2023新一代威胁检测与响应（XDR）技术创新发展报告

2023关于ISCISC成立于2013年，是国内唯一专注为数字安全行业赋能的平台。打维一体”的生态模式，全面赋能国家、政府、行业、企业、个人。过去10年，ISC秉承创新引领、智慧洞察、专业当今世界规格高、辐射广、影响力深远的全球性安全峰会——互联网安全本报告版权属于ISC，任何组织、个人未经授权，不得转载、更改或者以任何方式传送、复印、派发该报告内容，违者将依法追究法律责任。转XDR是前两年非常热的名词，最近一年声音小了很多，不是XDR概念不好，是XDR产品开发的难度太大！在安全运营、平台化、服务化成为趋势的今天，XDR其实是未来安全运营平台的一部分，只是不同背景的公司优势不同，他们实现XDR目标的路径会不同。传统威胁检测技术的核心是流量检测，但随着云计算和远程访问的普及，终端的检测变得愈发重要起来。因此，本报告将这一变化用新一代的威胁检测与响应来表达。而实际上，较之网络流量检测，端点的检测结果往往更加准确、高效，这也是EDR之所以越来越受到关注的主要原因之一。除了端点和流量，“新一代”还意味着与日志工具(SIEM)和流程工具(SOAR)的结合，意味着云机地人的一体化协同和多维度数据的打通。更多的观点和内容，推荐阅读本报告。一直以来网络安全行业都缺少统一的力量，不能“集中力量”就无法“办大事”，XDR技术的创新发展为改变现状增加了可能。XDR技术的与众不同就在于能够自我进化和无限扩展，新一代XDR将当前最新的大数据技术、AI技术、威胁图谱等技术兼容并蓄，提供给安全运营人员一个识别威胁检测的全局视野，一个处理威胁响应的高效工具，让安全运营人员的人力极限得到解放和突破，大幅提升组织的安全运营能力。在这一过程中，新一代XDR必须打破数据共享壁垒、打破技术协同壁垒，客观上推动了相关技术标准的统一，为行业出现真正的标准化、规模化的产品提供了想象空间。未来几年XDR产品将迎来高速增长期，希望更多的安全运营客户能够通过本报告了解新一代XDR技术，更早一步受益于技术红利和普惠安全。软件行业有句名言：商业模式要么是捆绑，要么是分拆（bundle,orunbundle），新技术面世，往往先以分拆模式，作为独立的产品出现，一旦技术成熟，就走向捆绑（或者叫高度整合）形态，融合进已有产品。安全产品的发展亦然。SIEM和从SIEM发展而来的XDR，就是两种模式的代表。单看SIEM的底座大数据技术，在SIEM出现的十余年间，都尚不成熟，产品化Hadoop生态的大数据技术，需要大量的部署及运维成本。只有2010年后开始，各种NoSQL的使用成本，才慢慢降到上一代SQL数据库的成熟水准。类似的还有以EDR为核心的检测技术，SOAR代表的响应处置自动化技术等，都是在最近几年中，业界共识的安全运营核心组件。对于最终用户，一个高度整合的XDR，除了单算经济账，投入产出比更好外，更重要的是，构筑、整合这些最佳技术的XDR，是目前解决安全运营流程中各种问题的最佳平台。以平台的高速发展势头，未来几年，快速成熟中的各种新兴技术，如AI/GPT，如BAS，会陆续普遍整合进XDR，给客户提供更高的安全运营价值。新一代XDR系统借助大数据分析和人工智能技术，正在向平台级网络防御体系迈进。其核心优势在于两个关键性能指标：精准识别网络攻击的时延和快速反制的速度。要想进一步提升这两项指标需要三方面能力的有效协同：高效处理海量异构数据的能力、高质量威胁情报能力以及安全团队的可持续专业经验。考虑到数据监管的日益严格，以及为了应对未来更广泛的安全挑战，XDR还需要将覆盖范围将扩展到IoT等物联网设备，同时还要考虑数据隐私保护以及合规性审计等。可预计，XDR将向更智能、更协同、更开放的方向升级，并成为下一代安全运营的中枢平台。中美对抗、俄乌冲突、以哈战争…，今天，大国竞争和地缘冲突愈演愈烈导致逆全球化格局的逐渐形成，此前好不容易建立的网络空间国际合作治理已经遭到严重破坏，这给了网络犯罪前所未有的发展空间。有关机构预计2023年网络犯罪将给全世界造成8万亿美元的损失，这相当于全球网络安全收入的40倍。我之砒霜，汝之蜜糖。巨大的经济利益激发了黑客无比的创新热情，在层出不穷的安全事件中，我们可以看到大语言模型、AI深度伪造、CaaS平台等前沿技术的身影，平台化服务已经使得网络犯罪不再有技术门槛，向分工化、分散化、规模化的方向狂奔。既有精准狙击，也有无差别扫射，政府和企业的数字化转型和生存真正成为了一个至暗时刻也许就要到来，而被寄予守护世界厚望的网络安全行业则处于发展的寒冬。2023年国内26家上市网络安全企业有3/4处于亏损状态，前3季度的融资率同比下降超过像痛风，在大环境的寒气下，让整个行业更加疼痛了。何时能够在合规产品的同质化红海里停止厮杀？何时能够共同直面和解决强大对手不断制造的新问题？只有创新才能对抗创新！这是ISC平台上下求索和苦苦等待的。勿以善小而不为，行业在创新上迈出的每一小步都是ISC平台不会错过的。我们会通过技术创新系列报告的形式，告诉同行们，这个方向有人还在攀登。本期《2023新一代威胁检测与响应（XDR）技术创新发展报告》主要介绍了XDR技术的基本概技术创新取得的主要进展。此外，最有价值的是报告详细收录了5个落地实施的最佳实践，相1.宏观背景1.1数智时代网络空间安全面临越来越严峻的问题和挑战1.2网络安全顶层设计为XDR等网络安全技术的创新和快速发展提供机遇2.安全运营需求背景2.1数字化转型给安全运营带来空前挑战2.2数字时代的安全挑战驱动网络安全行业变革042.2.1外部威胁升级2.2.2内在固有的脆弱性2.3数字时代安全运营需要技术创新实现专家和技术高效协同063.XDR的概念演进3.1XDR概念的提出3.2新一代XDR的发展3.3XDR的市场前景2122222323252727281.360数字安全：某头部国有股份制银行智能化安全风险研判平台建2.金睛云华：某省互联网骨干直联点安全监测项目353.电信安全：某金融机构网络空间威胁监测与响应平台建设项目414.星阑科技：某金融机构API安全保障项目5.中睿天下：国家电网威胁检测与攻击溯源项目XDR概述 02从蒸汽机的发明开始，每一次工业革命都永远改变了世界的运作方式。在工业4.0这场新时代的革命中，全球向数字化、网络化、智能化的数智时代加速转变，数字技术与经济、政务、文化、社会和生态文明建设等领域深入融合，发挥着基础设施和赋能提效的关键作用。在这场变革中，数据是基石，人工智能驱动的分析和自动化是科技竞争的焦点，智能技术成为一种全新的劳动力，释放出极大的数据价值，创新和改变企业的业务模式。企业需要充分发挥数据和人工智能的力量，才能有机会在技术更新周期不断缩小的数字革命中字经济正在成为大国竞争的制高点，国家、区域乃至行业都需要不断在网络空间开疆拓土，推动数字化转型体现出一切皆可编程、万物均要互联、数据驱动业务三大特征。随之而来的，网络空间威胁也在深刻的演变。APT成为主要手段，针对业务关键数据的勒索攻击呈爆发式增长，城市关键基础设施和工业互联网成为家专业力量，使整个攻击力量谱系呈现出丰富、复杂的分布。