《CSA GCR：2024網絡基礎安全之XDR擴展檢測與響應平臺研究報告（113頁）.pdf》由會員分享，可在線閱讀，更多相關《CSA GCR：2024網絡基礎安全之XDR擴展檢測與響應平臺研究報告（113頁）.pdf（113頁珍藏版）》請在三個皮匠報告上搜索。

1、 2023 云安全聯盟大中華區版權所有1 2023 云安全聯盟大中華區版權所有22023 云安全聯盟大中華區保留所有權利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯盟大中華區官網（https:/www.c-）。須遵守以下：（a）本文只可作個人、信息獲取、非商業用途；（b）本文內容不得篡改；（c）本文不得轉發；（d）該商標、版權或其他聲明不得刪除。在遵循 中華人民共和國著作權法相關條款情況下合理使用本文內容，使用時請注明引用于云安全聯盟大中華區。2023 云安全聯盟大中華區版權所有3 2023 云安全聯盟大中華區版權所有4致謝致謝網絡基礎安全之 XDR 擴展檢測響應平臺由

2、CSA 大中華區 XDR(擴展檢測與響應系統)項目組專家撰寫，感謝以下專家的貢獻：項目組組長:主要貢獻者：參與貢獻者:吳湘寧顧立明謝琴計東馬權嚴冬毛備曾永紅崔崟羅川邢海韜趙銳岳炳詞張睿車洵陳昊聞程碧淳丁俊賢董天宇顧偉何維兵胡鋼偉劉斌劉國強劉濤歐建軍潘海洋舒慶孫亞東謝泳余滔鄭亞東周海生 2023 云安全聯盟大中華區版權所有5研究協調員：貢獻單位:(以上排名不分先后)關于研究工作組的更多介紹，請在 CSA 大中華區官網（https:/c- CSA GCR 秘書處給與雅正!聯系郵箱 researchc-；國際云安全聯盟 CSA 公眾號藺鵬飛北京天融信網絡安全技術有限公司中移(蘇州)軟件技術有限公司杭

3、州安恒信息技術股份有限公司杭州極盾數字科技有限公司奇安信網神信息技術(北京)股份有限公司上海物盾信息科技有限公司深信服科技股份有限公司沈陽東軟系統集成工程有限公司騰訊云計算（北京）有限責任公司網宿科技股份有限公司新華三技術有限公司亞信安全科技股份有限公司中國電信股份有限公司研究院中興通訊股份有限公司 2023 云安全聯盟大中華區版權所有6序言序言當前全球正在快速踏入數字化世界，無論是國家、政府、企業還是個人，都身處數字化的洪流之中。數字化手段正在有力地提升國家與政府的施政效率，并持續推動科技和企業的快速更新。正如光影的兩面性，數字化也蘊含著利弊并存的風險。不斷涌現的網絡安全挑戰啟示我們，網絡威

4、脅的嚴重程度日益加劇。隨著黑灰產業服務化、武器化、組織化的興起，以及 AI 技術的突破，網絡攻擊的門檻將大幅降低，黑客的攻擊能力也將得到大幅度提升。而數字化程度的提高，使得網絡資產的價值不斷攀升，同時也加大了網絡的風險暴露面，從而導致網絡攻擊的數量呈現增長趨勢。如何應對日益猖獗的網絡攻擊，XDR（擴展檢測響應）平臺無疑成為當前不可多得的選擇之一。XDR 平臺內建各類關鍵的網絡安全檢測功能，并將終端、網絡、云/容器、網關、郵件、Web、蜜罐、沙箱等產品的核心能力標準化。平臺通過開放的標準，構建了一個即插即用，靈活拓展的檢測響應平臺。全方位的攻擊面風險洞察、高清的遙感數據與平臺威脅感知模型相結合，

