對全局數據的關聯(lián)和分析能力，有效幫助企業(yè)走出安全孤島。

而騰訊依托自身成熟的云上安全能力，率先在國內拓展云上XDR方案，并對私有化場景進行賦能。針對公有云環(huán)境和傳統(tǒng)IT環(huán)境，形成兩套相對獨立的方案，應對不同應用場景需要。

當前，傳統(tǒng)安全系統(tǒng)面臨著更加隱蔽、更加智能、更具破壞性的新一代網絡攻擊。尤其在威脅檢測方面，企業(yè)面臨的安全挑戰(zhàn)越來越大，高級威脅的發(fā)現越來越難以通過單一的安全能力來實現，海量告警、孤島式安全能力建設的缺陷、現有安全產品自動化能力不高、企業(yè)被動的安全防御策略等現實困境，使得企業(yè)急需尋找一種新的信息安全防護措施，加固云上安全防線。

XDR作為可演進式集成安全架構，結合了安全信息和事件管理（SIEM）、安全編排自動化和響應（SOAR）、端點檢測與響應（EDR）以及網絡流量分析（NTA），集中安全數據和事件響應，是云上安全防護的有效利器。面對不斷加速的數字化轉型和紛繁復雜的網絡攻擊，XDR可促進威脅防御、檢測、響應等安全功能之間的協(xié)同和互操作，幫助企業(yè)提升威脅檢測和響應的效率和效果。

XDR的模型架構

據白皮書介紹，XDR擁有五大核心能力和六大顯著優(yōu)勢。首先，XDR支持對終端、網絡、云和工作負載的安全防護并具備控制能力，此外，還擁有安全集成和互操作能力、大數據處理和機器學習分析能力、自動化編排能力、威脅情報能力。XDR的優(yōu)勢體現在可演進式集成安全架構，更快、更深度的威脅發(fā)現，一處檢測、全局響應，提升安全運營效率，支持混合基礎設施和優(yōu)化企業(yè)安全支出成本。

Opportunity Snapshot的研究顯示，71%的安全負責人表示，他們的團隊需要訪問威脅情報、安全運營數據、事件響應和漏洞數據，而64%的企業(yè)無法跨職能共享威脅情報數據。XDR面向實際的網絡攻擊防護需要，有效提升威脅檢測的及時性，并快速收斂已發(fā)現安全事件所造成的影響，改變企業(yè)現有安全能力零散建設運維成本高、安全能力難以協(xié)同、單點產品利用不足等帶來的安全支出成本居高不下的難題。

鑒于XDR技術的上述優(yōu)勢，國外廠商通過相互合作，積極探索XDR前進方向，目前網絡安全界已成立了三大XDR“聯(lián)盟”，分別由Crowd Strike領導，由Mimecast等供應商發(fā)起，以及由IBM參與。同時，思科、微軟、Check Point等實力雄厚的大型廠商都在整合單個產品以構建XDR套件，加大投資研發(fā)力度。據Grand View Research研究顯示，到2028年，XDR市場規(guī)模預計將達到20.6億美元，2021-2028年的復合年增長率將達到19.9%。

中國市場XDR發(fā)展前景亦十分廣闊，據CIC最新發(fā)布的《網絡安全威脅情報行業(yè)發(fā)展報告（2021年）》顯示，當前我國威脅情報市場規(guī)模約為10.69億元。另外，在11月，全球網絡安全領導企業(yè)Palo Alto Networks和普華永道中國宣布擴大合作，以XDR等產品為依托，在中國市場提供安全運營服務。同時，以騰訊安全為首的威脅情報服務提供商紛紛入局XDR賽道。凡此種種，都標志著XDR在研發(fā)投入與創(chuàng)新動力方面將迎來一波高潮。

聚焦到中國市場，中小企業(yè)數量占據了中國企業(yè)總數的半壁江山，2020年底中小企業(yè)數量便已突破4200萬家。研究機構Gartner發(fā)布的報告顯示，2021年全球信息安全和風險管理技術與服務支出預計將達到1504億美元。為了抵御攻擊，企業(yè)機構將擴展和規(guī)范威脅檢測和響應活動，由于沒有足夠的網絡安全人才或技能來推出自己的集成架構，中型企業(yè)和小型企業(yè)對XDR有著強烈的需求。

XDR作為融合了“EDR+NDR+SOAR+威脅情報+安全中臺+X”的一站式安全檢測與響應平臺，不論是傳統(tǒng)IT環(huán)境，還是公有云、私有云、單云、多云、混合云架構，XDR都能夠更快、更準確地檢測網絡攻擊活動，并以開箱即用的自動化操作快速應對各類繁瑣枯燥的安全任務，有效應對告警過載難題。