网络攻击从网络空间向经济、社会、国防、外交等全域交织渗透，影响巨大。新的安全威胁呈现出了攻击面几何倍数急剧扩大、新技术新场景引入新风险、国家关键基础设施面临严重威胁、以及网络空间博弈加剧等特点，网络安全工作面临越来越严峻的问题1.2网络安全顶层设计为XDR等网络安全技术的创新和快速发展提供机遇我国自党的十八大以来，在党中央的高度重视下，网络安全工作取得了举世瞩目的成就：一是法律法规体系建设进一步完善，《网络安全法》、《数据安全法》、《个人信息保护法（草案）》、《密码法》、《网络安全审查办法》等多项法律法规的发布，为我国网络安全工作的推进提供了规矩和准绳；二是网络安全产业蓬勃发展，根据中国信息通信研究院的统计测算，2020年我国网络安全产业规模达到1729.3亿元，未03来5年将持续保持10%以上的增速；三是网络安全威胁治理取得显著成效，DDos攻击、僵尸网络控制等传统为应对数智化转型不断深入以及大国网络空间博弈不断加剧给网络安全工作带来的新形势新变化，我国在以上安全要求和政策指导下，业界普遍认为加强网络安全信息统筹机制、手段、平台建设，是提升网络安全事件应急指挥能力的有效途径。当前全球网络空间威胁水平不断提升，网络攻防对抗技术快速发展，网络安全防御存在着技术落后，甚至是失效等风险。在这种趋势下，拥有全局化、体系化的安全视角，掌握复杂的安全态势，是应对各类复杂网络攻击的一种有效思路。在政策和需求双向驱动之下，XDR等采用统一传统安全模式被颠覆：数字化转型正在颠覆传统网络和安全服务的设计模式。以前的网络安全主要关注一切皆可编程：数字时代的一大特点是通过软件来定义世界，使得一切都可以编程。这为攻击者提供了数据驱动业务：数据成为业务的核心。虽然这为企业提供了更多洞察全局的能力，但也增加了数据泄漏多元化业务变革：远程办公、移动办公、自带设备办公（BYOD）、第三方SaaS应用访问、第三方影子攻击载体增多：攻击者现在可以利用各种载体，从任何终端、网络到云端的任何位置发起攻击。这增加广泛的攻击向量：攻击者可以利用各种攻击向量，包括恶意软件、社交工程、勒索软件、网络钓鱼等，04互联网和云的崛起：随着数字化转型的深入，所有企业都开始上云用数赋智，云成为新的数据中心。这因此，企业迫切需要新型的数字安全防御思路和手段来应对数字安全新威胁，安全运营面临越来越大的2.2数字时代的安全挑战驱动网络安全行业变革点式的安全设备来解决问题。然而，这种堆叠式的方法导致了安全解决方案的复杂性增加，集成困难，日志收集不统一，最终只能依赖分散的数据分析和碎片化的安全管理，无法高效地应对现代系统化的网络攻击。2.2.1外部威胁升级告警风暴无法应对：网络安全领域面临不断升级的外部威胁，攻击者会不断地发起攻击并改进其攻击技术，据MicrosoftEntra数据显示，2023年尝试进行的密码攻击增加了十倍多，从每月约30亿次增加到超过300亿次。安全工具产生大量的告警风暴，由于多数警报经常缺乏调查所需的必要情境，分析师们不得不将大量宝贵的时间浪费在获取更多详细信息中。由于充斥着不准确和不完整的警报，53%的安全高级威胁难以察觉：高级持久威胁（APT）等隐蔽的攻击具有高度的隐蔽性、复杂性和持久性，很难被传统安全解决方案发现，因此企业往往无法及时察觉到这些潜在威胁。APT攻击者通常使用多阶段的攻击策略，他们会精心规划攻击行为，避免引起安全系统的警觉，常常在系统的日常活动噪音之下进行潜伏和操作。此外，攻击者还会使用专为特定目标设计的定制化恶意软件，这些软件往往没有已知的签名，从而能够绕过传统的基于签名的防病毒检测。APT攻击者也擅长使用合法凭证和系统工具来进行攻击，这些行为很难被识别为恶意活动。同时，APT攻击者拥有充足的资源和明确的目的，他们不断在受害网络中寻找新的入口和持久化手段，确保即使部分攻击被发现，也能持续保持对网络的控制。这些特点使得APT攻击可以长期潜伏在受害者的网络中，而不被传统安全措施所发现。因此，要识别和防御APT，需要更为先进的技术和策05安全事件难以处置：即使威胁被检测到，处理安全事件也面临挑战，包括追溯攻击来源、修复受损系统和应用、以及从受感染的设备中清除恶意软件。传统的网络安全解决方案在处置网络威胁方面的效率低下，首先是因为它们依赖于已知的威胁特征和静态规则，对于新出现或变种的威胁反应迟缓。其次，这些解决方案通常缺乏高度自动化，需要安全专家的手动介入，导致在响应过程中产生时间延迟和错误判断的可能。最后，不同类别不同厂商的安全产品往往缺乏与其他产品的统一集成标准，导致产品之间无法有效共享信息和协同工作。碎片化数据、非标准化技术和人员技术水平差异使得威胁处置变得困难，而这可能使攻击者有足够的时间完成攻击行动。因此，在现代网络环境中，组织迫切需要采用更智能、自动化的安全技术，以提高2.2.2内在固有的脆弱性安全人才奇缺：网络安全领域面临严重的人才短缺问题，尤其是具备高级安全技能的专业人员非常稀缺，而攻击者却不断组织化、规模化、分工化，推动安全对抗不断升级。中小型企业和行业腰部企业尤其受到影响，因为它们通常面临有限的资源和预算，难以雇佣足够的安全专业人员来满足需求。大多数企业中的安全设备建设规模与安全团队人员配比形成巨大的反差，有限的安全人员在繁杂的安全工作中疲于奔命，导致整体安全建设效率低、质量差，安全运营处于低速运转状态。面对人才缺口的挑战，企业需要寻求自动化工具、外包安全服务、拓宽招聘渠道、培训和发展内部安全团队等，以填补安全人员缺口，提高安全建设的效率和质量，以应对不断演变的网络威胁。此外，数字化时代还需要全球范围内的协作，以共同解决安全人安全技术碎片化：市场上存在着大量的安全产品和解决方案，这些产品通常专注于解决特定的安全问题或保护特定的系统板块，由于不同类别的产品之间缺乏统一的标准和平台，这些工具和服务往往难以整合，··管理过程复杂：安全团队必须管理和维护多个不同的安全工具，这些工具可能来自不同的供应商，拥有不同的操··造成信息孤岛：当安全系统不能有效地交换信息时，会形成信息孤岛。这阻碍了安全事件数据的集中分析，从而06··资源分散：在碎片化的环境中，组织需要为每一种工具投入人力和财力资源来进行操作和维护。这种分散可能导··响应延迟：由于缺乏自动化和集成，当攻击发生时，需··漏洞与攻击面增加：使用众多不同的安全产品可能导致配置和管理上的错误，这本身就可能成为新的攻击面。攻运营流程难以量化改进：许多企业缺乏完善的运营流程，缺乏实时可见性，使得安全事件监测和响应变问题背后的本质是，面向合规开展安全建设，能够回答有或者没有，但面向实战对抗的安全运营，却无法量化衡量运营有效性，最终导致企业无法测量自身的短板，陷入了不知道如何持续改进的痛苦境地。就像管理学大师彼得·德鲁克所说的“如果你无法测量它，你就无法管理它。”因此，安全改进的机制，满足以下诉求：能够直观地了解网络安全防护能力，安全设备是否如期发挥最大效能，对公司当前的防护水平有量化的认知，清晰认识到安全设备带来的价值和投资回报率。