《Gartner：新一代XDR-面向未來的數字安全防御架構（23頁）.pdf》由會員分享，可在線閱讀，更多相關《Gartner：新一代XDR-面向未來的數字安全防御架構（23頁）.pdf（23頁珍藏版）》請在三個皮匠報告上搜索。

1、新一代XDR 面向未來的數字安全防御架構2 1.數字化轉型正在重塑未來世界全球爆發的新冠疫情倒逼各組織（指企業、政府等各個機構）進行數字化轉型，如遠程辦公、混合工作模式，以及云服務等的廣泛采用正在成為常態，并且已經永久性地改變著人們的工作、生活和經營方式。對組織而言，數字化轉型不僅是簡單的業務上云，而是一個推動跨業務、人員、技術等的數字供應鏈變革的整體解決方案。這種變革正在重塑組織的商業模式，加速業務或商業的數字化進程，增強業務 彈性，同時在推動著網絡和安全的變革，重塑著未來的世界。1.1.數字化轉型之業務變革所謂業務變革，是指隨著全球數字化進程的不斷推進，在任何地點、任何時間，訪問任何應用已

2、經成為數字化業務的基本特征。業務變革的本質是尋求現代IT技術重塑其應用及服務模式，增強業務彈性，持續保持組織在行業中的競爭優勢。采用數據中心+云的方式已經成為眾多組織IT架構的戰略選擇，組織的IT領導者正在努力從傳統技術堆棧、復雜的IT架構和冗余的供應商中解脫出來，以盡可能低的成本提供即插即用、運營高效的IT服務。比如廣泛的利用云計算、大數據、人工智能和自動化等技術不斷提升用戶體驗，逐步減少傳統IT系統的投入，加大業務創新，利用和依托數據來做出更加合理和科學的數字化決策，保持業務的可持續性發展，增強業務的敏捷性、彈性和創新性，快速適應各種數字化變革所帶來的挑戰等。1.2.數字化轉型之網絡變革網

3、絡的本質是提供快速的用戶接入體驗，縮短用戶網絡訪問的路徑，降低網絡延遲，簡化管理，提升效率。隨著組織的業務實現數字化轉型，其所帶來的最直接的變化是組織的數據不再唯一駐留在本地的數據中心，而是分散在不同的地點，新一代XDR 面向未來的數字安全防御架構新一代XDR 面向未來的數字安全 防御架構 2Gartner的研究：2022年預測：整合式安全平臺將是 未來的發展趨勢 16關于360數字安全集團 23新一代XDR：這一面向未來的數字安全防御架構由奇虎發布。由奇虎提供的編輯內容與Gartner的分析結果相互獨立。Gartner的所有調研報告的版權均為Gartner,Inc.所有。2022 Gartn

4、er,Inc.保留所有權利。所有Gartner資料在本出版物中的使用均已獲得授權。使用或者發布Gartner調研報告并不表示Gartner認可奇虎的產品和/或戰略。未經Gartner事先書面許可，不得以任何形式復制或分發本出版物。本出版物中包含的信息均取自公認的可靠來源。Gartner不對此類信息的準確性、完整性或適當性做出任何保證。并且不對此類信息中的錯誤、遺漏或不適當承擔任何責任，也不對此類信息的任何解讀承擔任何責任。此處表明的觀點隨時可能更改，恕不另行通知。雖然Gartner研究可能會討論相關的法律問題，但Gartner并不提供法律建議或法律服務，不應將其研究解釋為或用作法律建議或法律服

5、務。Gartner是一家上市公司，其股東擁有的公司或基金可能與Gartner調研報告中涉及的實體有財務利益關系。Gartner的董事會成員可能 包括這些公司或基金的高級管理人員。Gartner調研報告是由其調研機構獨立完成的，并沒有受到這些公司、基金或其管理人員的介入或影響。如需了解Gartner調研報告的獨立性和完整性的詳細信息，請參閱其網站上的“獨立性和目標的 指導原則”。33 如公有云、私有云、數據中心、合作渠道、終端、物聯網等等。這種復雜的網絡直接帶來了訪問延遲、數據出口成本高昂，用戶訪問體驗差、系統管理復雜、網絡成本上升、安全攻擊面擴大等眾多問題。隨著網絡不斷復雜化，導致大量的數據孤

6、島出現，進一步加重了組織的IT負擔，阻礙了組織的數字化進程。越來越多的企業把業務遷移到云上，通過互聯網直接訪問，而不是采用昂貴的專線進行中轉。利用互聯網，極大的縮短了訪問路徑，改善了用戶體驗。另外，大量的邊緣計算網絡的出現，讓網絡的算力更加高效、合理、優化，正在改變著傳統網絡的格局。1.3.數字化轉型之安全變革數字化轉型正在顛覆傳統網絡和安全服務的設計模式。數字時代軟件在重新定義世界，一切皆可編程、萬物均要互聯、數據驅動業務三大特征，給數字技術帶來不可避免的安全脆弱性。遠程辦公、移動辦公、自帶設備（BYOD）、廣泛的第三方SaaS應用訪問、第三方影子IT、合作伙伴網絡、IT/OT網絡融合、開源

7、軟件的廣泛采用等等業務的變革驅動了網絡的變革。太多的攻擊載體可以利用，使得攻擊者可以輕松的從任何端點、網絡到云的任何位置發起。對手可以采用的攻擊向量比以往更多、范圍更廣、烈度更大，從而造成的破壞性更大。隨著數字化轉型的深入，互聯網成為新的企業網絡，云成為新的數據中心，傳統安全防御的空域、對象、攻擊方式等均發生了根本性變化。因此，企業迫切需要新型的數字安全防御思路和手段來應對數字安全新威脅。2.數字時代的安全挑戰倒逼網絡安全 行業涅槃數字時代面臨著外部和內部雙重安全壓力：外部威脅持續升級，造成告警風暴無法應對、高級威脅無法看見、安全事件難以處置等三大困境；內在固有脆弱性難以解決，存在安全人才奇缺

8、、安全技術碎片化、運營流程無法量化改進等三大瓶頸。所有這些都催化網絡安全行業即將發生涅槃式變革。2.1.傳統安全的局限和需求挑戰的背后根因是攻防對抗不可能止于邊界。沒有攻不破的網絡，假定失陷（Assume Breach），敵 已在我是不得不接受的現實，在這種情況下，安全的核心是要做到快速看見、快速處置，在攻擊做出破壞之前及時斬斷“殺傷鏈”。傳統安全建設模式，以安全事件為驅動，通過“堆盒子”來解決問題，當出現某個隱患或熱點時，就增加一種設備來應對，盡管傳統單點安全產品工具眾多，但是集成難度增大，日志難收集，只能依靠進行孤立的數據分析和碎片化安全管理來應對現代系統化的網絡攻擊。2.1.1.無法應對

9、告警風暴告警風暴，是降低安全運營效率的元兇。一方面，企業數據中心缺乏完善的安全大數據基建。數據中蘊藏著企業風險指標等重要的安全信息。防火墻、IDS、IPS、NDR等各個端類設備上的日志數據格式迥異，語義不統一，難以建立統一的接入方式進行數據采集和規范化處理以挖掘其中的高價值信息。同時調研顯示，安全設備日常產生的海量告警數據中，70%以上都是由于業務系統缺乏安全性設計或安全設備檢測規則不嚴謹所產生的誤報數據。企業安全人員必需從海量告警中剔除這些誤報信息，尋找具有分析價值的攻擊告警。利用人工智能和大數據分析技術，實現高精準度的自動化降噪能力，是 企業安全運營人員的主要訴求之一。2.1.2.無法看見

10、高級威脅隨著高級別專業力量入場，國家背景的APT組織日益猖獗。我國關鍵基礎設施已全面接入互聯網和工業互聯網，城市、政府部門和能源、金融、電力、交通等重點行業的數字資產成為首選攻擊目標。APT（Advanced Persistent Threat，高級持續性威脅）是一種針對性、隱蔽性、持續性極強的攻擊行為，通常會使用加密、混淆或代碼重寫等高級惡意 軟件技術來隱藏自身活動，實現長期潛伏的目的。此外，APT攻擊組織在識別出核心敏感數據后，會擇機將數據轉移到外部，竊取數據，更甚者直接癱瘓關鍵基礎設施或接管網站、數據中心等關鍵資產?，F實中的普遍現象是，傳統安全產品貌似布防嚴密卻“看不見”APT，導致誰進

11、來了不知道、是敵是友 不知道、干了什么不知道。2022年9月，360公司協助國家有關監管部門發布了關于西北工業大學遭受境外APT攻擊的調查報告，是印證上述特點的最佳案例。數字時代亟需構建“看見”高級威脅的能力。4 2.1.3.無法高效處置威脅威脅處置是安全事件運營的最后一公里，威脅處置的速度與質量是成功應對安全事件的關鍵。威脅處置的過程包括研判溯源、影響面評估、建立優先級處置手段等。而目前的普遍現象是，安全運營人員大多使用人工方式處置威脅：操作多臺設備切換不同界面來完成一個威脅處置，如登錄平臺A看告警，查看服務器B詳細數據，封禁防火墻C的IP威脅處置過程中，受限于多種設備、多種系統，多個安全設

