数字化技术的不断发展，让网络攻击变得更加隐蔽和复杂。

　　面对内在脆弱性与外部威胁升级的双重挑战，企业试图买办一个机械化兵团，期待有一招制敌的能力。而现实是“多兵种配置”带来的问题往往多到超出想象，更何况想要指挥运转这个兵团更不容易。

　　于是越来越多的企业开始思考，在高级威胁随时“空降”的高压之下，应该如何在解决现有矛盾的基础上提升关乎生命线的“应考”能力？

　　日前，在第十届互联网安全大会（ISC 2022）上，360数字安全集团副总裁余凯在演讲时谈到，XDR是实现企业安全运营“落一子而全盘活”的核心技术。

　　会后，安全419采访到了余凯，邀请他就当前业内XDR发展现状、360 XDR自身的技术优势，围绕威胁检测技术的过去、现在和未来分享了他自身的理解和洞察。

　　安全运营三大挑战

　　人员缺口大、产品碎片化、效果难度量

　　余凯首先抛出了他的观点：当前安全运营面临的挑战实际上也是整个安全行业面临的三大挑战，人、技术和流程，人、技术和流程。

　　在人才方面，攻防经验难以沉淀和安全人才培养难度大导致甲方长期缺乏安全运营专家，在重大活动保障期间只能临时召集大量人员。但临时拼凑的散装战队水平参差不齐，难以持续维持安全运营质量。

　　在技术方面，购买大量安全产品的众多客户也面对着此起彼伏的告警风暴，真正面对攻击却还是后知后觉。试想，近期暴露的思科遭遇勒索事件，如果换成自己能及时看见并快速止损吗？

　　在流程和管理方面，很多企业经过多年安全建设，依然难以回答哪些产品真的有用？自身缺乏哪方面的能力？同行发生的事故发生在自己身上能抵御吗？未来应该将预算优先投资到哪个品类上？旧的方案很难量化、显性地回答这些问题。

　　余凯指出，事实上无论是安全人员的短缺还是安全产品的碎片化，其背后的出发点仍然是想要解决“看不见高级威胁”和“告警风暴”这两大核心矛盾。

　　“在我看来，安全运营既是一个管理问题也是一个技术问题，技术层面解决得不好，就会持续地加重管理负担和管理成本。想要真正提升安全运营的效率，应该尝试从根源上着手解决痛点。”

　　将上述三个挑战拆解后可以发现，它们之间彼此影响，环环相扣。人的挑战根因是：

　　01 安全建设较好的企业建立了安全运营团队，但是小团队的攻防认知上限决定了运营能力的天花板，个人最高水平成为团队的峰值。

　　02 一方面安全建设碎片化堆砌了大量单品，为了对告警做出响应甲方需要大量的人来进行分段研判、处置这些碎片化的线索，重保期间更甚。

　　03 安全专家本来就难以招募，经过培养后流动性大，成为企业难以提升运营能力的拦路虎。

　　而产品和技术挑战背后是攻防对抗不可能止于边界。没有攻不破的网络，假定失陷（assume breach），敌已在我是不得不接受的现实。堆盒子的传统模式其实是事件驱动的思路，当出现某个隐患或热点时就增加一种设备来应对。从效果看收效已不及预期。

　　最后，也是最核心问题是：在具备人和技术的条件后，如何通过流程方式来驱动和串联二者，使的真正提高安全运营能力？对于CSO来说，运营工作并不陌生但一直没有很好地解决如何量化落地的问题。事实上面向合规建设能够回答有或者没有，却无法明确运营有效性的问题，最终导致企业无法看到自身的短板，陷入了不知道如何持续改进的痛苦境地。

　　这三个问题其实相互纠缠的，不能孤立地解决。将人、技术和流程的问题进行整体看待进而寻求系统化设计才能抓住根本。“习惯上大家有个说法”3分技术7分管理“，我们很赞同安全运营并不是技术与管理的割裂，但是非常看重管理是因为以往缺乏好的抓手，缺乏缓解人才匮乏问题的技术，只能通过加强管理来补位。新的技术加持下，通过技术来引导管理体系的建设，管理保障技术的落地才是一个良性关系。”