5、使智能輔助、自動化運營成為現實，有效降低安全管理難度，提高日常運營效率。相較于傳統的產品加平臺集成方案，XDR 方案避免了平臺與產品之間的能力斷層，以及后期集成維護的困難。但 XDR方案并非完美無瑕，在超大規模解決方案中，XDR 可以作為統一集成單元，降低整體集成與維護成本。期望網絡基礎安全之 XDR 擴展檢測響應平臺能為大家提供參考，亦能啟迪相關領域的發展。李雨航 Yale LiCSA 大中華區主席兼研究院長 2023 云安全聯盟大中華區版權所有7目錄致謝致謝.4序言序言.6第一章概述第一章概述.91.1 安全行業發展背景.91.2 XDR 的概念與構成.111.3 XDR 的核心能力.12

6、1.4 XDR 的發展歷程及趨勢.13第二章 前端感應器能力第二章 前端感應器能力.142.1 終端檢測與響應.142.2 云工作負載防護平臺.232.3 網絡威脅檢測與響應.292.4 Web 安全網關.372.5 郵件安全網關.392.6 身份識別與訪問管理.422.7 蜜罐與沙箱.44第三章 后端能力第三章 后端能力.493.1 威脅情報.493.2 數據湖.523.3 AI 引擎分析.573.4 高級威脅分析引擎.64 2023 云安全聯盟大中華區版權所有83.5 無代碼自動化編排劇本.663.6 API 中心.753.7 CICD.82第四章 生態現狀洞察第四章 生態現狀洞察.854

7、.1 數字化評價指標與可視化.854.2 XDR 與態勢感知平臺的關系.954.3 XDR 與 SIEM 平臺的關系.984.4 XDR 生態.1024.5 XDR 與 MSS.1044.6 XDRaaS.107第五章 實踐案例分享第五章 實踐案例分享.1085.1 大型企業 XDR 實踐案例分享.108 2023 云安全聯盟大中華區版權所有9第一章概述第一章概述1.1 安全行業發展背景安全行業發展背景20 世紀 80 年代中后期，計算機病毒和網絡蠕蟲的出現，催生了網絡安全行業，最早的商業化網絡安全產品如反病毒軟件、防火墻、入侵檢測系統等陸續面世。將近 40 年的時間內，計算機網絡所面臨的安全

8、威脅已經從感染或入侵單機發展成有組織地發動大規模網絡攻擊（如分布式拒絕服務攻擊、釣魚、勒索、挖礦等），從單一的漏洞利用發展成采用多種組合式攻擊手段進行高級定向攻擊（如國家級和商業級的 APT 等）。而與之對應的，網絡安全防御的理念和技術也在不斷演進，從靜態、被動的傳統安全架構，逐漸向動態、主動的綜合防御能力體系發展。20 世紀 90 年代，國際著名安全公司 ISS 提出了防護、檢測和響應的安全閉環模型（PDR 模型），這是最早體現動態防御思想的一種網絡安全模型。該模型強調在了解和評估網絡系統安全狀態的基礎上，通過實施安全加固和調整安全策略等手段形成快速抵御威脅的能力。圖 1-1 PDR 模型然

9、而在 PDR 模型中，“檢測”受限于當時的技術發展水平，更多強調基于特征的已知攻擊檢測和基于統計的異常行為檢測，威脅類型覆蓋面窄，未知威脅 2023 云安全聯盟大中華區版權所有10發現能力不足，而且基于“應急響應”式的安全防護框架，已經不再適用于充斥著各類高隱蔽性、高復雜度的新型威脅的環境。2014 年，各大國際知名安全機構紛紛發布新的安全理念模型，旨在幫助安全行業更積極地應對新型威脅的挑戰。SANS 提出的網絡安全滑動標尺模型著重強調基于態勢感知的動態防御和基于威脅情報的主動防御能力構建。NIST 發布的企業安全能力框架（IPDRR）則延續了 PDR 模型的概念，擴展了保護、檢測和響應環節的