12、備之間的碎片化數據、非標準化技術導致分析研判難、聯動與協調難，不同安全事件類型的處置方式選擇難，人員技術水平差異導致事件高效處置難。傳統的安全處置流程消耗的時間遠遠超過威脅處置的“黃金時間”，攻擊者可能早已“打完收工”。某案例企業的真實運營數據表明，基于其納管的120余臺安全設備，安全運營團隊反復登錄多臺安全設備進行數據檢索和取證，再經由人工進行信息關聯分析，作出一次威脅事件的研判論證，平均耗時約3-4天?？梢哉f，傳統威脅處置方式已經不能滿足當今攻防對抗頻次日趨頻繁的現實需求。2.2.數字時代安全運營迎來變革新訴求安全運營亟需應對上述安全挑戰，而自身又面臨安全人才奇缺，安全技術碎片化和運營流程

13、無法量化改進三大瓶頸。每一次科技革命本質上都是通過一個技術創新高效地解決過去一個很費錢或者是投入資源太大的問題。新技術加持下，通過技術來引導管理體系的建設，通過管理保障技術的落地，將人、技術和流程的問題進行整體看待進而尋求系統化設計才能抓住根本。2.2.1.安全運營人員存在巨大缺口據統計，全球信息安全崗位空缺高達數百萬個，網絡安全勞動力需要在現有規模的基礎上增長一半以上才能有效保護組織的關鍵資產。當前各行業客戶的 安全團隊均存在不同程度的人員缺口。以某城商行為例：人員規模僅3人的安全團隊幾乎承擔著整個數據中心所有的安全工作，包括日常的安全威脅監測分析、安全事件響應恢復、策略規則運營，定期的漏洞

14、檢測修復、滲透測試、風險評估，新業務上線前的安全檢查，重要時期的安全值守以及年度的安全建設規劃等，安全團隊工作負荷巨大。這類現象在中小規模企業甚至是行業腰部企業中屢見不鮮，安全設備建設規模與安全團隊人員配比形成巨大的反差，有限的安全人員在繁雜的安全工作中疲于奔命，導致整體安全建設效率低、質量差。2.2.2.安全技術不能解決所有問題新的威脅類型和攻擊向量不斷催生新的安全技術試圖解決某個新問題，如人工智能、大數據分析技術 已經越來越成熟地運用到安全場景中，盡管能夠有效提高生產力和可見性，但無法完全脫離人的干預。對于復雜高級威脅攻擊，最終的研判分析和應急響應仍然依賴于專家能力和經驗，而技術的最大價值

15、在于釋放專家有限的精力，使其更加聚焦在處理高級威脅攻擊，而非海量告警的疲憊處理上。攻擊武器的先進性，攻擊手法的隱蔽性、業務場景的復雜化和安全產品品類多樣化，促使行業對安全專家的技能水平要求再創新高。企業必須構建一支具備跨域數據分析、事件監控、威脅狩獵等綜合能力的團隊，才能最大程度發揮設備的生產力，快速精準地處置每一個安全事件，這無疑對行業人員技能培養和企業成本帶來巨大挑戰，顯然，通過SaaS服務的方式按需提供托管運營（MDR）專家服務，越來越多地被企業接受。2.2.3.安全運營亟需可量化的持續改進隨著安全建設的持續投入，安全設備的持續采購，安全團隊通常會面臨不得不回答的靈魂三問：1）我們現在的

16、安全防護能力怎么樣？2）我們可以在什么地方縮減預算，在什么地方增加預算，依據是什么？3）之前XX公司發生的攻擊事件，我們能抵御么？問題背后的本質是，面向合規開展安全建設，能夠回答有或者沒有，但面向實戰對抗的安全運營，卻無法量化衡量運營有效性，最終導致企業無法看到自身的短板，陷入了不知道如何持續改進的痛苦境地。因此，安全運營亟需可量化的持續改進的機制，滿足以下訴求：能夠直觀地了解網絡安全防護能力，安全設備是否如期發揮最大效能，對公司當前的防護水平有量化的認知，清晰認識到安全設備帶來的價值和 55 投資回報率。同時為未來安全設備選型提供可靠數據支撐，檢驗即將采購的安全設備是否真的有效；從而有效認識

17、安全建設規劃及預期與實際效果之間的差距，為未來的規劃、建設、優化等決策提供科學量化依據。3.XDR是面向未來的數字安全防御架構為了解 決 看見 的 難 題，XDR（Extended Detection And Response：擴展檢測響應）作為 新興威脅檢測與響應架構一經提出便受到行業普遍關注。XDR產品以“打破安全孤島，實現有效的檢測 與響應”的理念為驅動力，來解決數字時代新威脅 格局下“看見”威脅的難題。3.1.XDR的演進2018年Palo Alto的CTO Nir Zuk創造了XDR這個 概念。他先列出客戶面對的攻防困境：當時的黑客已經非常專業化，采用的攻擊手法多種多樣且高度自動化，

18、一旦找出企業暴露面進入企業網絡可經過多點跳轉入侵攻擊目標完成攻擊任務。而防守方相比黑客的防護非常死板，靠堆人在幾十種安全產品上輪流看告警，這是不可持續的做法，而且不能合力的安全產品一定看不全黑客的攻擊面。XDR的核心價值是解決安全產品孤島問題，整合多個安全產品，把產品的安全數據匯聚進一套集中的大數據平臺，并在之上搭建 一套安全運營平臺及相關服務，自動化地提供檢測與響應能力。這個產品價值與解決方案逐漸得到業界的認同。根據Gartner的定義，XDR是一個安全平臺，將特定供應商的多個安全產品，原生地集成到一個統一的安全運行系統中。在Gartner新發布的擴展檢測和響應的市場指南中，已經將XDR技術

19、擴展至EDR、NDR、SWG、UTM等能力的綜合體。XDR中的“X”代表著以終端為起點的安全視野的持續擴展，結合數據湖技術、自動化編排技術及安全分析技術，形成面向多種甚至未知安全場景的綜合性安全解決方案。3.1.1.XDR與EDRXDR的核心是EDR，因為終端能獲得高質量數據，并壓倒性覆蓋攻擊殺傷鏈的關鍵技戰術，則更直接有效增強了企業看見威脅的能力。正如兩個名稱縮寫首字母所代表的，X指eXtended，在EDR外還擴展打通了其他產品。EDR通過實時監測端點上發生的各類行為，采集端點運行狀態，提供深度持續監控、威脅檢測、高級威脅分析、調查取證、事件響應處置和追蹤溯源等功能，及時檢測并發現惡意活動

20、。EDR是XDR要對接的最重要的安全產品類別，沒有一個好的EDR，XDR的檢測與響應效果無從談起。XDR以EDR數據為核心，串聯跨域安全設備數據，可以更高效地看見威脅并基于攻擊鏈快速做出檢測與響應。XDR通過多元異構的大數據關聯分析，疊加多層次的AI算法，先把EDR傳回的行為數據串接出攻擊鏈的核心，再關聯其他檢測攻擊面的安全產品的行為數據進行延展和合并，最終把包含EDR的多種安全產品的海量行為數據，濃縮成一條清晰的攻擊鏈，并 進一步對鏈上具體的攻擊行為提供豐富的上下文，如綜合自其他安全產品的資產漏洞信息、大網威脅信息、源自云端數據的攻擊者畫像等，可以完整的 看到安全事件影響的所有資產、漏洞、威

21、脅以及攻擊手法，便于按照業務優先級快速處置響應。3.1.2.XDR與SIEM從XDR面市的十多年前起，SIEM就是一個非常成熟，穩定發展的市場，和EDR垂直型產品不同，SIEM和XDR同樣是廣度型產品，如SIEM同樣以打破安全產品孤島的理念，提供從檢測到響應的安全運營工作流，甚至具體到多元異構數據分析的技術手段，看起來與XDR高度重疊。XDR作為后起之秀，很自然地參考了當時成熟的SIEM市場產品的功能與技術，尤其借鑒了以大數據和AI為技術突破點，因此兩者底層技術上的重疊并不奇怪。但XDR選了一條更聚焦于檢測與響應的從理念到功能落地的路徑，我們認為XDR與SIEM產品核心差異點就在于這條路徑。S