同时为未来安全设备选型提供可靠数据支撑，检验即将采购的安全设备是否真的有效；从而有效认识安全建设规划预期与实际效果之间所有这些挑战共同催化了网络安全行业的涅槃式变革，推动网络安全行业寻求更加综合、智能和自动化2.3数字时代安全运营需要技术创新实现专家和技术高效协同安全技术虽然在网络安全中扮演着关键角色，但它们不能解决所有问题，因为新的威胁和攻击向量不断07涌现，对于复杂高级威胁攻击，最终的研判分析和应急响应仍然依赖于专家能力和经验，而技术的最大安全技术存在局限性。网络威胁不断演进，攻击者采用新的技术和策略，制造出各种新型威胁。尽管人工智能、大数据分析等技术在安全领域发挥了重要作用，但它们并不能完全取代人的干预。特别是在处理复杂高级威胁攻击时，仍然需要专家的能力和经验，来进行深入的研判分析和应急响应。攻击手法的隐蔽性和业务场景的复杂性意味着需要高度训练的专家来发现和应对威胁。专家能够理解攻击手法的变化，为特定的安全专家的技能要求不断提高。一名胜任的安全专家需要具备跨域数据分析、事件监控、威胁狩猎等多方面的综合能力。这对企业和行业来说是一项巨大挑战，因为培训和招聘这些高级技能的专业人员需要大量时间和资源。大型企业需要认识到人员技能的重要性，积极投资于培训和发展专业安全团队。中小企业则更多的可以考虑选择SaaS服务方式提供的托管运营（Mana务，通过共享服务和共担成本的模式来委托专业的外部专家团队来监测、分析和应对企业内的安全事件，解安全技术是网络安全的基石，但它们必须与专家的技能和经验相结合，才能有效地解决不断演进的威胁。每一次科技革命本质上都是通过一个技术创新高效地解决过去一个很费钱或者是投入资源太大的问题。新形势下的安全运营，亟需通过创新技术来引导管理体系的建设，通过管理保障技术的落地，将人、技术和3IXDR的概念演进3.1XDR概念的提出全面临了越来越专业化和自动化的黑客攻击，而安全防护仍然依赖于多种独立的安全产品，靠堆人在几十种08安全产品上轮流看告警，这是不可持续的做法，而且不能合力的安全产品一定看不全黑客的攻击面。这种局核心理念：XDR的核心理念是打破安全产品孤岛，将多个安全产品整合到一个集中的大数据平台上，以实现自动化的检测和响应能力。这使得安全团队能够更好地协同工作，共享数据，提高整体的威胁可见性和Gartner和Forrester的定义：根据Gartner的定义，XDR是一种基于SaaS的、由特定供应商提供的安全威胁检测和事件响应工具，可以将多种安全产品集成到一个紧密结合的安全操作系统中。而Forrester则更广泛地将XDR定义为能够实时优化威胁检测、调查、响应和追踪，能够结合多种安全和业务工具的遥测数据，构建在大数据基础设施上的云原生平台，为安全团队提供灵活性、可扩展性和自动化的安全运营工具。从两者的定义来看，Gartner更强调XDR类似乐高的集成性和扩展性，而Forrester更强调XDR对大数据和云原生市场地位：在最新发布的《2022Gartner安全运营技术成熟度曲线（HypeCycle）》报告中，XDR登顶，被评为“安全运营体系中最炙手可热的技术之一”。各类的网络安全厂商都在考虑向XDR技术转型，包括绝大多数EDR厂商，主流的SIEM、MSS、NDR厂商等。3.2新一代XDR的发展数字化转型的深化加速了XDR的发展。随着企业数字化程度的提高，关键业务资产的分布变得更广泛，攻击技术的平台化智能化升级导致攻击已经没有什么技术门槛，攻击者规模核爆式增长，攻击者的目标范围扩大，威胁似乎已变得无孔不入无所不在。今天，威胁的检测和响应已经完全不能通过大量铺人就能解决的XDR的演进是网络安全领域对不断发展的企业外部安全威胁和内部安全需求的回应，新一代XDR旨在面向数字安全威胁环境的最新变化，结合新技术的发展，提供一种综合性的解决方案，以更好地检测、响应和·新一代XDR拓宽了分析范围，能够关联分析更多维的遥测数据，包括来自终端、网络、云端、移动·09·整合全球威胁情报、资产、漏洞、暴露面信息等多元威胁数据，以及APT基因库和攻防知识百科等专········利用人工智能和机器学习技术，提高对海量威胁数据的自动分类聚合与关联分析能力，不断训练和优········新一代XDR与云端深度结合，实现云地一体化运营，通过···3.3XDR的市场前景据研究机构Gartner有关调研数据显示，2021年应用XDR的组织比例尚不足5%，而至2027年结束时，这一比例将会达到40%。同时也预测，由于XDR概念的火爆以及用户需求侧的翘首以盼，将会刺激不少此前另据研究机构Omdia于今年发布的XDR相关报告显示，XDR这一细分市场的全球收入将在五年内增长超过800%，并在2026年达到30.22亿美元。而GrandViewResearch的研究数据显示，预计XDR的市场规模将会在2028年达到20.6亿美元，这期间（2021-2028年）的年复合增长率将接近20%。总体来看，虽然两者在HypeCycle技术成熟度曲线中，XDR技术在端点安全和安全运维领域被多次和市场接受度上的显著位置，成为近两年最炙手可热的技术方向，吸引大批的安全厂商投入到XDR相关建设国际上，多家知名的EDR&NDR、SIEM、MSP和综合类厂商已经进入XDR市场，如CrowdStrdefender、Elastic、Microsoft、PaloAltoNetwork等。此外，专门的XDR托管服务厂商（MDR）也在增长，例如Expel、CrowdStrike和BinaryDefense等。其中比较有代表性的三条产品路线为：Cisco的SecureX：云原生内置平台，简化安全防护，提供全面的可视性，并通过自动化工作流提高运维国内XDR市场也在迅速发展，厂商主要从NDR、EDR和SIEM技术路线演进，如360、深信服、安恒、青藤云和日志易等。从产品交付模式上看，有本地化和SaaS两种模新一代XDR的关键创新优势1I新一代XDR保持XDR原有的核心技术架构在核心技术架构方面新一代XDR继承了原有的基础架构，突出特点就是集腋成裘。作为一个平台型产据湖技术、自动化编排技术及安全分析技术，形成面向多种甚至未知安全场景的综合性安全解决方案，能够面对现今复杂的IT环境，不论是传统老架构，还是公有云、私有云、单云、多云、混合云架构，XDR都能够更快、更准确地发现网络攻击活动，为企业提供快速应对各类繁琐枯燥的安全任务的能力，并且多维安全视野聚合，也能有效应对当前安全设备海量告警过载的难题。在Gartner的报告《InnovationInsightfor往会包含多种技术。从环境讲，XDR需要考虑终端、网络、数据中心、云等不同的环境；从安全运营过程讲，XDR需要覆盖数据收集、检测、分析、遏制、清除、加固等多个阶段，甚至还可能包括情报的生产和共享。在Gartner新发布的《扩展检测和响应的市场指南》中，XDR技术首先是一个集成EDR、NDR、SIEM、1.1XDR的核心是EDREDR是XDR要对接的最重要的安全产品类别，没有一个好的EDR，XDR的检测与响应效果无从谈起。EDR通过实时监测端点上发生的各类行为，采集端点运行状态，提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置和追踪溯源等功能，及时检测并发现恶意活动。