　　“大家都说现在安全厂商不赚钱，我认为不赚钱的本质原因在于大家还没有解决‘看见’的问题，如果能够帮助企业看见威胁的话，那么一系列安全问题就可以通过流程、预案、组织、自动化甚至是强制解决的。正因为大家看不见或看不清威胁，安全就形成了一个黑洞，企业不知道还要在看见威胁这件事情上花费多少资源。很多时候就是因为不知道如何看见威胁，就只能盲目投入，只好不停地买设备，不停地投入安全专家去看无效的告警。但事实上，专家应该做的是跟和黑客对抗的事情，而不是去处理告警。”

　　他表示，每一次科技革命本质上都是通过一个技术创新高效地解决过去一个很费钱或者是投入资源太大的问题，而360正是想通过自身的探索和实践，更高效地解决「看见」的问题，让整个安全的投入变得更加可控。“未来安全投入不一定会很小，但它一定不是无底洞。”

　　XDR是数据质量与规模质变

　　而激发的能力质变

　　为了解决「看见」的难题，XDR（Extended Detection And Response：扩展检测响应）作为一个新兴的威胁检测技术闯入了产业界的视野，受到行业普遍关注。

　　根据 Gartner 的定义，XDR是一个安全平台，将特定供应商的多个安全产品，原生地集成到一个统一的安全运行系统中。在 Gartner 新发布的《扩展检测和响应的市场指南》中，已经将 XDR 技术扩展至 EDR、NDR、SWG、UTM等能力的综合体。

　　因此，XDR 中的“X”代表着以终端为起点的安全视野的持续扩展，结合数据湖技术、自动化编排技术及安全分析技术，形成面向多种甚至未知安全场景的综合性安全解决方案。

　　想要打造出一款真正有效的XDR产品，更高效地解决「看见」的问题，数据无疑是一切的前提。当前，数据已经成为了数字经济的关键生产要素，在安全的语境下，数据驱动安全在安全行业中也已成为共识。但在数据驱动安全的背后，？？数据的质量显然成为了关键成功因素。

　　换而言之，当采集数据这件事情变成？？共识的时候，采集什么数据就变得至关重要。高质量的数据采集，是让数据分析行为更加高效的必要条件。如果对于对到底要采集什么样的数据没有清晰的洞察和认知的话，就会陷入一个误区，让一堆的无效的垃圾数据占据大量的计算资源，几乎无法从中发现有效的信息。

　　因此余凯提出，采集何种数据应该由实战定义。

　　他表示，“实战定义数据的本质是明确我们要去做什么样的分析，？？我们到底要去检测什么样的攻击。这背后的？？核心在于，在过去的这么多年里，我们到底有没有看过足量的攻击，有没有看过？？历史上一路走来攻击方式的演变路径。？正所谓”实践是检验真理的唯一标准“，只有看过了足够多的攻击实例，同时以一种相对系统化的方式，把这些攻击实例以知识化的方式把它沉淀记录下来，我们才有可能？？针对每一个攻击的手法、技战术，去判断如果我要去识别这个攻击手法，我应该如何有效地去采集数据。？”

　　利用大数据技术是当下解决安全运营的主要方法之一，无论采集多少数据一个企业仅可以形成具备自我视角的“小数据”，但具备全行业乃至全国视角的真“大数据”是企业难以实现的。只有“小数据”+真“大数据”相结合才是未来的解决思路。

　　在360的视角看来，在全网全球超大规模海量数据中看到每一次攻击活动都是一条“攻击杀伤链”，当前多数组织部署的安全产品及其构建的纵深防御体系之所以检测与响应能力不足，其根源在于大数安全产品都是在基于某一个技术点去做检测和防御，没有形成对攻击杀伤链全景的视角。

　　余凯将这种防守方式比喻为“盲人摸象”，单个的安全产品只能在某个点上去做检测，导致无法看到事件的全貌，自然难以对抗高级威胁的入侵。因此他再次强调这一观点，只有系统性地将过去的攻击实例以知识化的方式沉淀记录下来，再基于技战术去做推演，才能够真正明确一条攻击杀伤链涉及哪些资产、哪些漏洞，需要采集哪些数据来做检测，而哪些安全设备能够提供这样的数据等等，做出一系列推演。

　　“安全行业常常讲以攻促防或者未知攻焉知防，它其实不是一个自然而然的逻辑，不是说你懂了攻，？？你就一定能懂防，而是说你懂了攻，你能不能够系统性地整理攻击的知识。？？因为你有一套将攻击的知识转换成为防御策略的？？方法论和产品验证的方式，最终才能够真正地做到以攻促防。”