22、IEM落地時，不經攻防實戰方法論指導，不主動挑選合適的安全產品，不定義數據源的質量，而被動得接入所有第三方設備，不加區分地整合，不僅檢測效果差，還導致高昂的成本。而XDR以檢測效果為導向，選擇以過硬的EDR產品為檢測與響應的核心，在端點之外依次挑選自家和生態的安全產品，補齊ATT&CK量化統計的攻擊暴露面，提供出廠可用，并且部署后仍由云端持續更新的檢驗與響應內容包，避免客戶付出大量安全運營成本 6 來打通各家安全產品，又能輕松獲得專家級安全檢測效果。國際主流觀點認為，SIEM是客戶一站式安全運營的界面，XDR增強了SIEM高級威脅發現能力，SIEM基于這個線索進行分析、溯源和響應。XDR是標品

23、式自動化檢測響應，SIEM是人機結合管理和運營，兩者珠聯璧合，相得益彰。如何選擇SIEM和XDR？首先，我們認為除非是大型企業能投入充足的預算，采購最好的各類安全產品，籌備專業安全運營團隊，以完善的安全運營流程來管理，才能讓SIEM達到XDR級別的安全檢測效果。如果沒有一支運營隊伍，沒有充足的預算，選擇開箱即用、快速出效果的XDR才是王道。其次，SIEM和XDR并不互斥，功能可以相互補充，在客戶處共存。多數XDR廠商，相比SIEM廠商追求功能的廣度，只做自己最擅長的檢測與響應領域，刻意做了減法，會缺乏一些SIEM產品具備的其他領域的功能，比如審計合規、與各種企業的管理類軟件對接等等。此類需求，

24、可以由XDR產品和SIEM產品組合使用來實現。在未來一段時間內，預計安全預算充足的大型企業，仍然會同時使用SIEM和XDR。3.2.新一代XDR的模型框架數字化轉型將網絡安全上升為數字安全，新一代XDR依然堅定不移地以“打破安全數據孤島，實現有效的檢測與響應”的理念為驅動力，持續提升數字時代 新威脅格局下“看見”威脅能力和對抗效率。因此，新一代XDR技術拓寬了分析范圍，可關聯分析更多維的遙測數據（終端、網絡、云端、移動端、郵件、資產、瀏覽器、蜜罐等），整合更多元威脅數據（全球威脅 情報、資產、漏洞、暴露面信息等）和專家知識庫（APT基因庫和攻防知識百科等），將會與資產以及全網情報數據深度結合，

25、并向云地一體化運營轉變，將“看見”威脅的不確定性進一步依賴云端以更廣視野，更大資源和更強能力解決，進一步更快、更全的看清攻擊殺傷鏈。托管檢測和響應（MDR,managed XDR）可以最大限度提升安全運營效率效能。最終，助力安全回歸到“攻防對抗”的本質上來，做到“知己知彼百戰 不殆”。圖1360新一代XDR數字安全防御架構資料來源：Qihu77 3.2.1.新一代XDR與ATT&CK攻防知識百科想要打造出一款真正有效的XDR產品，更高效地解決看見的問題，數據質量是一切的前提。數據 已經成為了數字經濟的關鍵生產要素，在安全的語境下，數據驅動安全在安全行業中也已成為共識。但在數據驅動安全的背后，數

26、據的質量顯然成為了關鍵成功因素。換而言之，當采集數據這件事情變成共識的時候，采集什么數據就變得至關重要，準確全面的數據決定了后續分析能力效果的上限，如果對于到底要采集什么樣的數據沒有清晰的洞察和認知的話，就會陷入一個誤區，讓一堆的無效的垃圾數據占據大量的計算資源，幾乎無法從中發現有效的信息。因此，我們認為從實戰中沉淀攻防知識，由知識定義XDR數據標準，是XDR達到良好檢測和響應效果的必要條件。也就是說要為XDR建設一套指導數據收集、分析、響應、評價的維基百科，我們稱之為攻防知識百科。這套知識百科指導XDR建設方案需要接入怎樣的數據源，如何去做檢測分析，如何準備應急預案，如何做效果評價，進而形成

27、了一套將攻擊知識轉換為防御策略的方法論和產品驗證的方式，最終真正地做到對威脅的看見和處置。想要做好這件事不簡單，需要在安全大數據、知識庫、安全專家方面的持續積累，將全網視野看到的APT攻擊、黑客滲透、惡意軟件等多種威脅事件分門別類地進行了梳理和沉淀，將實戰攻防對抗中新增的攻擊技戰術、攻擊活動殺傷鏈、攻擊工具、攻擊者組織信息、所涉資產類型、所涉數據源、檢測規則、防御方案等信息，以及它們之間的關系都呈現在一個可視化圖譜上，讓安全研究和運營人員全面全覆蓋看到實戰攻防技戰術全景，并建立攻擊、防御和評估之間的“相互關聯性”，形成XDR實踐的明確行動指導。3.2.2.新一代XDR與安全大數據XDR是數據質

28、量與規模質變而激發的能力質變。無論采集多少數據，一個企業內部僅可以形成具備自我視角的“小數據”，具備全行業乃至全國視角的 圖2360 APT基因庫和攻防知識百科-攻擊、防御、驗證知識庫內容資料來源：Qihu8 圖3360 APT基因庫與攻防知識百科-攻擊殺傷鏈資產視角與攻擊過程視角真“大數據”是企業難以實現的。只有“小數據”+真“大數據”相結合，才是XDR未來的解決思路。如何實現“小數據”+真“大數據”結合，簡單說來包含兩個要素：一個本地化安全大數據平臺用以負責存儲和計算客戶的“小數據”，一個全網安全大數據連接器用以獲得更多的“全網大數據”加持，全面賦能安全分析與響應。這樣從架構上打破云端知識

29、、客戶業務及威脅數據之間的固有屏障，融通各類安全數據，協同整體實戰決策。安全大數據平臺具備海量大數據實時處理能力，根據數據規模能夠擴展至百萬EPS大數據處理能力，支持跨數據中心的全局關聯分析，其在流量，資產，進程，網絡，內核行為等各個安全子領域定義了專用 的XDR數據模型，能夠快速接入各類XDR數據使之集中管理，并在內部融合數據品類，協調數據流程決策與步驟，為安全業務提供從數據接入到存儲、清洗 到運算，最終到威脅發現一站式開箱即用的服務。相比通用化的大數據平臺，其數據處理能力更專業，其安全分析功能更豐富、性能更高、部署和運維成本更低。云端賦能連接器連接全網大情報數據，為XDR分析提供從漏洞到資

30、產、從情報到知識、從線索到規則、從事件到態勢等100余種基礎的安全數據及分析的賦能，活動與攻擊者畫像相關的一切信息，助力安全運營人員在攻擊事件中搶到先機。如：失陷事件檢測、攻擊來源識別、惡意樣本鑒定、風險URL檢測、漏洞排查分析、文件信譽評分、風險資產測繪、戰術戰法還原、高級威脅檢測、威脅圖譜分析、人工智能分析等。3.2.3.新一代XDR與人工智能面對海量的威脅數據，人工智能機器學習技術可提升網絡空間威脅檢測、響應能力?；诰W絡空間大數據提供的數據資源，機器學習技術提升了網絡空間感知與防御手段對于各種不確定性環境的動態適應能力，能夠對海量模糊、非線性、異構數據進行自動化的 資料來源：Qihu9

31、9 分類聚合與關聯分析，全面感知識別網絡安全威脅，自主學習認知網絡空間態勢；能夠主動生成與快速調整網絡威脅防御響應策略，在與自主化、智能化網絡空間攻擊手段的攻防博弈中不斷學習演進，逐漸形成適應性強、反應迅速靈敏的網絡空間安全防御“安全大腦”。XDR平臺應內置多種機器學習賦能的檢測、分析引 擎，支持進行樣本檢測、威脅情報檢測、終端異常行為檢測、網絡異常行為檢測、資漏關聯分析、多維度關聯分析、自動化溯源分析等多維度檢測分析手段，可有效識別高級未知威脅并自動響應應對。3.2.4.新一代XDR與威脅圖譜（Threat Graph）安全專家在面對攻擊的復雜性，他們需要有足夠的技能和聰明才智，而威脅圖譜技

32、術是XDR加速調查響應，遏制攻擊的關鍵技術。威脅圖譜技術通過應用圖分析和機器學習算法的組合，有效地建立主機、用戶、內外網IP、域名、文件、進程等實體之間的關系和行為，提供了對客戶環境所有端點、網絡、用戶、應用數據的完全實時可見性和洞察力。例如對于一個文件實體，通過威脅圖譜技術可以找到它的訪問域名、訪問IP、訪問用戶、關聯漏洞、關聯樣本、代碼執行 行為、訪問行為，且都時序地展現出來。更難能可貴的是，所有的實體及實體間的關系，都呈現在一個統一的視圖和操作界面，安全專家可以非常方便的基于事件的關系、上下文、序列來確定攻擊是否正在進行，并直接在實體上進行分析和處置。這些實體之間本不直接相關，但可能構成