10、內容，并增加了識別和恢復兩個環節，形成了更全面的動態風險控制閉環。Gartner 提出了集防御、檢測、響應、預測于一體的自適應安全框架（ASA），以持續監控和分析為核心，形成一個可持續自我完善的閉環，讓安全防御體系能夠適應環境的變化而自動進行安全保護功能的提升，以有效應對未來更加隱秘、專業的高級攻擊。圖 1-2 自適應安全框架（ASA）經過兩次迭代，自適應安全框架已經進化到了 3.0 版本，即持續自適應風險與信任評估（CARTA）。隨著該框架理念的不斷完善，越來越多的安全功能被加 2023 云安全聯盟大中華區版權所有11入到其中，但其所追求的目標始終未變，即構建一個整合不同安全功能、共同分享信

11、息并更具適應性的智能安全防護體系。該框架對整個網絡安全行業所帶來的影響極其深遠，也推動了諸多安全產品和相關技術的發展演進。以下一代防火墻的技術發展為例，早期的下一代防火墻中雖然集成了各種2-7 層的檢測能力，但都是基于已知的特征和事先配置好的規則進行檢測和過濾，無法根據最新的安全隱患或網絡威脅進行實時更新，只能通過與其他檢測類產品聯動來阻斷新發現的威脅，反應比較滯后。而機器學習、威脅情報等技術的成熟改變了這種被動防御的局面，通過在防火墻中集成 AI 引擎和未知威脅檢測引擎，并與后端的漏洞庫、威脅情報庫進行同步，可準確發現各種新型威脅和異常行為并實時阻斷，真正在網絡邊界形成了安全防御和檢測的動態

12、閉環。過去 10 年間，許多新的安全產品不斷涌現，例如安全態勢感知（SA）、終端檢測與響應（EDR）、網絡檢測與響應（NDR）、安全編排自動化與響應（SOAR）等；一些傳統安全產品的功能也發生了巨大變化，如網絡流量分析（NTA）、安全信息和事件管理（SIEM）等；這些新的產品或新的功能都在不斷豐富和增強現有的安全防護體系。然而，在企業安全運營和網絡攻防實戰過程中，人們發現“檢測”和“響應”之間卻仍然存在著巨大的能力鴻溝，對高級威脅的發現和防御效果并未達到預期。在這樣的背景下，XDR 應運而生。1.2 XDR 的概念與構成的概念與構成根據 Gartner 對 XDR 的定義，XDR 是一種基于

13、SaaS 的、特定于供應商的安全威脅檢測和事件響應工具，將多個安全產品集成到統一所有許可安全組件的內聚安全操作系統中。XDR 包含了前端感應處理能力和后端分析決策能力。其中前端包含了終端檢測與響應、云工作負載防護平臺、網絡威脅檢測與響應、Web安全網關、郵件安全網關、身份識別與訪問管理、蜜罐與沙箱等，后端包含了威脅情報、數據湖、AI 引擎分析、高級威脅分析引擎、事件分析算法、無代碼自動化編排劇本、API 注冊與編排、持續集成和持續部署(CICD)等。2023 云安全聯盟大中華區版權所有121.3 XDR 的核心能力的核心能力作為一類技術路徑，XDR 所包含的技術點眾多且關系復雜。在 Gartn

14、er 的報告Innovation Insight for Extended Detection and Response中，曾經列舉了 XDR可能包括的安全組件就有近 10 種，更勿論每個組件往往會包含多種技術。從環境講，XDR 需要考慮終端、網絡、數據中心、云等不同的環境；從安全運營過程講，XDR 需要覆蓋數據采采集、檢測、分析、遏制、清除、加固等多個階段，以及情報的生產和共享。但 XDR 的定位出發，可以認為有 3 種技術的重要性最為突出：1.3.1 全面的遙測數據采集全面的遙測數據采集XDR 要讓安全運營人員在一個工作界面中，完成檢測、分析、響應的絕大部分工作，以顯著提升工作效率，需要保