　　因此，360基于过去17年专注网络安全技术产品和服务，以及在安全大数据、知识库、安全专家方面的积累，将过往看到的APT攻击、黑客渗透、恶意软件等多种威胁事件分门别类地进行了梳理和沉淀，围绕每一条攻击杀伤链的全过程，包括入侵，横移、逃逸、窃取数据每一个过程记录和整理出来，形成了360核心的攻防知识图谱，而这套知识图谱也是驱动360 XDR不断成长和进化的核心资源。？？

　　“根据360记录的这些技战术，我们就可以去明确，针对这些技战术我需要怎样的数据源，？？如何去做检测分析，如何准备应急预案。同时因为我们看过这些攻击，便可以将这些攻击通过一种？？灭活重放的方式去做覆盖性的评测，通过一套系统性的方式？？去度量企业的纵深防御体系下面的每个安全产品，在对应的那个点上面有没有成功抵挡到攻击？？杀伤链上本应该挡住的那一环，这个时候就形成了一个度量标准，以这样的方式去帮助企业在根因上面去看见差距，持续改进。”

　　余凯将这个度量和验证能力称为“抗攻击能力评估”，当前国际上一线的安全厂商，都已经具备了类似的能力，而微软正是其中的佼佼者。

　　作为当前全球隐形的网络安全巨头，虽然微软并未对外界过多宣讲自家XDR产品，但事实上微软看到的这些攻击实例要远远超过常人所想，通过它的操作系统和云服务，微软能够拿到的？？数据量级也超乎所想。海量的威胁数据决定了微软能够站在更高的山巅上，以更高维度的视野俯瞰全貌，进而更全面的构建自身XDR的完整体系，这一优势是其他中小规模厂商所无法比拟的，而这也与360一路走来20年实践殊途同归。

　　XDR能为我们做什么？

　　360 XDR如何做到落一子而全盘活？

　　在过往的威胁检测与响应技术中，NDR（网络威胁检测与响应）的出现弥补了传统IDS/IPS安全解决方案留下的网络侧安全盲点，用更先进的分析技术来检测网络可疑流量，极大的提升了检测和阻止网络威胁的能力。

　　EDR（端点安全检测与响应）的出现，因为终端能获得高质量数据，并压倒性覆盖攻击杀伤链的关键技战术，则更直接有效增强了企业「看见」威胁的能力。

　　而XDR的诞生，则实现了对NDR、EDR、SIEM、SOAR等安全产品的有机整合，在各台设备传输过来的安全大数据赋能下，XDR能够比任何一个安全设备都更快、更深入、更有效的实现检测与响应威胁，从更广泛的来源收集和整理数据，以更高的全局视角看清每一次攻击杀伤链的全貌。

　　余凯表示，过去大家没办法将攻击手法、攻击实例一条条地梳理积累下来，就很难工程化的去做产品，这样就会造成对于安全专家个人能力的依赖，需要某一个人来指出，当前哪里存在风险需要加固、发现了哪几个高危动作可能存在攻击风险等等。但在攻防知识图谱的赋能下就能够做出一款工程化的XDR产品，根据这套知识库去做持续的更新，去评估和验证整个产品布防体系有效性。

　　“抗攻击能力评估带给我们的价值是，当一次新的攻击事件发生后，我能够迅速地通过灭活重放的方式做覆盖性评测，去验证当前的防御力量到底够不够强大？是不是每一个安全设备都采集到了它需要的数据，检测到了它需要检测到的攻击？如果没有，我需要补充什么样的能力到XDR体系？”

　　余凯将这个过程比喻为高考，在这场关乎企业生命线的大考真正到来之前，每一名合格的考生首先应该做的事情是不断地刷题，把往届考过的每一个知识点都掌握得烂熟于心。

　　“我们可能会问，在属于我们自己的考卷中一定会碰到之前刷过的题型吗？不一定。但至少刷过的这些题型会让你更有底气。但我们行业中无论是安全的甲方还是乙方，大家都没有认真地经历这个刷题的过程，换句话说，大家都在猜题。”