33、潛在攻擊，采取其他方法將難以被發現。利用威脅圖譜，客戶實現了在攻擊發生過程中阻止攻擊，這與事后溯源取證完全不一樣。沒有威脅圖譜之前，安全分析專家往往通過添加情報源，編寫關聯分析規則，試圖將多個數據源的數據進行反復透視，以確定事件之間的潛在關聯，找到線索，這實質是個圖4全網安全大數據賦能客戶安全運營資料來源：Qihu10 勞動密集且門檻很高的過程。這種類型的調查，通常需要數小時甚至數天的時間，占用了寶貴的安全人才和資源。但威脅圖譜存儲了所有攻擊活動的時間線、所有關聯的實體關系全部呈現在一張圖上，客戶可以在威脅圖譜上進行快速調查分析、判定優先級，判定影響面、響應處置，這個過程可以在幾分鐘內完成，從

34、而比對手贏得寶貴的時間。充分利用云端威脅圖譜能力可以指數級提高檢測響應的速度和精度。云端威脅圖譜利用強大的圖分析功能實時搜索數十億事件，在全球級的數據量上建立安全事件之間的聯系，以規?；颓八从械乃俣瓤焖贆z測和預防全球黑客攻擊。如果威脅圖譜在一個客戶環境中檢測到某些東西，所有客戶都會自動從中受益。例如在單個客戶站點上發現的一個新的實體、攻擊技術、攻擊工具可以立即連到全網數據中進行測試和驗證。利用云端威脅圖譜的“百億節點千億邊”的規模和數據生產速度，快速檢測新型未知攻擊，顯著提高檢測響應的速度和精度。這相當于在用全網的力量和專家集體智慧在幫客戶檢測一個未知威脅。3.2.5 新一代XDR與SOA

35、R技術XDR中的R是指“響應”，這意味著在識別出威脅后，需要盡快進行響應和處置。所以，響應和處置是XDR的必備技術。而SOAR恰恰是快速響應和處置安全事件和威脅的重要法寶。據調研，93%的安全專業人員認為他們的SOAR對于復雜的安全運營流程和基本的安全運營任務都是有效的。圖5威脅圖譜富化拓線分析助力調查響應下一代XDR通過集成SOAR組件，可以更加高效地實現安全編排、自動化和響應，可以讓安全團隊通過同一個控制臺立即消除網絡、端點和云威脅。SOAR可從XDR工具中獲取告警，利用上下文和情報自動富化，并根據風險評分對安全事件隊列進行優先級排列，結合開箱即用或自定義劇本，實施最佳實踐安全流程，加快客

36、戶的調查和事件響應時間，提高安全運營團隊的效率，使得安全運營流程標準化。然而，由于編程技能不足、安全運營流程不成熟等原因，SOAR的價值尚未得到充分體現。為了幫助客戶開啟SOAR之旅，應該從常見的場景用例開始啟程，比如自動化網絡釣魚響應、自動化惡意軟件分析等場景。通過將各種場景用例的自動化內容包和預構建集成打包在一起，就可以引導客戶快速入門。資料來源：Qihu1111 3.2.6.新一代XDR與MDR服務新一代的XDR產品在解決“看見”威脅問題的同時 進一步促進托管檢測和響應（MDR,managed XDR）服務進化，MDR服務將客戶本地XDR數據和全網情報大數據深度結合，配合不間斷的安全專家

37、級監測、調查和響應服務，將“看見”威脅的不確定性進一步依賴云端以更廣視野、更大資源、更強專家隊伍解決。在全網安全大數據賦能下，安全專家團隊能夠幫助客戶看到全局，而不僅僅是惡意活動在單個組織內部的片段，還可以通過專家實戰經驗更快的溯源發現未知的新型威脅以及定向的APT攻擊，這樣 可以最大限度的減少威脅帶來的風險和影響。XDR的安全托管MDR服務應用落地，將從“事前安全專家級監控預警”、“事中定位網絡安全攻擊所處階段、安全專家協助處置”、“事后歸納總結，結合安全專家建議和安全大數據分析指導未來網絡安全建設方向”這三個層面提升了客戶的安全能力，而客戶付出的成本遠遠小于組建一支安全專家團隊，MDR服務

38、是短時間內解決網絡安全專業人員的短缺和相關技能差距的有效辦法。3.2.7.新一代XDR與BAS技術如果說XDR是ATT&CK攻防知識百科指導下的一類聚焦檢測與響應工程化的產品，那么BAS（Breach and Attack Simulation）是ATT&CK攻防知識百科下聚焦有效性評價的另一類工程化產品。XDR和BAS通過同一套知識體系賦能，讓數據接入、檢測、響應、評價形成統一的度量標準，換言之，我們認為BAS是XDR的伴生技術，是檢驗XDR技術有效性的評價手段，更是指導企業安全運營持續改進的量化標準。在沒有BAS之前，安全有效性評價高度依賴安全專家個人能力和經驗，需要某一個人來指出，當前哪

39、里存在風險需要加固、發現了哪幾個高危動作可能存在攻擊風險等，這中間存在主觀性、時間成本、人力成本等不確定因素。BAS帶給XDR的價值是，當一次新的攻擊事件發生后，能夠迅速地通過滅活重放的方式做自動化、持續性、常態化的覆蓋性評測，去驗證當前的XDR防御力量到底夠不夠強大？是不是每一個XDR探針都采集到了它需要的數據，XDR規則檢測到了它需要檢測到的攻擊？如果沒有，我需要補充什么樣的能力到XDR體系？難能可貴的是，這不是定性的評估，而是定量的評估，BAS為XDR有效性提供有的放矢的數據支撐，就好比一雙去偽存真的試金石，XDR效果好不好，BAS測一測便知道。3.3.360 XDR最佳實踐360 XD

40、R擁有精準全面的XDR探針，全網安全大腦賦能的安全大數據及智能檢測響應能力。通過XDR客戶可以獲得更好的威脅看見能力，更快速的分析響應以及最大化的投資回報率?？蛇m用于大中型企業提升對高級威脅的檢測與快速響應；也可適用中小 企業、縣市級政府機關、醫院、大中院校等中小規?？蛻?，產品開箱即用使用簡單，同時搭配安全服務體系，日常安全合規、告警處置簡單易用，重大事件專家快速響應，全面提升安全運營效率。3.3.1.核心優勢一個優秀的XDR方案，是終端安全技術、大數據處理技術、大數據分析技術、AI人工智能技術、智能安全評估BAS技術、APT基因庫和攻防知識百科、安全運營和對抗專家服務有機整合發展到高峰的自然

41、成果。360在這7個方面積累了長年的核心優勢：EDR上高質量事件的捕獲能力：數據采集質量決定了EDR真正的檢測效果，采集高質量的安全數據是終端安全最有難度的工作之一。高質量數據第一強調采集維度，多維度的大數據才是真正的大數據。360 EDR支持最全維度數據采集，時間維度包括攻擊前，攻擊中，攻擊后；行為維度包括標準行為，差異行為，破壞行為；階段維度包括有感染前，感染中，感染后等，只有這樣的大數據才是高質量數據，基于高質量的數據才能真正發揮EDR的檢測效果。高質量數據第二強調采集精度，360 EDR使用360十幾年積累的內核分析技術、核晶硬件虛擬化引擎等多種引擎來收集安全數據，直接抓獲內核漏洞利用

42、的行為，實現最精準采集；360 EDR提供超越內核級監控能力，利用CPU的硬件虛擬化機制增強64位系統的安全防護，對進程創建、進程注入、模塊加載、注冊表值寫入、文件寫入等等行為進行全面監控，有效對抗APT繞過攻擊。這些都是360 EDR獨一無二的核心技術。12 全網安全大數據：大數據作為360 XDR的持續驅動力，能夠實時同步全球威脅，持續增強對APT攻擊的檢測和感知能力，在全網范圍內對安全事件做快速關聯分析?；?7年實戰經驗，360已匯集了超300億程序文件樣本，22萬億安全日志、90億域名信息、2EB以上的安全大數據，每天新增1.5 PB，可瞬間調用超過百萬顆CPU參與計算、檢索和關聯多

43、維度威脅數據。運營商級大數據處理及靈活低代碼分析技術：安全大數據平臺具有“運營商”級別的數據處理能力，并支持高速對接Hadoop/Spark生態組件進二次算法或編程式分析；自研的運營商級別的流式實時分析引 擎，每秒處理事件性能超過100萬，且能實現跨多數據中心統一分析。通過三層索引、列式數據壓縮和概率文本索引技術，對歷史數據的各種搜索，即使在PB級數據規模下，都能超出各類開源產品的15倍以上，而在實際部署上，運行這些功能，只需要同類平臺的1/6機器配置。內置解析規則支持接入200+廠商，2000+數據源，輸出多達1200+解析維度，是業界數據解析最規范和全面的平臺。AI人工智能技術：360 E