15、證工作需要的所有數據可以在這個平臺上方便地獲得，減少在不同設備間切換的成本；除此之外，完備、詳盡的數據采集，也是威脅關聯分析、精準響應與處置不可或缺的基礎。1.3.2 高級威脅狩獵高級威脅狩獵XDR 需要發現各種具備高度繞過、逃避技巧的攻擊，需要發現針對性極強的定向攻擊，這就意味著 XDR 必須提供基于攻擊技戰術的行為檢測能力威脅狩獵；進一步考慮到狩獵專家的稀缺性，XDR 不可能依賴以人為主的狩獵，而更多需要基于 AI 或者機器學習的方式，以多維檢測形成合力，方能應對各種復雜場景下的攻擊威脅。1.3.3 自動化響應自動化響應對于已經滲透到內部的攻擊，需要盡快停止攻擊的發展；同時識別出關鍵風險，

16、進行完整的危害清除，并對被利用的薄弱點加固處理。整個過程非常注重時效性，需要搶先在攻擊者之前完成，因此必須依賴自動化的機制，才可能有效的提升 MTTR。2023 云安全聯盟大中華區版權所有131.4 XDR 的發展歷程及趨勢的發展歷程及趨勢XDR 發展至今，主要經過了以下四個階段。階段一，關注終端安全。在互聯網早期，網絡安全關注在端點安全上，而殺毒軟件類產品是主要的應對產品。在 2014 年 EDR 入選 Gartner 十大技術，區別于傳統的被動式防御，EDR 在技術上通過記錄分析終端行為與事件形成“主動防御”。EDR 作為終端安全產品，相對輕量、便捷。階段二，從終端覆蓋到網絡。網絡安全檢測

17、與響應以往依靠 IDS 產品等產品，其通過簽名指紋匹配的檢測方式，主要針對當前已知的網絡攻擊進行檢測，同時為了平衡威脅檢出率和威脅檢測效率，IDS 特征庫往往會根據業務和資產情況進行不同程度的裁剪，這就意味著IDS產品的檢測技術不僅無法檢測新型變種威脅，對于一些已知威脅也可能存在漏檢。NDR 技術不依賴于特征庫，也不基于某個特定業務或資產對象，它主要通過使用機器學習技術，基于規則的檢測和高級分析來檢測企業網絡中的可疑活動，極大的提高了安全運維效率。階段三，安全運營的轉變和對網絡的流量追蹤溯源。隨著信息化的發展，企業所面臨的安全風險逐步和自身所具備的安全資源和能力發展不足形成了巨大的落差。Gar

18、tner 在 2016 年提出 MDR（可管理的威脅檢測與響應），MDR 為安全工作提升了自身威脅檢測、事件響應和持續監測的能力，同時又無需依靠企業自身的能力和資源。MDR 通過安全運營，聯動網絡中其他服務供應商提供的不同層面的攻擊檢測設備的威脅數據進行分析，通過機器學習模型發現以往不易發現的威脅，結合其他網絡威脅檢測技術使得問題定位和溯源得到了提高，進而提高了響應速度。階段四，更高效的運營和更精準的檢測。2018 年 Gartner 十大安全項目中，EPP 與 EDR 以組合形式出現，這種基于端點而獲得高級威脅檢測、調查和響應的能力與 UEBA（用戶行為分析）并列統稱為“檢測和響應項目”。這

19、一趨勢預示著更多的新興技術將應用到威脅和檢測中。在 2020 年 XDR 入選 Gartner 九大安全趨勢，根據 Gartner 的定義，XDR 是指特定供應商提供的威脅檢測和事件響應 2023 云安全聯盟大中華區版權所有14工具，這種工具統一將多個安全產品整合在一個安全操作系統里。因此，XDR 將是整合性的產品組合和并具有更精準的檢測能力。未來 XDR 將持續發展，我們預計有以下趨勢：其一、擴大安全監測和響應的范圍。XDR 所覆蓋的范圍將不僅包括云、網、邊、端的流量和日志，也將涵蓋威脅情報等更為全面的安全大數據。同時也可以通過 XDR 項目來推動不同安全產品、安全廠家之間存在的互相聯動等問