XDR以EDR数据为核心，串联跨域安全设备数据，可以更高效地看见威胁并基于攻击链快速做出检测与响应。XDR通过多元异构的大数据关联分析，叠加多层次的AI算法，先把EDR传回的行为数据串接出攻击链的核心，再关联其他检测攻击面的安全产品的行为数据进行延展和合并，最终把包含EDR的多种安全产品的海量行为数据，浓缩成一条清晰的攻击链，并进一步对链上具体的攻击行为提供丰富的上下文，如综合自其他安全产品的资产漏洞信息、全网威胁信息、源自云端数据的攻击者画像等，可以完整的看到安全事件影响的所有资产、漏洞、威胁以及攻击1.2XDR集成NDR获得更深入和广泛的安全视野XDR通过整合多种数据源，如端点、网络、云和其他应用，为安全团队提供了一个全面的威胁情报视图。而NDR则专注于监控网络流量，检测异常行为和潜在的威胁活动。当XDR集成了NDR的功能，它可以获得更丰富的网络流量数据和上下文，这对于检测和响应网络级别的威胁至关重要。此外，XDR的全面性意味着它可以关联来自不同数据源的信息，从而更准确地确定威胁。例如，当XDR检测到端点上的可疑行为时，它可以查询NDR提供的网络流量数据来确认这一行为是否与网络中的其他异常活动有关。这种关联分析增强了威胁检测的准确性，并减少了误报。NDR的专长是实时监控和分析网络流量，而XDR的强项是跨多个安全领域进行威胁检测和响应。当这两者结合时，它们为组织提供了一个既深入又广泛的安全防御机制，确保了1.3XDR集成SIEM增强其在检测和响应领域的执行能力传统的SIEM主要集中在检测和告警，而XDR则更进一步，在SIEM提供的检测和告警信息的基础上，进行自动化的响应和处置。XDR采用先进的机器学习和人工智能技术，能够更智能地做出响应决策。例如，它们可以自动区分误报和真实威胁，从而减少了误报导致的不必要干预。同时，利用自动化技术，XDR在检测到威胁后迅速做出响应，不仅可以自动发出告警，还可以执行预定义的响应措施，如隔离受影响的设备、终止恶意进程或阻止网络通信。这种自动化的响应能力是传统SIEM所缺乏的。这种即时响应减少了潜在的损害1.4XDR集成SOAR提升其工作的精准性和效率当XDR与SOAR（SecurityOrchestrat强大的安全框架。XDR弥补了SOAR在威胁检测、数据上下文和跨环境响应方面的短板。XDR提供的高级威胁检测和响应能力为SOAR带来了丰富的实时数据和上下文信息，使得安全工作流更为完整和准确。这种集成确保了数据的一致性，使得SOAR可以基于最新的威胁情报迅速做出决策。同时，XDR的跨多个环境的操作能力（如端点、网络和云）与SOAR的编排和自动化功能相结合，使得组织能够在各种环境中进行有效的威胁响应。此外，XDR在减少误报并提供更有意义的告警方面能力更优秀，与SOAR结合后，可以进一步优化事件管理，降低噪音，使安全团队能够更加集中地处理真实的安全威胁。XDR和SOAR的集成为组织提供1.5XDR是SOC现代化改造的重要组成部分传统SOC方案以信息资产为核心，通过对各种安全设备、网络设备、应用和系统的日志、告警进行监控和分析，能够提高安全运营人员响应、处置、溯源的效率。现在较为先进的SOC选择围绕数据和情报，结合AI或自动化工具来对抗威胁与攻击。从多年的实施效果来看，SOC在国内的落地遭遇重重挑战，原因除了价格高昂、组织缺乏专业运营人员之外，SOC方案集成了从资产到数据，从安全到组织能力的众多功能，也使系统越来越繁重，同样在一定程度上限制了它的发展。XDR具备聚合分析流量和端点一手数据，以及微剧本半自动化响应事件的能力，结合MDR的及时支撑，可以作为SOC方案的底座，是当前SOC现代化改造的重要2I新一代XDR的关键创新优势·遥测数据的深度聚合与分析深度聚合并分析从云、网、端采集的遥测数据，这使得安全团队可以深入了解其所保护或监控的对象中是否存在安全风险与攻击。更为重要的是，新一代XDR强调不仅仅要对当前实时数据的分析，还要回溯以往打破了云端知识、客户业务及威胁数据之间的固有障碍，还使得各类安全数据能够融通无阻，从而实现真正·安全大数据平台的专业性与传统的大数据平台相比，专为新一代XDR技术设计的安全大数据平台在数据处理、安全分析功能和性能方面都有所超越。它支持跨数据中心的全局关联分析，并能够快速接入各类多模态探针数据。此外，该平·云端赋能连接器的全网连接能力新一代XDR技术的云端赋能连接器可以连接全网的大量安全情报数据，从而为分析提供丰富的数据支持。这种连接器能够提供从漏洞、资产、情报到知识的全面数据，从而助力安全运营人员在攻击事件中取得·全面遥测数据采集的进步十年前，安全行业已经认识到了数据驱动安全的重要性。随着时间的推移，行业对数据采集的方法和技术进行了不断的探索和创新。新一代XDR技术采用了以遥测数据为中心的采集机制，这种机制不仅降低了带宽和数据成本，还为规模化和SaaS化部署提供了坚实的基础。2.2融合应用多项先进技术提高威胁检测和响应效率新一代XDR通过融合应用多项先进技术，主要包括ATT&CK（攻防战术、技术和知识百科）、安全大数据技术、人工智能和机器学习技术、威胁图谱技术、SOAR技术和BAS技术等，实现对网络安自适应和实时的检测与响应。机器学习算法使XDR能够自动识别和适应新的攻击模式，威胁图谱为其提供了全局的网络视图，SOAR技术加速了事件响应和处置，而BAS则为XDR提供了一个准确的、定量的评估手段。这些技术的结合使新一代XDR成为一个拥有多项超能力的超级英雄，能够有效地应对现代网络环境中的2.2.1基于2.2.1基于ATT&CK攻防知识百科形成高质高效的安全数据采集和分析规则打造真正有效的XDR产品，更高效地解决「看见」的问题，数据质量是一切的前提。在当今的数字经济中，数据被视为核心的生产要素。在安全领域，数据驱动的方法已经被广泛接受，而数据质量则成为决定成败的关键。这意味着，当面对海量安全数据时，决定采集哪些数据变得尤为重要。只有准确和全面的数据才能确保后续分析的有效性。如果没有对需要采集的数据类型的明确理解，可能会浪费大量的资源处理无关紧要的数据，而无法提取有价值的信息。因此，从实网攻防经验中提取知识，并基于这些知识为XDR定义数据标准，被视为实现有效的威胁检测和响应的关键步骤。新一代XDR基于ATT&CK攻防知识百科建立一套高质高效的安全数据采集和分析规则，涵盖数据采集、分析、响应和评估，明确XDR需要集成哪些数据源，如何进行分析，如何为应急情况做准备，以及如何评估其效果。其基本原则一是以威胁为中心进行采集，二是动态按需采集。按照这套安全数据采集和分析规则，XDR将得到一个高质量的数据库，包含被分级分类的威胁数据，如APT攻击、黑客入侵和恶意软件等，以及实网攻防中新发现的攻击技巧、攻击工具、攻击者信息以及相关的资产和数据来源等，最终都被整合到一个可视化的图谱中。使得系统和专家可以高效分析安全态基于ATT&CK优化检测数据采集规则2.2.2基于安全遥测数据获得全局视野2.2.2基于安全遥测数据获得全局视野XDR的效果在很大程度上取决于数据的质量和规模。