當前，各類產業(yè)主體都在積極圍繞以XDR為代表的威脅情報技術及商業(yè)模式展開探索。在有科技產業(yè)界風向標之稱的Hype Cycle（技術成熟度曲線）中，端點安全和安全運維都提及了XDR技術。此外，據ESG對339位企業(yè)安全專業(yè)人員的調查數據顯示，58%的人認為XDR可以通過增強、改進、聚合當前的安全分析功能來實現SOC的現代化，55%的人認為XDR可以通過與SOAR集成來實現安全流程自動化。

XDR已獲得市場發(fā)展的絕佳時機，安全技術廠商正抓住機會，聚焦企業(yè)需求痛點，探索XDR熱門解決方案的發(fā)展方向。

騰訊安全作為XDR探索的重要廠商代表，擁有20余年網絡攻防對戰(zhàn)經驗，一直以來都懷揣“做世界一流的威脅情報”的美好愿景，為用戶構建更加穩(wěn)固的數字時代安全底座。

據白皮書內容顯示，基于PaaS層的安全算力算法支撐，騰訊XDR方案可面向云環(huán)境和私有化環(huán)境分別提供針對性方案，覆蓋客戶IT各類場景需要，同時其云原生方案集成度高、部署成本極低、SaaS化服務即申請即使用，還可憑借云上各種基礎設施針對用戶訪問等場景進行威脅檢測與分析，擁有包括云上成熟的大數據和機器學習能力、安全算力算法在內的諸多優(yōu)勢。

騰訊XDR解決方案

例如，在公有云上，騰訊安全云上成熟的API接口可為XDR平臺提供較為便捷的響應能力，同時借助CWPP、WAF、iOA、SaaS等產品，還可針對混合云環(huán)境進行滲透，實現對混合云的集中威脅檢測與響應；在私有化環(huán)境中，騰訊安全將iOA終端安全、NDR解決方案進行整合，兼顧環(huán)境特點的同時接入更多第三方設備告警與日志；針對云環(huán)境和傳統(tǒng)IT環(huán)境并存的客戶，騰訊安全通過SIEM實現對多套XDR平臺結果的整合，滿足客戶合規(guī)和審計方面的需求。

Gartner聯(lián)合騰訊安全XDR白皮書的發(fā)布，勾畫了更為清晰的XDR發(fā)展歷程，對于不滿足于現有獨島式、分散安全能力現狀，希望提升安全威脅應對整體能力，以及采用集成化、可演進式的安全體系建設的企業(yè)送來了“及時雨”，同時也為傳統(tǒng)安全系統(tǒng)進化提供了新路徑。

從發(fā)展理念上來看，白皮書構建了一個清晰的、基于XDR的發(fā)展愿景。隨著數字化時代網絡安全領域攻防對抗的不斷升級，XDR匯聚跨產品、跨層級的全局安全數據，利用機器學習等技術提升對全局數據的關聯(lián)和分析能力，提升高級威脅的發(fā)現能力和發(fā)現速度，有效解決當前孤島式安全能力建設難題。

從技術手段上來看，白皮書提到的云原生是XDR實踐的一個新方向。XDR廠商將考慮針對公有云提供針對性的安全方案，以更好的兼容混合云架構，同時以XDR集成一體化聯(lián)防聯(lián)控思想搭建的云原生安全體系，有效提升針對各類威脅的檢測能力、響應效率，并通過SOAR提升響應自動化水平，降低MTTR。

從實踐落地上來看，騰訊安全為云上XDR探索提供了參考模板。目前使用騰訊云上XDR方案的客戶，可將公有云上失陷事件的MTTD時間減到分鐘級。依靠云原生XDR方案和SIEM結合的方式，客戶得以實現各類IT環(huán)境下的統(tǒng)一威脅運營，依托自身成熟的云上安全能力，騰訊率先在國內拓展云上XDR方案，并對私有化場景進行賦能。

我們看來，白皮書梳理了XDR演進與應用，有利于推動后續(xù)標準的共建。未來，平臺SaaS化是必然選擇，XDR會朝著技術更加成熟、產品集成能力和標準化程度更高、安全廠商間的合作更加緊密的趨勢發(fā)展。XDR在繼續(xù)聚焦事件響應的同時，會加強事件的背景和損害判斷，行業(yè)內將逐步形成一些針對事件調查的通用方法與標準。

點擊“以下鏈接”可進入Gartner官網閱讀完整版騰訊安全&Gartner聯(lián)合發(fā)布的《XDR，威脅檢測與響應的利器》白皮書。