20、題。其二、分析能力和安全效率的提升。通過工人智能、中臺、自動化編排、及安全分析等技術，能緩解安全樣本數據不充分、安全人員數量和能力不足，難以快速應對安全風險等問題，同時更好的發掘未知風險，提高安全防護能力和效率。安全技術近年來不斷推陳出新，XDR 將融合廣泛的安全能力和新型的信息化技術，通過對安全能力的全面協同，形成一個上下聯動、前后協作的整體。同時，XDR 剛剛起步，要成為普適性產品還行進一步探索和發展，XDR 的未來需要各個安全廠家和機構的共同參與和努力。第二章 前端感應器能力第二章 前端感應器能力2.1 終端檢測與響應終端檢測與響應2.1.1 EDR 的概念的概念隨著威脅攻擊的專業化，A

21、PT 等定向高級別攻擊案例也越來越多，APT 攻擊具有針對性強、組織嚴密、持續時間長、隱蔽性高、采用技術手段先進等多種特征，檢測相關的攻擊給安全行業帶來很大的挑戰。對于攻擊者而言，內網終端和主機既可以作為被攻擊目標，也可以作為攻擊的跳板。勒索病毒和 APT 結合的攻擊方式也開始逐漸顯現，同時針對我國關鍵基礎設施的 APT 攻擊也開始愈演愈烈。傳統的終端安全解決方案 EPP 是基于已知風險產出的文件特征庫和規則庫，無法用于檢測未知風險。不同于傳統的簽名檢測或啟發式技術，EDR 通過觀察攻 2023 云安全聯盟大中華區版權所有15擊行為將檢測技術提升到新的層次，能真正解決終端安全所面臨的 APT、

22、0day和勒索病毒等各類高級威脅，做到事前預防、事中檢測和事后修復，是面向未來的終端安全解決方案。EDR 主要通過在終端上提供安全事件的完整可視來檢測和防范未知風險。通常，攻擊者潛入到企業網絡內部后會持續很長一段時間，其攻擊手法比較隱蔽，企業一般很難直接檢測到其攻擊行為，更難形成有效的攻擊告警機制。為了更好地解決這種問題，EDR 采用了記錄攻擊者行為和系統事件地方式，所有終端行為信息都會被完整地記錄下來，整個安全事件從發生了什么、如何發生、到如何修復等所有環節信息都會被完整地記錄并以圖形化方式展示出來。EDR 能力成熟度模型，一般包括初級、中級、高級、SaaS 化和智能化四個等級。初級只有 E

23、PP，對于企業用戶來說，面對高級威脅是非常脆弱的，無法防護，也無法檢測到高級威脅攻擊；中級擁有有限的 EDR 場景，終端能夠將收集到的攻擊行為數據，以及系統級事件上傳到云端，但云端大數據的處理和安全能力分析都比較缺乏；高級為標準級 EDR，能夠實時檢測到安全攻擊事件，限制終端漏洞利用，同時基于云端的數據和安全能力分析，給終端提供快速的響應，以及修復指導建議；SaaS 化和智能化 EDR 在云端通過 SaaS 服務的模式提供安全大數據的存儲、處理及分析能力，利用云端海量大數據、實時威脅情報以及機器學習能力，安全專家可以精準威脅狩獵，快速進行安全事件響應。2.1.2 EDR 核心價值核心價值在傳統

24、的終端安全解決方案的保護下，仍有大量的安全事件起源于端點。對于企業而言，部署并成功實施 EDR 的核心價值在于：1、快速偵測與自動化響應對于終端威脅的快速發現并采取自動化響應是 EDR 的基礎。對于安全運營而言，時間是一個非常關鍵的要素。威脅在環境中存在的越久，就有可能帶來越大的破壞。因此，盡早的發現威脅并進行響應是 EDR 帶來的最核心的價值。而 2023 云安全聯盟大中華區版權所有16自動化響應能力則會進一步加快針對威脅的處置的速度，降低安全隱患。2、主動檢測未知威脅傳統意義上的終端防護是通過將攻擊模式與已知威脅的特征庫進行比對從而發現安全威脅；因此幾乎不具備對于未知威脅和潛在的 APT