44、DR擁有靜態樣本檢測的QVM，從使用早期支持向量機、隨機森林等算法，到使用AI研究院自研算法，是成熟的新一代人工智能反病毒引擎；雷鳥引擎則是針對EDR所采集的時序事件進行分析，既包含經驗規則匹配，又利用長短期記憶網絡等深度學習方法訓練與檢測。XDR分析預置了10大類，60余小類，2000多個安全規則，應對紛繁復雜的安全業務，可靈活組合、相互補充、協同聯動，支持機器學習，自研關聯關系算法等十余種檢測模 型，集合XDR數據和全網威脅大數據能有效識別用戶異常操作、高級未知威脅并自動響應應對。創新智能安全評估BAS技術：360 XDR創新性地引入國際領先的入侵和攻擊模擬BAS技術，通過訂閱360 AP

45、T基因庫和攻防知識百科，采用實戰化、無害化方式模擬攻擊，持續性地對客戶布防的安全設備進行全面覆蓋性測試，以度量其面向歷史及最新攻擊的整體效能和差距。系統內置數千評估用例并每日更新，ATT&CK技戰術已覆蓋達70%以上，支持WAF、IDS、IPS、APT流量、NDR、EDR、EPP、郵件安全網關、HIDS、DLP等安全設備評測，支持對主流場景APT、勒索、挖礦、緊急高危漏洞等安全體系的整體防御能力評估。360 BAS提供場景編排功能，以圖形化、流程化的方式展示一次攻擊活動的上下文，通過完整的攻擊鏈呈現一次攻擊活動中所使用的技戰術，通過包含完整上下文的攻擊場景，全面評估安全產品對完整攻擊的防護情況

46、?？呻S時發起安全評估任務，一鍵生成安全評估報告，為客戶提供針對性的改進建議，幫助量化評估并持續改進縱深防御體系有效性。360 APT基因庫和攻防知識百科：360通過十年累積，已經擁有APT排查規則數百條；TTP技戰術規則近千條；沙箱檢測規則數千條；還原殺傷鏈檢測規則數萬條，黑白名單250億左右。同時擁有50多個知名APT組織的攻擊信息，這些信息不僅涵蓋了業界流行的MITRE ATT&CK攻防知識庫，而且基于360的實戰經驗在此基礎上做了大量補充。保持更新擴充的基礎上，將網絡攻擊技戰術、攻擊工具及攻擊者組織等信息，用規則和知識的方式提供給客戶，為用戶基于已知威脅對抗未知威脅提供明確而強大的行動指

47、導。世界頂級安全運營和對抗專家服務：360擁有具備 頂級漏洞挖掘能力的東半球最強白帽軍團。至今 為止，360專家已成功挖掘谷歌、微軟、蘋果等主流廠商CVE漏洞近2000個，包攬三巨頭史上最高漏洞獎勵，并已成功追蹤溯源海蓮花、摩訶草、美人魚、蔓靈花、藍寶菇等針對中國的境外APT組織累計多達50個。在持續與各國高級別黑客較量過程中，淬煉出了一套業界獨有的“實戰兵法”，并以此賦能指導360 XDR實現對各種威脅進行溯源分析及提供相應的解決方案。3.3.2.典型應用場景政府政務迅速向數字化轉型升級，網絡安全既是業務的支撐能力，也是業務保障發展的前提。360與重慶、天津、青島、蘇州、上海等市政府合力打造

48、360城市安全大腦，以360終端、流量、測繪、大數據等數字安全能力為抓手，基于XDR架構向城市企業提供基于“看見”為核心的一站式城市安全運營平臺，通過幫助城市、政府、企業客戶打造的集態勢感知、指揮控制、通報預警、信息共享、應急響應為一體的安全運營體系，構建“摸清家底、感知風險、看見威脅、處置攻擊、提升能力”5大安全能力，形成面向數字安全復雜威脅的完整應對能力。1313 360城市安全大腦基于XDR技術框架為用戶提供持續監測、深度調查、快速響應的MDR服務：監測：安全專家基于城市XDR平臺的能力輸出，提供持續的（24x7）的關鍵警報監控和事件關聯分析，并對其做響應優先級排序，優先處理高危 威脅，

49、快速發現快速響應。調查：安全專家通過溯源分析，構建攻擊的全貌。幫助城市托管用戶在追蹤威脅時理清攻擊鏈，了解攻擊者與其使用的攻擊技術，分析影響面，選擇正確的應對措施和加固方案。資料來源：Qihu圖6360城市安全大腦 響應：安全專家通過主動通知城市托管用戶或 主動調用XDR產品的響應處置功能，及時處置 威脅，阻止攻擊進一步擴散。并下發安全情報、策略，以防未來的攻擊。幫助客戶及時處理，降低影響。3.3.3.典型威脅檢測案例360XDR作為新一代的網絡安全解決方案，可從終端、網絡、瀏覽器等多個來源收集數據，并基于從 海量攻防數據中抽象出的威脅模型，進行自動化的高級威脅檢測和響應處置。以“酸狐貍事件”

50、為例，終端探針設備，采集終端上的進程、文件、注冊表以及敏感API調用等遙測數據，識別惡意軟件的植入、劫持、上傳數據等行為；流量探針設備，通過采集網絡會話的元數據，識別異常流量，發現諸如中間人攻擊、下載惡意軟件以及外連命令控制服務器等行為；360XDR可進一步關聯終端和流量數據，分析還原整個攻擊鏈路，方便安全團隊研判；同時能自動化提取威脅攻擊IOC和標記受害資產，預置的自動化預案自動調度防火墻對C2地址進行封禁，調度終端防護系統掃描受害主機隔離惡意文件。通過部署360XDR，企業能有效提高威脅14 檢測精度，大幅提升安全運營的效率，縮短MTTD和MTTR。3.3.4.XDR客戶收益降低安裝和維護

51、成本、簡化調查分析降低運營成本。360 XDR是一站式安全運營平臺，整合終端、網絡、云端360自研產品和生態產品，簡化部署和管理，將以往需要幾周完成的安裝部署和設備對接工作降低到1天完成，實現開箱即用。360 XDR根據預置規則動態地將終端、網絡和云端數據整合在一起，準確識別特定于每個客戶環境的威脅并生成完整的攻擊鏈路，大大減少了安全專家人工手動搜索進行分析溯源的時間，從半天時間減少到十幾分鐘，分析溯源效率成倍提高，大幅降低運營成本。避免運營門檻和學習使用成本。360 XDR提供開箱即用的威脅檢測和行為分析檢測規則將近500條，無需到客戶環境構建檢測策略就能夠立刻發揮價值，降低策略調整的運營成

52、本。云端專家也在持續的運 營優化這些規則并定期更新，確保規則的效果持續 提升，大幅度降低安全團隊人員學習與使用成本。提升檢測率和檢測效果。360 XDR以APT基因庫和攻防知識百科為指導，關聯分析多維神經元數據，結合資產、漏洞、威脅情報等多元信息，精確識別攻擊行為并聚合為安全事件，將待處置的告警量降低2-3個數據級，極大的減輕了安全團隊人員應對海量告警的圖7360 XDR檢測高級持續性威脅資料來源：Qihu1515 工作負荷。在處置響應環節，360 XDR預置了上百套SOAR協調指揮預案，利用自動化引擎快速進行安全事件處置，平均處置效率提升至10倍以上。4.XDR的未來演進隨著數字化技術的不斷

53、發展，數字攻擊面正在不斷擴大，對手使用比以往更復雜的技術，無論是在攻擊的范圍、攻擊的速度，還是在針對性和破壞性方面都在不斷演進。傳統的單點安全技術工具正在形成新的安全孤島，如傳統VPN等甚至成為攻擊者的攻擊目標。傳統安全工具產生的越來越多的報警使得安全運維團隊筋疲力盡，海量的報警淹沒了真正重要的安全 風險，為對手創造了更多的攻擊機會，導致防與攻的差距不斷拉大。未來的XDR的演進將主要體現在三個方面。一是未來的XDR將更加開放。未來的XDR將通過對所有安全操作中的事件進行管理，并提供持續監控和分析，為零信任計劃的實施提供原生的決策支持。如未來的XDR將設備和身份會統一關聯，打破對手所依賴的數據孤

54、島，從不斷分類和調查單一零碎的安全報警，轉向跨越云工作負載、電子郵件、端點、網絡、OT/IoT、身份威脅分析等更廣泛的應用場景及其數據源的支持；未來的XDR將利用云計算、邊緣計算、數據湖倉、人工智能和專家知識等的有機融合，遵循零信任理念、圍繞檢測、取證、響應、威脅調查等全生命周期，來構建智能檢測、威脅評估、主動響應、前沿防御的彈性安全防御體系；未來的XDR將提供統一和自動化的安全方法，迅速評估威脅并采取措施，從而實現更快、更有效的威脅檢測和響應。360多年以來在云端發力成功實踐了基于海量大數據、威脅情報以及機器學習能力和云計算框架支持的原生XDR技術，同時為企業提供基于SaaS的云原生XDR服