尽管企业可能积累了大量数据，但这些数据主要只数据平台，以及一个能够接入更广泛的全网数据的连接器，从而实现安全分析和响应的全面赋能。这种结构将消除云端知识、客户业务和威胁数据之间的传统障碍，实现各种安全数据的整合和协同决策。这个安全大数据平台不仅能够实时处理大量数据，还可以根据数据的规模进行扩展，支持跨数据中心的全局关联分析。它为各种安全子领域，如流量、资产、进程、网络和内核行为等，定义了专门的XDR数据模型，从而实现了数据的集中管理和内部融合，为安全业务提供一站式的服务。与通用大数据平台相比，它在数据处理、安全另一方面，云端连接器提供了连接全网遥测数据的能力，为XDR分析提供了从漏洞到资产、从情报到知识、从线索到规则、从事件到态势等上百种基本的安全数据和分析能力，包括与攻击者相关的所有信息，从而帮助安全团队获得全局视野，在攻击事件中取得先机。这包括但不限于：检测到的失陷事件、攻击的来源、恶意样本的鉴定、风险URL的检测、漏洞的分析、文件的信誉评分、风险资产的绘制、战术和策略的还新一代的XDR技术在遥测数据采集方面具备一系列独特的特点，确保对网络安全威胁有更深入、准确和时效性的理解。首先，XDR采用了以威胁为中心的数据采集方法，这意味着它不是盲目地收集所有数据，而是着重于与后续的威胁检测和分析相关的数据。这种策略不仅有助于准确地检测和分析网络攻击，而且显著减少了不必要的数据处理工作，为基于AI的威胁检测奠定了坚实基础。其次，XDR的遥测数据采集是动态和按需的。考虑到网络攻击手段的持续变化和演进，XDR能够动态地调整其数据采集策略，以适应新的攻击模式和策略。此外，按需采集确保了只在分析时采集特定的数据，如网络流量抓取或系统状态信息，这大大减少了数据传输和存储的需求，为大规模部署和云服务提供了强大的支撑。总的来说，XDR的遥测数据采集技术代表了网络安全领域的一个重大进步。它不仅提供了对网络攻击的深入理解和高度的可见性，而且大大降低了对安全专家的依赖，减少了冗余的工作，同时优化了数据传输和存储的成本，增强时效性及获得更多的上下文状态信息。针对遥测数据的聚合与分析，可以深度了解所保护或监控的对象中是否存在安全风险与攻击（含隐蔽的），甚至可以回溯之前已经发生过的相关安全事件，让网络安全具备高度可见性。遥测数据采集和分析应用是安全大数据分析上的巨大进步，降低了对安全分析师技能的要求，减少了重复性的劳动，同时通过节省带宽、数据成本，为规模化和SaaS化部署奠定了基础。2.2.3结合人工智能和威胁图谱技术实现2.2.3结合人工智能和威胁图谱技术实现自动化威胁狩猎新一代XDR技术结合人工智能和威胁图谱技术，为实现自动化威胁狩猎提供了强大的技术支持，大大提首先，结合人工智能技术，XDR可以自动学习和识别各类威胁模式和行为。基于大数据分析、人工智能算法可以从海量的网络日志、事件和其他遥测数据中，自动识别出异常和可疑行为，从而在初步阶段就实现对已知和未知威胁的检测。此外，随着时间的推移，这些算法可以不断学习和调整，使其在威胁检测上的效而威胁图谱技术则为XDR提供了一个全面、结构化的视角来查看和分析网络安全事件。威胁图谱能够将各种实体（如主机、IP地址、域名、文件和用户等）之间的关系和行为可视化。这种视角不仅可以帮助安全分析师迅速地理解和跟踪攻击的完整链路，还可以自动识别出复杂的攻击链和多步骤攻击，这在传统的安全工具中是很难实现的。例如，通过威胁图谱，安全团队可以清晰地看到一个恶意文件是如何通过一个钓鱼邮结合这两种技术，新一代XDR可以自动地从大量数据中筛选出关键的安全事件，然后利用威胁图谱进行深度分析和关联，从而实现对高级和复杂威胁的自动化狩猎。这种自动化的方法不仅大大加快了威胁检测和总的来说，新一代XDR通过结合人工智能和威胁图谱技术，为企业和组织提供了一个强大、灵活和自动2.2.42.2.4SOAR技术提供快速响应和处理安全事件的能力通过集成SOAR组件，XDR可以自动化地进行安全编排、响应和处置。SOAR还为XDR提供了上下文富化够快速识别威胁，还要能够自动、快速地对这些威胁做出响应。为了实现这一目标，集成SOAR组件获得的自动化工具和流程，可以帮助安全团队快速地对云、网络和端点中的威胁进行响应。首先，SOAR组件通过对检测模块提供的告警数据的上下文富化和风险评分，为安全事件的响应提供一个优先级队列。之后，安全·XDR在事件响应识别和遏制阶段的自动化技术实现根据SANS的事件响应框架，整个响应流程包括准备、识别、遏制、根除、恢复和总结6个阶段。基于30分钟内控制横向移动的攻防对抗实际要求，最需要优先实现自动化的是识别和遏制。而从现实的技术发展看，实现自动化程度最高的也是在识别和遏制阶段的相关机制流程上，而根除和恢复不可避免地需要更深度SANS事件响应框架·识别阶段：迅速确定告警的真实性在事件响应的识别阶段，XDR的核心任务是尽快确认告警的真实性。为此，XDR系统需要对告警进行深丰富的遥测：XDR可以跨端点、工作负载和身份捕获数万亿个安全事件，并结合威胁情报、上下文和相深度分析：通过应用图形分析和机器学习算法，XDR能够实时揭示数据元素之间的上下文关系，从而更强大的搜索和查询能力：XDR内置的查询和搜索引擎能够为响应者提供实时和历史取证详细信息，以进数据可用性和可视化：XDR提供了强大的可视化仪表板，使调查人员可以按需访问丰富的数据，并了解利用上述技术，无论是人工还是自动化的方式，XDR都能够迅速、准确地确定告警的真实性，从而为后·遏制阶段：智能确定和执行遏制动作一旦告警被确认为真实威胁，XDR会立即进入遏制阶段。在这个阶段，XDR需要快速、准确地确定并执AI模型：XDR结合了先进的AI技术，可以对发现的失陷主机进行智能分析，预测攻击者可能的下一步动自动化脚本和编排：XDR内置了多种自动化脚本和编排引擎，能够根据事件类型自动选择和执行最佳实集成通信工具：为了避免自动化遏制动作对业务产生潜在影响，XDR可以与企业的通信工具集成，将遏深度整合SOAR技术：SOAR技术为XDR提供了一整套完整的自动化遏制工具当前，自动化响应技术在事件响应的分析、遏制阶段取得了实际的进步和效果。采用相关的自动化技术可以大幅度降低事件响应需要的时间和专家资源，保障在一个更短的时间内阻止攻击者的横向移动和其它进2.2.52.2.5BAS技术为XDR提供及时的运营效果量化评估如果说新一代XDR是ATT&CK攻防知识百科指导下的聚焦检测与响应的工程化产品，那么BAS（Breach通过同一套知识体系赋能，让数据接入、检测、响应、评价形成统一的度量标准，换言之，我们认为BAS是XDR的伴生技术，是检验XDR技术有效性的评价手段，更是指导企业安全运营持续改进的量化标准。BAS的核心价值在于其自动化地模拟多种真实世界的攻击场景，从而对整个企业安全防御体系进行全方位的压力测试。这种模拟不仅揭示了可能的漏洞和盲点，还能为安全团队提供清晰的反馈，使其了解当前的XDR配置和策略是否能够有效地应对实际的攻击。