随着数字化转型的深入，互联网成为新的企业网络，云成为新的数据中心，传统安全防御的空域、对象、攻击方式等均发生了根本性变化。因此，企业迫切需要新型的数字安全防御思路和手段来应对数字安全新威胁。

日前，360 数字安全集团联合 Gartner 发布了《新一代 XDR — 面向未来的数字安全防御架构》白皮书，同时，凭借 XDR 创新技术入选嘶吼《中国网络安全细分赛道发展与技术创新趋势洞察报告》。

如何快速精准地感知风险、看见威胁、抵御攻击，是安全运营的核心难题。安全运营引入面向攻击攻击链的高质量多维数据关联分析技术，即 XDR 技术，成为行业共识。

(相关资料图)

为此，嘶吼对 360 数字安全集团副总裁余凯进行了采访，就安全运营面临的挑战、XDR 的特点以及未来演进、360 XDR 技术优势等话题进行了深度探讨。

落一子而全盘活

数字化转型新形态下，企业业务应用呈现数字化、服务化、线上化的发展趋势和特点，数字资产密集联网，网络边界更加模糊，内外部威胁更加高级未知，保护核心数据资产面临巨大挑战。

《新一代 XDR — 面向未来的数字安全防御架构》白皮书里指出，现在数字时代面临着外部和内部双重安全压力：外部威胁持续升级，造成告警风暴无法应对、高级威胁无法看见、安全事件难以处置等三大困境；内在固有脆弱性难以解决，存在安全人才奇缺、安全技术碎片化、运营流程无法量化改进等三大瓶颈。

在余凯看来，安全运营需求有很多层次，对于大型组织而言，" 假设失陷 " ( Assume-breach ) ，" 敌已在我 " 是一个必须面对的高频常态。客户需要能力开放和可成长的一体化平台全面整合并激活既有纵深防御体系上的众多孤岛产品。而无论是缺人还是告警风暴，还是碎片化、烟囱化的产品难以运营，它的本质和源头是检测黑洞的问题，通俗来讲就是无法精准 " 看见 " 攻击的问题；对于中小企业而言，面对勒索、黑产等现实压力，急迫需要已被头部验证过的一体化开箱即用，简单有效合规的高性价比安全运营产品和服务。

XDR 是破局上述安全运营挑战，" 落一子而全盘活 " 的关键技术。

以 " 酸狐狸事件 " 为例，终端探针设备，采集终端上的进程、文件、注册表以及敏感 API 调用等遥测数据，识别恶意软件的植入、劫持、上传数据等行为；流量探针设备，通过采集网络会话的元数据，识别异常流量，发现诸如中间人攻击、下载恶意软件以及外连命令控制服务器等行为；360 XDR 可进一步关联终端和流量数据，分析还原整个攻击链路，方便安全团队研判。

同时，能自动化提取威胁攻击 IOC 和标记受害资产，预置的自动化预案自动调度防火墙对 C2 地址进行封禁，调度终端防护系统扫描受害主机隔离恶意文件。通过部署 360 XDR，企业能有效提高威胁检测精度，大幅提升安全运营的效率，缩短 MTTD 和 MTTR。

未来的 XDR 的演进

传统的单点安全技术工具正在形成新的安全孤岛，如传统 VPN 等甚至成为攻击者的攻击目标。传统安全工具产生的越来越多的报警使得安全运维团队筋疲力尽，海量的报警淹没了真正重要的安全风险，为对手创造了更多的攻击机会，导致防与攻的差距不断拉大。

未来的 XDR 将更加开放，通过对所有安全操作中的事件进行管理，并提供持续监控和分析，为零信任计划的实施提供原生的决策支持。

360 多年以来在云端发力成功实践了基于海量大数据、威胁情报以及机器学习能力和云计算框架支持的原生 XDR 技术，同时为企业提供基于 SaaS 的云原生 XDR 服务。相信随着数字化转型深入，国内大多数企业会逐渐拥抱云原生的 XDR 技术和服务。

