7月22日，2022北京网络安全大会『BCS TALK虎符话安全­·安全运营』主题日活动正式开启，未来智安（XDR SEC）联合创始人兼CTO陈毓端受邀做客直播间，并发表主题演讲《XDR扩展威胁检测响应探索与实践》。

内容目录：

★ 现象与问题

★ “三足鼎立”下的XDR理念争议

★ XDR技术本质

★ 威胁检测&发现是最根本需求

★ 看见（遥测）是基础

★ 感知变化是保障

★ 可运营是关键

★ 有效才有用

陈毓端 | 未来智安联合创始人兼CTO

“我们最终决定进入XDR这个垂直的安全赛道，核心还是觉得安全的本身是对抗的过程，威胁检测与响应还是最直接、最核心的安全价值。”

演讲实录：

 

大家好，很高兴能参加2022北京网络安全大会，我是北京未来智安的陈毓端。

北京未来智安是一家聚焦在扩展威胁检测与响应赛道的网络安全公司，也是国内第一家发布XDR系统的安全厂商。今天我分享的主题是《XDR扩展威胁检测响应探索与实践》，也借此机会与大家分享一下我们未来智安在XDR领域的实践和一些思考。

一、现象与问题

未来智安决定进入XDR这个垂直的安全赛道，核心还是觉得安全的本身是对抗的过程，威胁检测与响应还是最直接最核心的安全价值。另一个层面是看到用户侧的一些安全痛点，我们将用户侧的安全痛点分成两个层面，也是XDR需要去解决的，一个是威胁检测类的挑战，另外一个是来自安全运营类的挑战。

威胁检测的挑战分成六个方面：

第一，漏洞和风险挑战，存在漏洞与风险量化盲点。比如漏洞与风险的评估，漏洞与资产、与业务系统、与威胁的关系等，都存在一定的量化难度和手段不足。

第二，影子资产类盲点。企业普遍存在影子资产的问题，比如员工私搭服务器，私自开放未经审核的端口等，都给企业带来严重的影子资产问题，从而带来严重的安全风险。

第三，安全数据价值盲点。企业在推进信息化建设的过程中，也会进行安全建设，采购各类安全防护产品，比如端点安全防护，像防病毒、HIDS、EDR，流量检测类像NDR、NTA，甚至是SOC和态势感知等，也在一定程度上进行了数据的统一收集和治理。但其中存在着一个普遍现象，虽然进行大量的数据收集，依然没有真正发挥数据的价值。比如从终端看到威胁之后，还需要在各类系统之间搜索、复制、取证，无法形成一体化的威胁防护体系，安全工具各自为政，数据沼泽现象严重。

第四，单点防护盲点。最典型的例子就是终端看不到流量，流量看不到终端。比如在流量层看到SQL注入后，无法看到端点发生了什么，无法判断是否发生数据库提权或其他异常行为，整体上缺乏统一的威胁视角。

第五，高级威胁挑战。攻击者往往通过各种手段进行绕过，同时威胁检测的规则需要下发到终端，存在一定的规则滞后性，无法在第一时间去应对威胁挑战。

第六，安全技能盲点。威胁总是在不断的发生变化，企业内缺乏高水平人才是常态，短时间内无法很好的解决人才问题。安全人员严重依赖各类安全防护产品，各种系统间的割裂加剧了威胁检测的挑战。

来自安全运营类的挑战也分成六个方面：

第一，运营挑战最典型的例子就是告警多，以我们的一个客户为例，每天告警量接近1,200万，导致安全分析师需要消耗大量的时间和精力去做告警研判。

第二，海量告警导致了高价值告警往往会被淹其中，无法第一时间分析、发现真正有价值的告警，从而错过了最佳的防御时间。

第三，上下文缺失，威胁可见性差。当攻击从边界打进来之后，往往会经过各种安全防护设备，而这些安全防护设备之间相互割裂，相关数据粒度又太粗，没有形成很好的支撑，安全分析需要的上下文信息缺失现象比较严重。

第四，无法很好的进行安全分析溯源，看不清完整的攻击链路，缺乏统一威胁视角。比如看不见黑客是如何打进来的？利用了什么漏洞？先打了哪台主机？在主机上做了什么事？有没有下载攻击载荷？什么时间发起的横向移动？什么时间发起的大面积的扩散？影响面有多大？损失有多大？这些都很难看见。

第五，处置效率低。前面提到海量告警、上下文缺失、攻击溯源难等，都给告警分析研判造成较大的时间消耗，影响整体的响应和处置效率。

第六，安全度量能力不足。面对新形势下的安全挑战，安全运营工作需要进一步的左移，需要具备提前发现潜在风险，提前做好威胁阻隔的安全策略，这就需要有细粒度的数据，提供有效的安全度量能力和手段。

二、“三足鼎立”下的XDR理念争议

准确的来说，XDR到目前为止还没有形成完整的业内在概念层面的共识，各家XDR的解决方案也存在比较明显的差异。

整体来说，我们将XDR划分为三个不同的技术流派，分别是“原生XDR”、“生态XDR”，以及“混合XDR”。

“原生XDR”，顾名思义，就是依靠厂商自己的安全防护能力、数据采集能力去实现XDR的方案。优点是实施方便，集成成本低，数据和响应能力可控。缺点是安全防护产品自身的数据能力、遥测能力可能存在不足或瑕疵，或将影响XDR的整体效果。

“生态XDR”，优点是包容度较高，对甲方前期的安全投入、安全建设具有一定的复用性。缺点是严重依赖第三方安全设备，整体的集成成本较高，数据质量、遥测能力、响应处置能力相对不可控，因为它依赖于第三方的安全设备，整体存在一定不可控的风险。

“混合XDR”，同时具备“原生”和“生态”XDR的优势，这也是未来智安XDR的技术方向。我们可以接入原生的自有安全组件EDR和NDR，也可以接入第三方安全防护产品，无论是数据还是安全能力，都可以通过混合模式XDR去做集成。

——篇幅有限，如需阅读全文请点击链接：https://mp.weixin.qq.com/s/rPdCDV2rm4EZN1GlNqtJbQ，或扫码关注未来智安视频号（二维码如下）