　　他认为，安全的甲方应该在安全建设中做到有所为有所不为，通俗来讲就是，甲方安全负责人应该只采购“与我相关”的安全产品，去验证“与我相关”的工具和攻击，去修补“与我相关”的漏洞，去优化“与我相关”的XDR纵深防御检测与相应体系。

　　如果缺乏这一套攻防知识驱动，持续迭代优化的XDR技术，企业就会陷入到最初探讨的三大挑战中，需要依赖安全专家个人的能力，但有经验的安全专家可遇而不可求；只能去猜测自己需要哪些安全产品盲目采购，带来告警风暴的难题；而缺乏度量评估改进则又无法站在巨人的肩上看到高级威胁。

　　因此余凯认为，安全专家应该从海量的告警工单中的得到解放，并重新回到与攻击者高效对抗的维度上来，而这依赖当前安全运营体系可以自动化应对庞杂的史上曾经发生的分门别类各种攻击行为，也就是“与我相关”的实战题库。

　　针对庞大的“实战题库”，360 XDR在落地的过程中如何打通各个厂商之间的数据壁垒，做到“落一子而全盘活”？

　　余凯介绍，为了解决用户本地安全产品各自为战的痛点，360目前已经探索总结出来了一套赋能安全厂商的数据标准。简单来说，360打造了一个安全分析工具作为中间件，通过这个中间件将用户本地各种产品各种品牌的设备协同起来，帮用户做统一分析，并且把360多年积累的大数据、分析研判、高级威胁情报等能力直接赋能给用户，来自各家厂商的这些网络安全设备的流量、日志、告警、样本文件等都可以收集到这一套安全分析平台进行分析。同时以抗攻击能力评估做整体效能度量和优化改进。

　　360正在向所有的生态合作伙伴免费提供这套分析平台，通过链接这个分析平台，安全厂商能够把数据？？共享到我们的分析平台上面，与360形成一个作战体系闭环。目前该平台已经支持国内外主流的二三百家安全厂商的上千种设备。

　　通过这样的方式，360正在快速地推动形成这套数据标准化的生态，推动这个生态下的每家安全厂商在开发时有规范，保证产品落地后的效果。

　　XDR未来在何方？要到哪里去？

　　作为一项新兴技术，尽管XDR已经在国内外成为行业主流选项，但仍然处于技术发展百家争鸣探索阶段，未来还存在广阔的提升空间。在采访最后，我们邀请余凯就XDR未来将向哪些方向拓展的话题分享了自己的看法。

　　余凯表示，一个优秀的XDR方案是终端安全技术、大数据分析技术、？？抗攻击能力评估技术以及攻防知识库建设发展到高峰的一个自然成果。这四项支柱型核心技术是一个XDR厂商能够看清攻击杀伤链的先决条件。同时，也只有先将这四项技术做深做实，才能够去讨论下一步XDR发展方向的话题。

　　在他看来，下一步XDR技术将会与资产以及全网情报数据深度结合，并向云地一体化运营转变。持续提升“看见”威胁能力和对抗效率。

　　攻击杀伤链的核心是威胁、资产和漏洞。因此，将资产攻击面管理引入到XDR中形成作战地图十分重要。“如果企业能够详细掌握自身的资产情况，那么当一次攻击事件发生时，结合资产的情况能判断攻击事件从哪里来，进行到了哪里，当前的影响面是怎样的，接下来还有多少资产可能存在风险，以及应该迅速做出什么样的应对方案及时止损，确保核心资产的安全性得到保障。”？？

　　在全网情报数据的维度上，假使能够将每一次攻击事件与攻击者画像相结合，并通过全网情报数据了解到攻击者常用的工具、技战术、过往或正在实施的攻击活动等，那么就能够在第一时间根据相关信息调整事件等级、调配所需投入的资源，应急响应力度，在整个攻击事件中抢到先机。

　　云地一体化运营的关键是将“看见”威胁的不确定性进一步依赖云端以更广视野，更大资源和更强能力解决。托管检测和响应（MDR, managed XDR）可以最大限度提升安全运营效率效能。

　　“全网情报数据能够告诉我们，与攻击者画像相关的一切信息，他可能是谁，他所在的地域、常用的武器和攻击方式。而资产就是本次攻击杀伤链所在的战场。安全终究是要回到攻防上面来，而只有知己知彼方能百战不殆。”

更多信息可以来这里获取==>>电子技术应用-AET<<