在没有BAS之前，安全有效性评价高度依赖安全专家个人能力和经验，需要某一个人来指出，当前哪里存在风险需要加固、发现了哪几个高危用户行为可能存在攻击风险等，这中间存在主观性、时间成本、人力成本等不确定因素。BAS带给XDR的价值是，当一次新的攻击事件发生后，能够迅速地通过灭活重放的方式做自动化、持续性、常态化的覆盖性评测，去验证当前的XDR防御力量到底能不能防住？是不是每一个XDR探针都采集到了它需要的数据？XDR的现有规则能不能检测到它需要检测到的攻击？如果没有，我需要补充什么样的能力到XDR体系？难能可贵的是，BAS不是单纯的定性评估，而是提供定量的数据，这些数据可以明确地指出XDR体系中的不足程度，并为其进一步的优化提供明确的2.3与MDR紧密结合通过云地一体化运营来提供普惠安全服务在面对日益复杂的网络安全威胁时，新一代的XDR的重要创新不仅在于通过大数据和人工智能等技术提升威胁检测和响应能力，还着眼于通过云地一体化运营来提供更为普惠的安全服务。这一变革的核心在于其建专属的专家团队提供持续的监测、调查和响应服务，从更广阔的视角、更强大的资源和更为专业的团队来新一代XDR的另一个突出创新优势是其基于云原生的构建方式。云原生的XDR可以实现快速迭代，为安全团队提供实时的攻防策略更新，这一点在应对快速变化的威胁情境时尤为关键。一个生动的例子是，当2021年的Log4j2漏洞爆发时，一些云原生的XDR平台能够在24小时内提供完整的检测、处置和修复能力，此外，新一代XDR还通过一系列的优化措施降低了企业的运营成本。首先，XDR的一体化一站式安全运营平台整合了多种安全工具，大大简化了部署和管理的复杂性，使得原本需要数周的安装和对接工作可以在短短一天内完成。其次，XDR通过预置的检测规则和策略，为安全团队提供开箱即用的解决方案，从而降低了策略调整的成本。再者，XDR还通过关联分析和多元信息整合，精确地识别和聚合安全事件，从而大幅减少了应对海量告警的工作负荷。最后，通过预置的SOAR协调指挥预案和自动化引擎，XDR可以迅速地处置总的来说，XDR通过与MDR的结合、云原生的构建方式和一系列的优化措施，不仅为企业提供了强大的安全防护能力，还大大降低了企业的运营成本。这一普惠安全服务模式，无疑为企业提供了一种更为经济、2.4新一代XDR继承XDR技术的通用优势优化告警噪音：传统安全工具可能会产生大量的误报，这给安全团队带来了巨大的挑战。XDR通过利用开箱即用的易用性：与需要复杂配置的传统安全工具相比，XDR提供了一种开箱即用的解决方案，使得及时的检测与响应：XDR能够实时分析大量的数据，并在检测到威胁后立即采取措施，这大大减少了从统一的安全数据可视化视图：XDR提供了一个统一的平台，可以集成各种安全数据，通过威胁图谱描绘安全运营自动化：XDR支持自动化的检测和响应流程，这大大提高了安全团队的工作效率，使他们可以3I新一代XDR技术的核心价值3.1新一代XDR技术的核心价值应对潜伏威胁：随着攻击手段的不断进化，新型的威胁如有组织的网络犯罪、网络间谍等变得越来越难以检测。这些高度组织化的攻击往往很难被传统的安全工具发现，而新一代XDR通过其先进的检测技术，可示例：360XDR检测高级持续性威胁根除攻击影响：仅仅检测到威胁并不足够，企业真正需要的是彻底清除威胁影响，确保业务的安全。新一代XDR可以基于广阔的安全视野，以及威胁图谱技术，深入分析攻击的根源，找出所有与之相关的恶意活多维安全视野：在复杂的网络环境中，需要从多个维度来观察和分析威胁。新一代XDR基于多类探针以及遥测数据提供了一个全面的安全视野，可以集成来自终端、网络、服务器、云环境等各种来源的数据，确攻击可视化：为了有效地应对攻击，安全团队需要深入了解其背后的原理和动机。新一代XDR提供了一集成与自动化：新一代XDR不仅提供了一个统一的安全平台，还支持各种自动化功能，使得安全团队可以更加高效地工作。无论是数据收集、分析、告警还是响应，都可以自动化地完成，大大提高了安全团队的开放与扩展性：不同于封闭的传统安全工具，新一代XDR是一个开放的平台，可以轻松地集成各种第三示例：360城市安全大脑为城市提供普惠安全服务3.2新一代XDR相对于传统安全工具的比较优势数据集成：新一代XDR提供了一个统一的平台，可以集成各种来源的数据，无论是网络流量、日志文件实时响应：与需要人工干预的传统安全工具不同，新一代XDR支持自动化的响应流程，可以在检测到威全面的视野：新一代XDR不仅提供了一个全局的数据视图，还提供了深入的分析工具，使得安全团队能易用性：与需要复杂配置和长时间培训的传统安全工具相比，新一代XDR提供了一种更加简单和直观的新一代XDR技术的发展问题及建议1I平衡效率与隐私，逐步接受SaaS化普惠安全服务1.1SaaS（SoftwareasaService）模式为安全解决方案带来显著变革降低人员成本：SaaS化通过集中化的方式处理安全事件，使得专业人员能够更加高效地工作，共享专家提升防护水平：SaaS模式能够确保用户总是使用最新的安全功能和服务，这在快速变化的攻防对抗环境促进技术进步：通过集中处理和分析遥测数据，可以不断完善和提高AI模型的精度，从而进一步增强安优化人员产出：SaaS化允许组织的安全团队更专注于与业务更紧密相关的工作，从而提高整体的业务1.2SaaS化带来隐私泄露风险和担忧虽然SaaS模式带来了显著的好处，但也引发了一系列的隐私泄露风险。数据泄露风险：为了确保数据的安全，必须在遥测数据和业务数据之间建立清晰的界限。遥测数据主要事件披露问题：在SaaS平台上，安全事件数据必须与组织信息独立存储，确保只有经授权的用户才能访1.3逐步接受和整合SaaS模式全球范围内，SaaS模式已经被越来越多的组织所接受。然而，如何最大限度地利用SaaS模式为组织创2I聚焦提升AI能力，同时关注AI+安全2.1AI技术进步推动网络安全技术升级过去十年，人工智能在各种领域取得了令人瞩目的进展，特别是在视觉识别、自然语言处理、语音识别和自动推理等领域。在网络安全领域，AI技术的应用也变得越来越普遍，并且将成为未来技术竞争的高地，威胁事件优先级判断：AI技术可以自动判断和响应威胁事件，确保安全团队可以快速响应最紧迫的弥补人才短缺：人工智能带来的自动化和大规模检测、优先级排序和响应能力，不但可以减轻网络安全专业人员的负担，还可以帮助解决不断扩大的安全行业劳动力缺口。趋势科技的一项调查表明，51%的人认为它们的团队被海量的告警淹没，55%的人对自己有效确定告警优先级和响应事件的能力没有信心，27%的2.2聚焦发展网络安全领域的AI技术鉴于AI技术对网络安全行业发展的重要性，行业需要尽可能关注人工智能，通过不同的手段提升相关能跨组织合作：鼓励安全公司、研究机构和学术界之间的合作，共享数据和研究成果，共同推进网络安全3.1XDR组件集成的挑战XDR技术的目标是整合不同的安全组件，为组织提供一个统一的安全视野。但在实际应用中，这一目标技术局限性：单一的XDR厂商即使可以提供各种需要的安全组件，但研发资源的有限性很难支持在所有组件整合问题：由于不同安全组件之间的开放性不足，深度整合成为一大挑战。