55、務。相信隨著數字化轉型深入，國內大多數企業會逐漸擁抱云原生的XDR技術和服務。二是未來的XDR將建立社區防御框架。為了應對對手對軟件供應鏈越來越嚴重的攻擊，未來的XDR將更積極的發揮社區的力量，跨越應對單一客戶面對的安全威脅到社區的聯合防御，將會定義和推廣最適合最終用戶的開放式XDR框架和架構;未來的XDR將幫助SecOps團隊更好的集成不斷出現和發展的各種應用程序、安全網絡技術等，保護客戶已有的安全投資，并能實現所需的安全功能的原生化的持續增值；未來的XDR開放框架將鼓勵社區力量進行聯防，鼓勵提供開放式XDR和大數據分析、威脅檢測、攻擊面管理、調查和響應等標準框架支持；該框架也將更廣泛的與托

56、管安全服務提供商（MSSP）、托管檢測和響應服務（MDR）以及系統集成商（SI）等進行合作。三是未來XDR將超越技術本身，而是一種主動防御的思想和哲學。XDR是一種哲學，它基于安全應該 始終關聯數據并在整個數字安全空間中持續檢測和響應；XDR必須建立在端點檢測和響應(EDR)的基礎之上，因為端點是數字安全空間的入口，也仍然是 最有價值的安全數據來源，未來的XDR一定要以最好的EDR作為基礎；未來的XDR將從對手的視角出發，以結果為導向，以運營為中心，打破對手藏匿的筒倉和傳統安全工具的孤島，針對威脅而不是報警不斷優化快速“看見”和極速響應能力的方向不斷演進；未來的XDR將整合威脅情報、零信任架構

57、，可以跨云和本地環境為客戶交付現代化速度和規?；陌踩\營和分析服務；未來的XDR可能會嵌入到組織的數字業務的每一個組成部分中，以數據的價值為中心，基于數據的全生命周期的價值流轉，成為構建原生安全基礎設施；未來的XDR將不會取代現有的某一個安全工具和技術，而是會超越現有的安全模式，體現主動防御、極速響應、規?；踩盏乃枷牒驼軐W，重新定義安全，幫助客戶構建更全面、更高效的風險管理計劃，重塑數字安全的底座，加速組織的數字化轉型進程。資料來源：Qihu16 服務要求日益繁多、威脅態勢快速變化、技術人才 匱乏在此背景下，安全和風險管理負責人依然需要“以少博多”。本研究預測，平臺整合將幫助安全 和風

58、險管理負責人所在組織在惡劣的環境中蓬勃 發展。概述主要發現 在降低復雜性、利用共性和最大限度減少管理開銷的需求驅動下，安全技術正在跨越多個學科領域加速融合。企業正在制定或計劃制定供應商整合戰略，由于涉及大規模的架構轉變，這對大多數企業來說都是一個長期任務。供應商日益分化為“平臺”和“組合”兩大陣營，前者整合多種工具，使之成為一個大于各部分之和的整體，而后者則將產品打包，很少整合。技術整合并不局限于一個技術領域，甚至不局限于一組密切相關的技術，而是在許多安全領域并行發生。建議 評估共享數據和控制平面的安全平臺；利用這種整合來定義常見政策，并減少傳統孤島之間的差距和漏洞。評估您對出站通信的安全需求

59、，并確定云管理的解決方案在哪些方面契合您的風險和業務情況。清點數據安全控制措施，當您需要利用您的數據來支持現代數據安全平臺時，孤立的數據安全工Gartner的研究：2022年預測：整合式安全平臺將是 未來的發展趨勢具會阻礙行動，因此您應該在幾年的時間內逐步淘汰這些工具。實施集成和融合的安全方法，涵蓋云原生應用從開發到生產的整個生命周期。作為降低安全運營復雜性的一種有效方式，評估由擴展檢測和響應統一起來的工作空間安全包。戰略規劃設想到2025年，80%的企業將實現從單一供應商的安全服務邊緣(SSE)平臺統一網絡、云服務和私人應用程序訪問。到2025年，由于對更高級別的數據安全的需求被壓抑，以及產

60、品功能的迅速增加，30%的企業將采用數據安全平臺(DSP)。到2025年，70%的企業將把保障云原生應用程序生命周期的供應商數量整合到最多三個供應商。到2027年，50%的中端市場安全買家將利用擴展 檢測和響應(XDR)來推動工作空間安全技術的整合，如端點、云和身份。分析企業需要了解什么安全技術和觀念一直在同類最佳解決方案和平臺解決方案之間搖擺不定（即使后者經常是一種營銷手段，而不是實際方法）。這種搖擺是由采購中心、供應商偏好和技術需求所驅動的。它給企業和安全與風險管理(SRM)領導者留下了巨大的技術債務，而且往往是一個分散、復雜的基礎設施，無助于企業實現其數字業務的使命。這種基礎設施難以管理

61、，影響對真實安全狀態的判斷，還會造成孤島之間的差距或政策不 匹配。Gartner的2020年安全和IAM采用趨勢調查1表明，大多數企業已經或計劃制定供應商整合策略（見圖1）。只有20%的企業不打算采用這種策略，而在已著手 部署策略的企業中，超過80%的企業已經實施了至少一年。這并不是我們第一次看到在統一平臺上整合供應商這種趨勢-情況已經多次反復。雖然這種模式將繼續下去，但我們今天的情況有所不同-一方面是復雜的、非整合的成套產品帶來的負面影響，另一方面是整合所能帶來的積極協同作用?，F代平臺跨越常見的數據和控制平面，并使用云技術來綜合海量數據。世界還面臨著網絡安全人才的巨大缺口-根據2020年 I

62、SC2的調查1，這一數字超過320萬-因此運營效率是一個關鍵要求。有效的現代平臺既注重業務和組織 目標，也注重技術組合。此外，網絡安全網的概念使這些平臺能夠使用現有和新興的安全標準，通過API進行協作。管理可能是集中式的，而政策執行卻是分布式的。供應商正在采取兩種明確的方式進行整合：平臺方式 利用相鄰系統之間的相互依賴和共同點 整合通用功能的控制臺 至少與同類最佳系統一樣有效地支持組織的業務目標1717 圖1正在推行供應商整合策略的企業中，百分之八十三的企業已經實施了至少一年 整合和操作簡單化意味著安全目標也得到了 滿足。組合方式 在一個采購包中利用一組未整合或輕度整合的產品 多個控制臺，幾乎

63、沒有或完全沒有整合和協同作用 經過供應商包裝的傳統方法 不會實現任何承諾的整合優勢區分這些方式是套件效率的關鍵，供應商的營銷總是說他們是一個平臺。當您評估產品時，您必須考查是如何集成各控制臺來管理和監控整合后平臺的。同時，評估安全元素（如數據定義、惡意軟件引擎）等如何無需重新定義即可重復使用，或能跨多個領域無縫應用。如果有多個控制臺和多個定義，則應注意這是一個應該仔細評估的組合方式。隨著平臺轉移到云端進行管理、分析甚至交付，利用安全責任共擔模型的能力給消費者帶來了巨大的優勢。然而，這將風險面擴大到了供應商，需要在第三方供應商管理中進一步恪盡職守。其優勢包括：沒有物理技術債務；在切換供應商或技術

64、之前 沒有硬件需要攤銷。減少或消除了關鍵技術對終端客戶數據中心的 占用。運營任務（例如，補丁、升級、性能擴展和維護）由云提供商執行。系統得到全天候的維護和監控，供應商人員構成了終端客戶人員配置的補充?？刂拼胧┎渴鹪诳拷旌犀F代勞動力和分布式現代數據的地方；路徑不會被迫通過客戶擁有的任意地點進行過濾。18 盡管是大型的目標，但云原生安全供應商規模夠大，重點也比較明確，因此對基礎設施的保障、管理和監測要優于大多數組織。在供應商、能力和技術方面，整合工作遍布整個安全領域。在這里，我們強調網絡安全與SSE平臺的趨勢、數據安全與新興DSP的趨勢、應用與云原生應用保護平臺(CNAPP)的趨勢，以及事件響應

65、與XDR的趨勢。這些趨勢涵蓋了安全領域的不同方面，但即使在這里我們也能看到協同作用。例如，XDR可能會使用來自云訪問安全代理(CASB)和其他SSE產品（以及直接來自流行的SaaS和云基礎設施供應商）的數據以應對和管理云事件。DSP將提供SSE必須使用的數據分類，以防止云服務中未經授權的數據使用。同時，SSE和CNAPP市場都在納入云安全態勢管理(CSPM)。企業必須找到這些平臺之間的邊界，并確保它們的運行和管理方式保持一致-否則必須對其運行團隊進行整合。為了充分利用這一趨勢，SRM領導者必須樹立堅定 自信的架構思維，而不是被動回應買方或成本驅動的供應商整合策略。這樣有助于推動有意義的安全優化