25、攻擊的抵御能力。EDR 對于終端進行了更全面的數據采集，進一步加強了可見性。通過對這些數據的的關聯分析，EDR 具備了一定的預判能力，從而能夠主動發現未知的安全威脅甚至應對 APT 攻擊。因此市場上的 EDR 解決方案通常也都具有威脅情報、機器學習以及更高級的文件分析能力。云化的 EDR 則擁有了更廣闊的視野和更強大的頭腦，對未知威脅的偵測能力也就更加強大。3、簡化管理普遍認為傳統的 EDR 方案中，R 的能力稍有不足。這實際上是在指在自動化響應策略（編排劇本）層面由于缺少足夠的信息支撐而在實踐中有所不足。EDR本身具備對終端完整的控制能力。通過集中化的管理平臺，安全人員能夠遠程的進行針對終端

26、的威脅處置，溯源取證，災害恢復等工作。為企業 IT 運維和安全管理都提供了便利。由于 XDR 具有更為全面的視野和更強大的后端能力，在 XDR 解決方案中，EDR 專注于終端層面的數據采集和操作的執行。EDR 是 XDR 方案中檢測與響應能力在終端層面的重要組成，為 XDR 在終端層面提供了可見性與可控性。作為 XDR在終端層面的感應器與執行器，EDR 能夠協助 XDR 方案進行終端資產理清，攻擊面梳理，以及風險管理。2.1.3 EDR 核心能力核心能力1、數據采集、數據采集EDR 需具有全面的終端數據采集能力，涵蓋系統層、應用層行為數據，包括系統操作、進程、文件、網絡、注冊表等多個類別數據，

27、為攻擊全面分析提供豐 2023 云安全聯盟大中華區版權所有17富數據源，提升威脅研判的精準度，減少誤報，也為未知威脅的檢測和發現提供數據基礎。對于 SaaSEDR 來說，這些數據存儲在中央數據庫或數據湖中，通常托管在云端。EDR 的數據能力體現在數據采集和分析能力上。只有采集足夠完整的數據，才能實現對未知威脅的檢測，以及對安全事件的溯源等，否則就無法進行有效的分析。因此，EDR 必然需要強大的數據采集能力，能采集到端點上的各類關鍵數據。不同廠商會對采集數據有不同的分類方式，在采集數據的種類上也會有一定區別。EDR 數據采集的價值在于分析，能否有效地關聯各個端點采集到的數據，并且分析后檢測出威脅

28、非常重要。在數據采集過程中，即使數據采集得足夠多，在分析階段一旦無法被合理使用，也是沒有價值的。因此，EDR 的數據采集不是采集所有數據，而是圍繞終端威脅檢測和分析所需要的數據盡可能完整的采集?；?ATT&CK 矩陣的技戰術是數據采集標準的重要參考。EDR 的數據采集能力對 XDR 來說，一方面通過網絡數據、云上數據等其他數據，與終端數據進行關聯分析，發現真實的攻擊事件，還原完整的攻擊路徑，另一方面為終端攻擊溯源提供數據支持。XDR 解決方案下要求數據格式“統一”，但現狀是各家產品接口均不一致，也給 XDR 整體解決方案提出了挑戰。企業在選擇 EDR 廠商的時候，對于單點能力突出的廠商，還需

29、要考慮其數據輸出能力。這需要 EDR 產品能夠和多個不同安全廠商進行數據對接，同時輸出的數據也應該盡可能是更為有效、有價值、經過處理的數據，而不是將大量的原始數據直接進行輸出。不同部署形態對數據采集能力上也略有差異。本地化部署的 XDR 平臺相對SaaS-EDR 來說，前者對數據傳輸帶寬小，傳輸安全性相對較低，后者則相反。2、入侵檢測、入侵檢測EDR 的入侵檢測能力，旨在根據動態行為進行異常登錄檢測、口令暴力破解、2023 云安全聯盟大中華區版權所有18惡意行為檢測等入侵檢測行為。業內一般根據 ATT&CK 矩陣實現對各類入侵、攻擊及新型未知攻擊的持續檢測。眾 所 周 知 ATT&CK（全 稱