整合程度不高将难以保3.2生态合作：推进XDR技术的标准化上述挑战已经得到安全行业的普遍关注和重视，通过组建联盟和推进标准等各类生态合作，共同推进建立数据交换标准：为了确保数据的一致性和互操作性，构建以遥测数据共享交换为中心的数据标准制定事件响应接口标准：确保不同厂商的产品可以无缝集成，提供统一的事件响应功能，构建以自动化希望通过生态联盟的建立，推动各厂商遵循统一的数据和产品技术标准，使不同厂商产品间的深度集成成为可能，保证XDR平台能够集成更多的产品能力，更充分的发挥价值，进而推动整个产业的协同合作，聚新一代XDR技术的最佳实践360数字安全：某头部国有股份制银行智能化安全风险研判平台建案例提供方：=so数字安全数字安全的领导者随着国家监管力度不断增强，法律法规顶层设计已经完成，行业要求不断落地，安全建设要求越来越高，安全不合规将会给企业带来巨额罚单、影响企业社会声誉等风险。与此同时，数字化面临的外部威胁不断升级，对手变了、目标变了、手法变了、危害变了，最终让风险研判过程更加错综复杂，安全运营中单纯对于银行行业客户来讲，有效、高效的安全运营对于保护金融数据、满足法律法规合规要求、促进网络金融发展、防止勒索攻击、金融欺诈等威胁以及支撑新型业务技术的引入等方面至关重要，一方面能够提高某银行客户作为头部国有股份制银行，在合规要求和安全运营的双重背景下，启动建设一套智能化研判平台以更好地支撑安全运营业务。该平台通过多元的数据来源、实时的告警优先级调整、告警加白等能力来进行自动化流程研判，进行更全面的威胁分析；安全风险研判后保留研判过程记录，并根据研判结果进行智3、安全运营流程割裂，现有的安全运营平台未与自动化处置平台、邮件、OA等系统形成安全运营流程5、当前安全运营由安全运营小组内多名成员支撑，需要一个能够实现统一管析、处置的告警，避免同一告警多人重复处理，浪费资源。同时，需要补充实际场景中涉及到的值班场景，为满足上述需求并应对当前的关键挑战，交付团队在深入调研业务实际运行场景后有针对性的设计构建出一套智能化研判平台。此平台由两大主要部分构成：XDR·XDR智能研判引擎漏洞情报APP情报实网试验告警事件资产信息网络流量告警加白自动调查条件匹配调查分流执行动作级别调整设定场景攻击验证预案编排联动调查是/无法确定人工确认规则 ·安全警告多源数据是降噪创建事件（类型）手动处置结束第一次研判第二次研判第三次研判XDR智能研判引擎将对现有实时告警信息进行进一步信息回溯、调查取证，在人工处置前进行自动化研判。为提高整体研判精准度和有效性，整体安全运营研判流程将由三次研判构成，首次和二次研判过程均由XDR智能研判引擎的自动化研判功能支撑，即由智能研判引擎进行两层研判对告警信息进行过滤，转由人工通过安全运营处置工作台进行第三次研判，同时根据处置情况联动自动化处置平台、邮件、OA进行系统外处置和工单流转，并将相应处置情况和流转信息与系统内信息进行关联，方便追溯跟踪。以下为智能研判引擎漏洞情报APP情报实网试验告警事件资产信息网络流量告警加白自动调查条件匹配调查分流执行动作级别调整设定场景攻击验证预案编排联动调查是/无法确定人工确认规则 ·安全警告多源数据是降噪创建事件（类型）手动处置结束第一次研判第二次研判第三次研判威胁情报原始日志研判结果：是/否/无法确定研判结果回写关联告警列表自动处置应用联动应用联动最终处置最终处置·安全运营处置工作台安全运营处置工作台是通过集成各种安全监控数据和运营信息进行综合展示以及人工安全运营处置的平台。它通过集成和展示不同系统的数据，以实时、直观的方式帮助安全运营人员监控和管理安全运营状况，并基于智能研判引擎的研判结果进行第三次人工研判。同时安全运营处置工作台能够通过IT协同功能与外部智能化研判平台通过XDR智能研判引擎与安全运营处置工作台紧密协作配合，最终帮助银行方安全运营1、有效降噪，精准研判。考虑到现有数据源的多样性以及数据质量的参差不齐，为提高整体效研判引擎在自动化研判阶段设计为双重研判，即初次研判做基本的告警去重以及数据质量过滤，将有效的告警数据流转至二次研判，二次研判通过复杂的场景化分析以及多轮自动化调查、剧本线性及交叉验证，最终2、灵活开放。为了解决当前安全运营工作流程上在系统间流转的协作问题，智能化研判平台在设考虑提供灵活开放的对接能力并预留丰富的对接接口，从而保证智能化研判平台上线后能与安全运营流程涉及到的已有外部系统顺利对接，客户通过智能化研判平台即可一站式完成与相关系统的交互和调用，大幅提3、与现有运营体系无缝融合，共同迭代。为了保障金融业务的安全，客户已在网络安全建设方面深并形成了已有的安全体系制度以及运营流程。考虑到尽量不影响客户现有稳定运行的安全运营流程，同时也避免客户投入额外的学习适应成本，智能化研判平台在设计阶段即深入至客户安全运营流程体系中进行重点调研，以确保对客户安全运营流程体系充分理解，保证各项落地功能的使用流程和效果均能与现有流程体系无缝融合。另外，考虑到后续客户运营流程体系的改进迭代，智能化研判平台也设计预留了灵活的可扩展调1、智能化研判平台通过智能研判技术，合理区分不同等级的告警，一方面让无效告警级别噪音达到最2、智能化研判平台能够快速处理大量信息，帮助客户以更快的速度做出决策，在3、重保期间，通过机器自动化识别来自外网的攻击以及内部资产对外发起的1、智能化研判平台设计及落地过程中，花大力气去充分理解该客户的真实安全运营体系，积累了行业性2、当前XDR产品智能研判能力通过在此项目的实践应用中，研判引擎在的应对能力获得了补足和完善，并且经过本项目案例的检验，当前的智能研判能力能够达到实战攻防应用的3、攻防环境是不断变化的，对于安全运营来讲，攻防技术更新、自身体系完不断迭代变化，而分析研判能力作为安全运营过程中的关键环节，也需要保证自身具备灵活的迭代能力和可扩展性。本项目中落地的智能化研判平台充分重视后手，并将扩展和迭代计划与客户未来安全运营流程体系XX互联网骨干直联点是连接XX地区三家互联单位骨干网的关键节点。为了提高网络安全水平和有效监测网络流量，XX通信管理局决定实施一套先进的监测系统。该监测系统以人工智能技术为支持，基于大数据·发现已知和未知安全威胁·实时识别用户和实体的异常行为·识别加密通信中的攻击行为·识别隐蔽隧道数据窃密·当前网络威胁痛点·AI威胁检测需求2.设计理念2.设计理念·人工智能、大数据与安全技术的结合采用机器学习/深度学习技术，在网络中可基于AI检测模型（例：DGA检测、恶意加密流量检议流量检测、洋葱网络流量检测、DNS隐蔽隧道检测等模型）和多种协议元数据进行二次检测，同时具备检3.系统架构3.系统架构基于大数据技术、机器学习和关联分析为基础开发的一套解决复杂企业信息安全难题的系统解决方案，4.主要功能4.