66、，并使您專注于對組織有利的特定領域。單純地關注成本驅動策略往往會導致不太理想的安全選擇和單一、固化的供應商結構。如果領導者能夠評估運營或安全上的不足并推動整合投資，相比由安全團隊推動的措施，建立安全保障的概率更高。戰略規劃設想戰略規劃設想：到2025年，80%的企業將實現從單一供應商的安全服務邊緣(SSE)平臺統一網絡、云服務和私人應用程序訪問。分析師：Neil MacDonald和Charlie Winckless主要發現：隨著混合勞動力的出現，數據無處不在并可經各種設備訪問，供應商正在提供集成式SSE解決方案以實現簡單一致的網絡、專用訪問和SaaS應用安全。這些平臺要管理由遠程工作人員和分

67、支機構發起的出站通信，并在離用戶更近的地方（日益 分布于企業網絡之外）保護用戶和數據。為遠程和分支機構用戶提供的云交付安全服務將大部分運營負擔轉移給為此目的而配備的云安全服務，有助于更好地利用稀缺的安全人才。企業需要從接入邊緣安全中獲得的業務成果在整個技術棧中是相似的。其中的關鍵是檢測來自組織外部或內部的威脅，保護敏感數據，并確保無縫和高效的工作環境。與同類最佳產品相比，單供應商解決方案實現的運營效率和安全效率更加顯著，包括更精簡的代理、更緊密的集成、更少的控制臺，必須解密、檢查和重新加密數據的位置也更少。市場影響：Gartner“工作的未來”研究表明，人力資源領導者預期會出現混合型的勞動力。

68、我們對企業支出的持續評估顯示，向云的遷移仍在繼續。這兩個趨勢意味著，以數據中心為中心的傳統網絡和網絡安全架構不僅相關性降低，而且在提供安全業務成果方面也不太有效。數據不在數據中心，數據的使用者也不在辦公室。企業必須根據風險水平以適當的方式向數字勞動力提供各項功能的訪問權限，并盡量降低對使用體驗的影響。這就要求從云端提供網絡安全服務，而不是通過虛擬專用網絡(VPN)、軟件定義廣域網(SD-WAN)、MPLS或其他傳輸方式，將流量強行傳送到客戶在數據中心自有的安全堆棧。遠程工作模式和公共云服務的轉變和采用早已開始，但新冠肺炎疫情加速了這一趨勢的發展。SSE能夠讓組織使用以云為中心的方法來執行安全策

69、略，隨時為各個位置的遠程工作者提供支持。SSE是降低復雜性、成本和供應商數量的直接方式。安全網絡網關(SWG)、CASB和零信任網絡接入(ZTNA)產品在傳統上是獨立的市場，供應商直接也相互競爭。這些市場已經融合形成SSE市場，這三種能力是產品系列的基石，而遠程瀏覽器隔離(RBI)、防火墻即服務(FWaaS)和數字體驗監控(DEM)是關鍵的次級功能。SSE可保證對Web、私人應用的訪問和云服務的訪問。其功能包括訪問控制、威脅保護、數據安全、安全監控以及基于網絡和API的集成所執行的可接受的使用控制。SSE主要以云端服務形式提供，可能包括本地或基于代理的組件。1919 未整合和近乎重疊的產品給管

70、理員和用戶帶來的挑戰是SSE市場發展的推動因素之一。這些挑戰包括需要多個代理、不一致的安全結果、不同的用戶體驗，以及需要配置、支持和管理不同的安全產品來實現相同的 結果。為改變這種不可持續的情況，CASB、SWG、ZTNA、RBI和FWaaS等多種控制措施被整合到SSE平臺，無論在什么地方，都能夠為用戶提供強大、一致、自適應、適合風險的安全保障。它們通過管理SaaS的使用和控制對基礎設施即服務(IaaS)的訪問，使企業能夠有效地使用新興云技術。它們支持多種關鍵舉措，如通過對連接實施身份和上下文控制來實現零信任。集成代理則可以在執行控制的同時減少端點的負載。最后，云交付的自適應安全方法可以有效地

71、支持以“使用混合設備的混合勞動力”為特點的未來工作。供應商正越來越多地收購或開發這些相鄰的技術，并將其整合到一個單一的平臺。通過減少控制臺和配置平面的數量，并重新使用組件（如端點代理）和信息，可以最大化這種整合的效益。為迎合這種市場增長和興趣，一些供應商將產品捆綁成一個沒有任何協同 作用的組合。從各種角度來說這都可能都是最糟糕的情況：產品可能在所有領域都不突出，也沒有通過整合減少復雜性和開銷。在一個稱為SASE的更廣泛架構中，以云為中心的網絡和網絡安全模型將支持擴展至分支機構和旅行用戶。相比在較小的站點部署安全堆棧，將互聯網作為廣域網并將流量輸送到云安全堆?？梢詭砭薮蟮膬瀯?。站點設備可以是現

72、場可更換的單元，可以輕松接入SSE堆棧，并最大程度減少管理和維護。單一的執行控制平面（具有復制和高可用性的數據平面）簡化了運營商的工作，特別是在同時使用緊密集成或有機SD-WAN供應商的情況下。建議：評估您的出站安全需求，以確定云管理的解決方案如何契合您的風險和業務情況。通過評估供應商的可用SSE功能以及滿足您最高要求的程度來確定其優先級。并非所有供應商都為每個獨立的組件提供最佳的功能。這可能涉及不太成熟的云服務安全組件；薄弱的云基礎設施足跡；缺少先進的數據安全功能；或缺乏對所有用例的全面ZTNA支持。與網絡團隊合作，協調SSE服務的獲取，以配合更廣泛的網絡轉型、數字化舉措和混合工作舉措。戰略

73、規劃設想：到2025年，由于對更高級別的數據安全的需求被壓抑，以及產品功能的迅速增加，30%的企業將采用DSP。分析師：Joerg Fritsch和Brian Lowans主要發現：隨著更多的網絡安全點解決方案進入市場，SRM領導者已經達到了供應商整合和管理的關鍵點。他們必須合理安排他們的數據安全組合，以確定合并或同類最佳戰略是否是正確的方法 由用例和特定于孤島的數據安全控制措施組成的補丁讓SRM領導者越來越困惑如何協調其能力和不足。這種復雜性促使供應商迅速將不同的數據安全功能合并到數據安全平臺中。通過應用這些新 平臺，組織可以更好、更輕松地保護他們的數據安全。數據安全與大型產品平臺的融合從未

74、像現在這樣明顯，但復雜性的增長速度超過了供應商的整合速度。市場影響：Gartner將DSP定義為以數據安全產品為特征的產品和服務，目標是整合不同數據類型、存儲孤島和生態系統的獨特數據保護要求。數據安全市場的特點是供應商將其能力整合到DSP中。在這個市場上，以前孤立的能力將在一套共同的數據安全治理政策下聚集起來。這將大大簡化數據安全工作，并使DSP成為推動有意義的數據風險分析、數據安全政策協調和簡化運營的關鍵因素。與數據安全、隱私和高級分析有關的兩個趨勢正在推動DSP的采用：在加強數據安全和隱私方面，企業在DevSecOps、開放數據法規和高級分析的態度方面競爭日益 激烈。越來越多的組織數據開始

75、在傳統的數據中心之外，分布于不同的服務和信任邊界。數據很可能在各種類型（基于基礎設施、基于平臺和SaaS）的公共云服務中進行處理和存儲。這就要求企業對數據安全實施更有效的管理。20 DSP顯著加強了數據及其廣泛用途的可見性和控制-例如，與未知行為有關，而不僅僅是與隱私有關的 狹義合規目標。這使企業能夠切實確保其數據安全。更高的可見性和控制提高了個人、組織和政府之間的數據流動的安全性（見圖2）。這有助于做出更明智的決定，推動企業乃至整個社會的進步。市場融合領域的示例包括：數據保護技術（如令牌化、加密和數據屏蔽）、數據庫活動監控(DAM)和數據發現?；跀祿齑?、代理或網絡網關的成熟DAM產品與

76、數據 屏蔽功能相結合，作為數據令牌化或加密后的 一個后處理步驟。數據屏蔽、數據發現、DAM和數據訪問治理(DAG)。傳統的數據屏蔽產品通過重建動態數據屏蔽網關的審計日志來增加DAM功能。增加數據發現功能是為了讓客戶可以更好地了解其數據 存儲。這些信息通常被存儲在數據目錄中。數據發現和數據分類技術正與用戶賬戶憑證結合使用，以創建數據風險分析并確定用戶賬戶對特定數據集的訪問權限。這種做法正越來越多地用于通過DAM、DAG和數據保護技術來執行數據安全治理政策。建議：清點數據安全控制措施，當您需要利用您的數據來支持現代數據安全平臺時，孤立的數據安全工具會阻礙行動，因此您應該在幾年的時間內逐步淘汰這些工

