新一代威胁检测与响应(XDR)技术创新发展报告关于ISCISC成立于2013年,是国内唯一专注为数字安全行业赋能的平台。打造集会展服务、咨询服务、媒体服务、生态创投、生态联盟、产业导入“六维一体”的生态模式,全面赋能国家、政府、行业、企业、个人。过去10年,ISC秉承创新引领、智慧洞察、专业高效的宗旨,创办了亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会——互联网安全大会,树立了中国网络安全产业名片。版权声明本报告版权属于ISC,任何组织、个人未经授权,不得转载、更改或者以任何方式传送、复印、派发该报告内容,违者将依法追究法律责任。转载或引用本报告内容需要注明来源,同时不得进行如下活动:·不得擅自同意他人转载、引用本报告内容。 ·不得引用本报告进行商业活动或商业炒作。 ·本报告中的信息及观点仅供参考,ISC对本报告拥有最终解释权。传统威胁检测技术的核心是流量检测,但随着云计算和远程访问的普及,终端的检测变得愈发重要起来。因此,本报告将这一变化用新一代的威胁检测与响应来表达。而实际上,较之网络流量检测,端点的检测结果往往更加准确、高效,这也是EDR之所以越来越受到关注的主要原因之一。除了端点和流量,“新一代”还意味着与日志工具(SIEM)和流程工具(SOAR)的结合,意味着云机地人的一体化协同和多维度数据的打通。更多的观点和内容,推荐阅读本报告。———— 数世咨询创始人 李少鹏一直以来网络安全行业都缺少统一的力量,不能“集中力量”就无法“办大事”,XDR技术的创新发展为改变现状增加了可能。XDR技术的与众不同就在于能够自我进化和无限扩展,新一代XDR将当前最新的大数据技术、AI技术、威胁图谱等技术兼容并蓄,提供给安全运营人员一个识别威胁检测的全局视野,一个处理威胁响应的高效工具,让安全运营人员的人力极限得到解放和突破,大幅提升组织的安全运营能力。在这一过程中,新一代XDR必须打破数据共享壁垒、打破技术协同壁垒,客观上推动了相关技术标准的统一,为行业出现真正的标准化、规模化的产品提供了想象空间。未来几年XDR产品将迎来高速增长期,希望更多的安全运营客户能够通过本报告了解新一代XDR技术,更早一步受益于技术红利和普惠安全。———— 赛迪顾问总裁助理、软件与信息服务业研究中心总经理 高丹专 I 家 I 寄 I 语XDR是前两年非常热的名词,最近一年声音小了很多,不是XDR概念不好,是XDR产品开发的难度太大!在安全运营、平台化、服务化成为趋势的今天,XDR其实是未来安全运营平台的一部分,只是不同背景的公司优势不同,他们实现XDR目标的路径会不同。———— 赛博英杰创始人 谭晓生软件行业有句名言:商业模式要么是捆绑,要么是分拆(bundle, or unbundle),新技术面世,往往先以分拆模式,作为独立的产品出现,一旦技术成熟,就走向捆绑(或者叫高度整合)形态,融合进已有产品。安全产品的发展亦然。SIEM和从SIEM发展而来的XDR,就是两种模式的代表。单看SIEM的底座大数据技术,在SIEM出现的十余年间,都尚不成熟,产品化Hadoop生态的大数据技术,需要大量的部署及运维成本。只有2010年后开始,各种NoSQL的使用成本,才慢慢降到上一代SQL数据库的成熟水准。类似的还有以EDR为核心的检测技术,SOAR代表的响应处置自动化技术等,都是在最近几年中,业界共识的安全运营核心组件。对于最终用户,一个高度整合的XDR,除了单算经济账,投入产出比更好外,更重要的是,构筑、整合这些最佳技术的XDR,是目前解决安全运营流程中各种问题的最佳平台。以平台的高速发展势头,未来几年,快速成熟中的各种新兴技术,如AI/GPT,如BAS,会陆续普遍整合进XDR,给客户提供更高的安全运营价值。———— 360本地安全大脑主架构师、瀚思科技原CTO 万晓川新一代XDR系统借助大数据分析和人工智能技术,正在向平台级网络防御体系迈进。其核心优势在于两个关键性能指标:精准识别网络攻击的时延和快速反制的速度。要想进一步提升这两项指标需要三方面能力的有效协同:高效处理海量异构数据的能力、高质量威胁情报能力以及安全团队的可持续专业经验。考虑到数据监管的日...