" 现在有些企业组织非常担心，比如隔离问题，如何把数据开放出来去接受 SaaS，但这个趋势是不会改变的。所谓是否支持 SaaS 化，本质上，在于是否能够真正看到 SaaS 化带来的收益改变。我们首先会通过原生 XDR 产品，让中小客户真正感受到 XDR 降本增效的价值。同时，在这个过程中，慢慢地将客户引导到云原生的 SaaS XDR 上面来，这也是国际上获得广泛共识并行之有效的选项 " 余凯说到。

同时 XDR 开放框架将鼓励社区力量进行联防，鼓励提供开放式 XDR 和大数据分析、威胁检测、攻击面管理、调查和响应等标准框架支持；该框架也将更广泛的与托管安全服务提供商（MSSP）、托管检测和响应服务（MDR）以及系统集成商（SI）等进行合作。

长远看，XDR 将超越技术本身，成为数字安全通用架构，成为一种思想和哲学：即从对手视角出发，以结果为导向，以运营为中心，打破对手藏匿的筒仓和传统安全工具的孤岛，针对威胁而不是报警不断优化快速 " 看见 " 和极速响应能力的方向不断演进。

选择一条 " 难而正确 " 的道路

"和国内大多数厂商相比，360 选择了一条难而正确的道路，坚定地将 XDR 构建在 EDR 和大数据分析上。在 XDR 的探索上，360 本身拥有一个非常庞大的安全运营系统，再结合最佳实践，在头部行业最难的场景下先去落地。在技术路线上，360 和国际上行业的主流选择是一致的、趋同的。" 余凯对嘶吼说道。

Gartner 最新发布的安全运营热度曲线报告《Hype Cycle for Security Operations,2022》中指出，XDR 技术正处于 " 期望膨胀顶峰期 "（Peak of Inflated Expectation），市场关注热度极高，相关的各项技术在行业中，均处于快速发展期。

余凯强调，XDR 的起点是过硬的终端安全技术和大数据分析技术。可以看到，国际上优秀的 XDR 厂商，不管是 CrowdStrike 由 EDR 起家，再通过和 Humio 技术结合，或是 IBM 由 QRadar 收购新兴终端安全厂商 ReaQta，或是 Elastic 收购 Endgame，还是微软通过 Defender 和他的大数据系统整合，背后都反复地在证明一件事情，XDR 最原始的胚胎是由终端与大数据产生化学反应。

而在这个过程中，逐步丰富的 AI、攻防知识百科以及 BAS 安全评估等技术可以敏捷地迭代，将整个 XDR 技术变成扎实的系统性创新。XDR 是一项整合型、复合型技术，是硬核技术发展到高峰的自然成果。

在近 20 年的实战中，360 进化获得了行业内最强的终端安全技术和大数据分析技术基因，并逐步迭代形成七大核心优势：EDR 上高质量事件的捕获能力、全网安全大数据、运营商级大数据处理及灵活低代码分析技术、AI 人工智能技术、创新智能安全评估 BAS 技术、360 APT 基因库和攻防知识百科、世界顶级安全运营和对抗专家服务。

余凯认为，其中，BAS 技术的本质和难处不在于功能，而是能不能够持续地将知识化的攻击技战术和攻击链重放出来，去针对安全纵深防御系统做高效自动化的评估验证。中间需要有两个非常核心的技术：

一是有没有全量的、足够看到的攻击的技战术和攻击链的知识库积累，这是非常难于在短时间内一蹴而就的事情；二是能不能够开放地接入和识别市面上众多厂商的设备，类似于 SIEM 做安全管理的能力，是浮在水面之下 BAS 技术的挑战。而在这点上，360 已经实践了很长的时间，BAS 技术能真正地形成 XDR 的伴生技术，去驱动它的有效性。

" 未知攻，焉知防？现在国内大多数厂商事实上是由人直接在做引擎和产品的优化，中间是有断档的。安全人员往往没有办法直接参与到产品开发上，他们之间存在认知壁垒。国际上虽然公布了 ATT&CK 的标准，但内容并没有公开。所以，我们的原则是模型兼容、内容自建、领域创新，慢慢地积累自己的一套攻防知识图谱，这也是 360 XDR 得以领先背后不一样的黑科技所在。" 余凯说到。