77、具。續簽合同時，考慮合并供應商，以減少復雜性和 成本。例如，在DAM、數據屏蔽、數據發現、數據加密或DAG方面。通過選擇提供高水平集成能力的DSP產品，將DSP納入您的網絡安全網狀結構中?？山M合企業的安全需要靈活的網絡安全機制，在互操作性標準的基礎上提供豐富的API集。圖2將數據安全能力融合到數據安全平臺中2121 戰略規劃設想：到2025年，70%的企業將把保障云原生應用程序生命周期的供應商數量整合到最多三個供應商。分析師：Neil MacDonald主要發現：鑒于云原生應用的獨特特性，必須有一套復雜的、跨越開發和生產的重疊工具才能實施有效的保護。使用多種分散的安全測試方法會增加復雜性、成本

78、和發生錯誤配置、錯誤管理或錯誤的可能性。這削弱了應用程序的安全態勢。了解和解決云原生應用的真正風險需要先進的分析方法，結合應用定制代碼風險、開源組件風險、云基礎設施風險和運行時工作負載風險的各自獨立的視圖。隨著開發者采用無服務器PaaS，沒有底層操作 系統可供檢測，并且越來越多地負責對包括基礎設施在內的更多計算堆棧進行編程，復雜性問題變得更加嚴重。市場影響：為了支持數字業務舉措，開發人員開始借助云原生應用開發。他們通常結合基于微服務的架構，這一架構使用容器構建，在DevOps風格的開發管道中組裝，部署到程序化的云基礎設施，并在運行時使用Kubernetes進行協調。理想情況下，它們是以不可改變

79、的基礎設施思維來維護的。這種轉變給這些應用程序的安全帶來了重大挑戰。最明顯的是，企業用10個或更多不同的安全工具-有些是舊的，有些是新的-手動拼接了DevSecOps，每個工具都有各自的責任和應用風險視圖。這導致了盲點和不完整的風險視圖。安全的云原生應用程序為企業提供了重新設計安全方法的機會。企業不應該把開發和運行環境當作單獨的問題-用一系列單獨的工具保障安全和掃描-而應該把安全和合規性作為跨越開發和運營的一個統一體。他們應盡可能地將工具整合到云原生應用保護平臺中。建議：實施集成和融合的安全方法，涵蓋云原生應用從開發到生產的整個生命周期。隨著CSPM和CWPP合同的到期，評估新興的CNAPP產

80、品，并利用這一機會降低復雜性和整合供應商。將安全性整合到開發人員的工具鏈中，以便在代碼創建和通過開發管道期間自動進行安全測試，減少采用時的摩擦。要認識到沒有完美的應用程序，并讓開發人員重點關注嚴重性、可信度和風險度最高的漏洞上，以避免浪費開發人員的時間。全面掃描所有開發工件和云配置，并將其與運行環境可見性和配置意識相結合，以確定風險補救的優先次序。戰略規劃設想：到2027年，50%的中端市場安全 買家將利用XDR來推動工作空間安全技術的整合，如端點、云和身份。分析師：Peter Firstbrook主要發現：80%的SRM領導者希望整合安全供應商和產品，以更好地管理風險并提高安全運營效率。保護

81、人們使用的“工作空間”的安全工具，如端點、電子郵件和云SaaS應用程序，已經很成熟。這些安全工具之間的差異沒有那么大，重點在于如何融入組織的安全運營。擁有多種產品的大型安全技術供應商正越來越多地將其安全產品整合到通過通用數據平面和事件響應能力整合到一起的更廣泛的解決方案中，通常稱為XDR。XDR能力將成為買家在尋求戰略解決方案時需要評估的一個日益重要的能力。市場影響：工作空間安全被定義為保護知識工作者使用的現代工作空間的安全工具的集合。工作空間安全的核心是端點保護平臺(EPP)。然而，反釣魚、SWG、CASB、遠程訪問工具、多因素身份驗證(MFA)、數據丟失防護(DLP)和移動威脅防御(MTD

82、)也是關鍵的工作空間安全工具。22 傳統上，買家為每個功能選擇最佳的特定安全工具，然后使用安全信息和事件管理(SIEM)以及安全協調和自動響應(SOAR)工具來整合日志數據并執行調查和自動化操作。然而，主流CISO正在為這一類同類最佳安全堆棧的復雜性而苦惱。缺乏對綜合風險態勢的可見性和同類最佳工作空間安全堆棧的總擁有成本(TCO)是經常提到的問題。同時，擁有這些工具的廣泛組合的解決方案供應商在集成方面往往不如他們的同類最佳對手產品。然而，這種情況正在改變。這種變化的一個關鍵推動因素是XDR。盡管對什么是XDR存在爭議，但出于本預測的目的，XDR被定義為跨多個安全產品提供通用檢測、警報管理和事件

83、響應能力的工具。XDR的目標是在多個安全工具之間實現更好的可見性，以及更快、更準確的事件響應，因為這些工具共享數據并與API集成，為多個工具提供半自動響應能力。例如，如果端點代理被Metasploit攻破，憑證被盜并用于登錄云應用程序，XDR可為事件響應者提供CASB信息，即憑證被用于云應用程序。然后，分析 人員可以使用XDR功能觸發自動化操作，撤銷憑證并暫停云會話，并使用集成的CASB日志數據來確定泄露的程度。建議：負責工作空間安全的SRM領導者應該：評估由XDR統一起來的工作空間安全包，作為 降低安全運營復雜性的一種有意義的方式。將EPP設計為XDR戰略的基礎，并以身份和電子郵件安全作為整

84、合的首要任務，其次是云和網絡安全?？紤]供應商組合中的數據和API集成，以及與選定合作伙伴的集成，作為一個關鍵考慮因素?？紤]工作空間安全工具在主動檢測和補救可能被攻擊者利用的配置問題方面的作用?；仡櫢鶕囊?，我們回顧一下過去幾年的部分關鍵預測。我們有意選擇了兩種對立的預測，即完全或大部分達到目標的預測，以及未達到目標的失誤預測。根據您的要求，我們回顧一下過去幾年的部分關鍵預測。我們有意選擇了兩種對立的預測，即完全或大部分達到目標的預測，以及未達到目標的失誤預測。這個主題領域很新穎，很難有達到目標或失誤的預測。依據1 2020年Gartner安全和IAM解決方案采用趨勢 調查：此研究旨在了解哪

85、些安全解決方案能使企業受益，以及哪些因素影響他們對這些解決方案的選擇/偏好。研究采用網絡調查形式，調查時間為2020年 3月至4月，405名受訪者分別來自北美、西歐和亞太地區(APAC)。選取的公司來自不同的行業，年收入低于5億美元。受訪者需為經理級或以上人員（不包括高管層），主要參與并負責企業的風險管理。Gartner分析師與關注SRM的主要研究團隊合作 開展了這項研究。2 絡安全專業人員攜手抵御疫情資料來源:Gartner的研究G00758322,Charlie Winckless,Joerg Fritsch,Peter Firstbrook,Neil MacDonald,Brian Lo

86、wans,2021年12月1日 2323 360數字安全集團(三六零數字安全科技集團有限公司)是數字安全的領導者，專注為國家、城市、大型企業、中小微企業提供數字安全服務。過去17年，360投入200億，聚集超2000名安全專家，積累了2000PB安全 大數據，基于以“看見”為核心的安全理念，凝練行業獨有的高級安全威脅對抗實踐，提出”1+4”數字安全框架 模型，幫助城市、政府、企業數字安全體系的規劃和建設數字安全體系，構建“摸清家底、感知風險、看見威脅、處置攻擊、提升能力”5大安全能力，形成應對數字安全復雜威脅的完整能力。面向各大管理部門，以SaaS化方式輸出全網安全數據，提供數據賦能。目前，3

87、60全網數字安全大腦已捕獲 50個境外APT組織，檢測到5200多次對我國20000多家重要機構單位的高級網絡攻擊事件。面向大型企業，集中建設以數字安全大腦為核心的安全運營體系，云地一體、雙腦協同，形成統一的風險感知、威脅發現、協同響應能力。目前已覆蓋多數頭部客戶累計服務超10000家政企客戶。面向城市，把“賣藥”模式升級為“數字安全醫院”模式，建設城市級的看見、處置、指揮和防御能力，積極打造城市數字安全基地。目前已落地超20多個大中型城市，涵蓋四大直轄市和部分省會城市，樹立了標志性的城市級安全服務典范。面向中小微企業，提供SaaS化的一站式安全云服務，實現從本地到遠程、從終端到網絡的硬件、軟件、數據、行為、人的全方位安全管理。目前已被眾多政府、企業、教育院校等各類單位采用，并在國內多個省份的重點 供應鏈企業得到落地部署。除此之外，360已連續七年支撐國家級網絡攻防實戰演習，一直是國家重大政治、經濟活動的核心網絡安全 保障力量。在兩會、十九大、九三閱兵、“一帶一路”峰會、G20、金磚會議、APEC、七十周年慶典、2022年北京冬奧會等活動的重保工作，以及國家安全和國防安全相關工作中發揮了重要保障作用。關于360數字安全集團