主要功能态势感知模块：将客户环境中的安全态势集中展现，不但能展现客户当前的安全状态，还能分阶段深层次展示各类威胁攻击的具体情况，让安全人员了解攻击的来龙去脉，轻松掌控全局及各细节安全，快速应对威胁分析模块：以威胁事件集中分析的角度出发，通过对网络中的实时流量发现威胁事件并汇聚到关联分析引擎，从信息收集、暴力破解、欺骗攻击、漏洞利用、内网渗透等多个维度对多源告警信息进行聚类，并基于web可视化技术，对网络警报日志进行多种维度的聚合统计，形成对攻击者、被攻击者、攻击手法、资产管理模块：监控内网环境的资产整体态势，可以分别查看终端和服务器的统计情况、资产的风险情事件检索模块：可供搜索的数据项分为事件基本特征与事件通讯特征两类，具体可搜索的字段包括恶意全流量存储模块：在网络中将采集到的网络流量进行协议解析后并以元数据/PCAP的形式存储，可根据基于人工智能检测技术，结合机器学习/深度学习、图像分析技术，将网络中的恶意代码映射为灰度图像，通过恶意代码家族灰度图像集合训练卷积神经元网络（CNN）深度学习模型，建立检测模型，利用检测模型对恶意代码及其变种进行家族检测。基于灰度图像映射的方法可以有效的避免反追踪、反逆向逻辑以及Tag：2020年，微软和英特尔合作开展了STAMINA项目，将恶意软件样本转换为灰度图像，然后对图像进恶意加密流量及合法加密流量有不同的流量行为模式，根据对网络中的恶意加密流量的分析，提出步态指纹专利技术，构建从3层协议到7层协议的异常行为特征向量和统计向量，采用集成学习算法学习流量向量恶以DNS隐蔽隧道为例，提取网络中得流量异常、请求/应答流量比异常、主机名熵值异常、主机名个数异常、记录类型异常等数百维特征向量，选择对该场景数据集最优的人工智能算法训练模型。最后，持续迭4、DGA域名检测通过建立针对DGA生成域名的集成学习模型，用海量DGA生成域名和正常域名样本通过集成学习模型进行训练，使集成学习模型具备识别DGA域名能力。在捕捉到网络流量中的域名信息后，将之输入深度学习模XX省互联网骨干直联点实施了威胁检测与响应方案后，有效提升了网络安全水平，增强了安全运营效实时监控与快速响应：威胁检测与响应系统能够对网络流量进行实时监控，快速发现并响应潜在的网络威胁，如入侵尝试、恶意软件传播、可疑异常行为等，尤其是在未知威胁、变种病毒、加密流量等高级威胁高级威胁检测：传统基于特征签名的检测方法对于新型的、复杂的网络攻击往往效果不佳。威胁检测与响应系统利用先进的技术，如机器学习、深度学习、AI模型等技术，全面提升了对高级威胁和未知威胁的识减少误报和漏报：通过使用更为先进的算法和模型，威胁检测与响应系统能够在提高检测率的同时，降增强防御能力：威胁检测与响应系统能够与防火墙、IPS、WAF等其他网络安全设备联动，形成一体化提高安全运营效率：威胁检测与响应系统的专家模式，通过使用知识图谱技术及分析算法将威胁事件按攻击链维度分析聚合，能够有效提升安全运维人员的分析效率，减轻工作负担，使其能够更加专注于策略制数据分析和情报支持：威胁检测与响应系统通过收集和分析大量的网络数据，不仅能够用于实时威胁检适应性强：随着网络攻击手段的不断演变，威胁检测与响应系统能够通过安全大模型持续学习和适应，综上所述，威胁检测与响应系统上线后，在XX省骨干直联点网络环境中扮演着至关重要的角色，它帮助该组织有效地检测、分析和响应各种网络威胁，保护了用户的信息资产，并使用户的安全运营水平上了一个40对用户而言部署一套行之有效、切实可用的威胁监测系统是确保网络安全的关键环节，结合此次项目实架构成熟可靠稳定的产品能够保证方案的可持续演进：对于XX省互联网骨干直连点这种大带宽大流量的网络环境而言，数据采集探针和后台分析系统的梯度化、分布式部署能力至关重要，他能有效应对海量数据前沿技术运用得当对检出效果有重大帮助：随着网络威胁的复杂性和隐蔽性不断提高，传统基于特征和签名的检测方法正逐渐失效。事实证明，对于未知威胁的检测只要找对方法就有可能，机器学习、人工智能、基因图谱等技术的应用，可以有效提高新威胁的检测能力。金睛云华威胁与响应系统在该案例中对于未提升用户安全运营效率的能力将是打动用户的关键因素：威胁与响应系统中的事件聚合机制、事件回溯取证、集成多种在线工具等功能，在本案例中帮助分析人员更高效的分析和处理网络威胁事件，相比之前用IctechinaTelecomCberseclJrilyTech伴随金融行业数字化转型的步伐，某金融客户正在逐步推进本单位的数字化转型进程。在此转型过程中，搭建全新的数字化平台，数字资产爆发式增长，业务系统交互变得更为复杂，互联网侧的暴露面增加，这些变化都是过往经验未曾覆盖到的领域。此外，由于国际政治形势的变化，针对金融行业的有组织的高级攻击行为增多，特别是以金融数据勒索为核心的外部攻击形势愈演愈烈。在这个内部改革与外部攻击并存的关键时刻，对于企业，特别是企业核心业务系统、核心数据的安全防护显得尤为重要，是该金融客户迫切关该金融客户虽然建立了一整套的网络及业务安全防护体系，从区域边界、通信传输、终端环境、数据信息等各方面均充分考虑其安全防护需求，并部署相应的安全防护设备或软件，但这些设备或软件的防护范围和防护效果，主要还是依赖于安全厂商自己构建的安全特征库和安全业务威胁监测模型。面对隐蔽性强、针对性高、变化多样的高级可持续性攻击（APT攻击），这类固有库或模型的方式难以及时发现并抵御攻击。因此如何在完善的安全监控体系中，提前获取黑客攻击组织是否对自身数字资产开展有目的的攻击或者在过电信安全基于该头部金融客户的主动威胁监测需求，结合自身大网数据和APT情报狩猎等优势，打造网络空间威胁监测平台解决方案。通过云网原生数据结合自主威胁情报建设高置信情报体系，并将高置信情报赋能到Netflow、PDNS、ICP等数据监测分析，实现网络空间的准实时安全监测能力及溯源取证能力，利用·大数据底座，高性能设计平台产品依托于中国电信安全公司数仓体系实现数据加工、治理，采取分布式底座架构，异地实现数据采集以及处置。并通过云端SaaS方式面向租户提供安全业务。42·威胁情报生产基于中国电信覆盖国内外的运营商基础网络资源、各类应用系统、安全检测防护设备等在生产运营过程中所产生的日志等信息，分析生产内部威胁情报，同时结合三方厂商情报、开源情报，建立高置信威胁·准实时威胁告警设计威胁告警中心展示实时监测的恶意通联告警，以及高危风险IP和高危风险域名，客户可以实时掌握威胁情况，采取处置措施。实时告警具备赋能安全设备的能力，联动安全设备及时阻断。·准实时威胁态势设计平台每天实时监测近亿级别的IPV4、IPV6数据，8亿多的域名数据以及百亿条Netflow、4万亿条PDNS数据，并结合自研高置信威胁情报，面向客户呈现完整的网络空间威胁态势。·深度威胁分析报告威胁分析报告展示了平台定期为客户输出的网络空间威胁监测报告，内容包括流量分析、高危资产、高危威胁以及专家处置建议，面向监管类客户报告还可以提供重点行业、重点地域的主要威胁分析和处置·全网视角下的威胁态势呈现，助力精准动态防护现阶段企业在设计安全防护机制时往往仅基于自身收到的告警日志开展，无法获得同类企业或同一地域内的攻击防御态势，视野十分局限。结合中国电信大网Netflow数据、安全公司十万线安全大脑、EDR、网站安全专家的实时告警数据，及时总结活跃情报以及区域攻击态势，面向相关企业进行预警，便于企业提前·Ne