30、 Adversarial Tactics,Techniques,and CommonKnowledge）是一個攻防戰術框架，反映攻擊者攻擊生命周期中各個階段的攻擊行為模型和知識庫，主要應用于評估攻防能力覆蓋、APT 情報分析、威脅狩獵、日常監測與檢測、攻擊模擬及分析與緩解與防御差距評估等場景和領域，站在攻擊者的視角來描述攻擊過程中用到的戰術技術的模型。站在攻擊者視角，通過不斷地攻防演練測試和評估，學習攻擊者的技術和方法，就可以提升安全檢測與分析系統的檢測能力，不斷擴大技術覆蓋范圍，豐富技術知識庫，不斷縮小與攻擊者的技術和知識差距，其目標是以攻促防，以防驗攻。正如孫子兵法.謀攻篇書中所述“知己知

31、彼,百戰不殆”，在網絡作戰中也是同樣道理，只有更了解攻擊者，才能更好地發現自身薄弱環節，從而彌補自身缺陷和優化防御方式，保護企業網絡安全。ATT&CK 已成為安全業界通用語言，其框架已成為安全業界標準。圖 1如圖 1 所示，ATT&CK 改變了我們對 IP、域名、哈希和靜態特征碼等低級威脅指標(IOC，Indicator of Compromise)的認知，讓安全業界從行為視角來看待攻擊者和防御措施，即攻擊指標(IOA，Indicator of Attack)，旨在描述攻擊者所使用的攻擊戰術、技術和過程(TTP，Tactics,Techniques and Procedures)的方法。企業A

32、TT&CK(v10)將安全事件劃分為 14 個階段，即 14 種戰術指導思想(從 v9 開始增加了 PRE-ATT&CK：偵查、資源開發)，在同一次實戰攻擊場景中不太會同時覆蓋全 2023 云安全聯盟大中華區版權所有19部的戰術，以減少被發現的機率，但其順序和方向是固定的，理論上通過攻擊者的 TTP 分析，攻擊者行為方向和目標是可以預測的。高級可持續性威脅的手段和方法越來越貼近用戶日常操作，如信息收集、分析工具使用等，具有潛伏性、隱蔽性、持續性、針對性及多樣化等特點，攻擊力量分散和無明顯攻擊特征，這也給傳統檢測方法帶來了挑戰，威脅分析檢測已不能通過常規的單一風險告警和攻擊活動來判定，通過 AT

33、T&CK 模型可提升網絡攻擊感知能力，增加未知威脅檢測能力，同時防御方也可以通過該矩陣繼續細化未覆蓋技術檢測點。EDR 使用高級分析和機器學習算法，在已知威脅或可疑活動發生之前實時識別指示這些活動的模式。一般來講，EDR 會查找兩種類型的跡象：感染跡象(IOC)（即與潛在攻擊或違規行為一致的操作或事件）以及攻擊跡象(IOA)（即與已知網絡威脅或網絡犯罪分子相關的行動或事件）。為了識別這些跡象，EDR 會將自己的終端數據與來自威脅情報服務的數據實時關聯，而威脅情報服務會提供關于最新網絡威脅的持續更新信息-它們使用的策略、它們利用的終端或 IT 基礎架構漏洞等等。威脅情報服務可以是專有服務（由 E

34、DR 提供商運營）、第三方服務或基于社區的服務。此外，許多 EDR解決方案還將數據映射到 Mitre ATT&CK。EDR 分析和算法還可以自行執行偵查，將實時數據與歷史數據和已建立的基線進行比較，確定出可疑的活動、異常的最終用戶活動以及任何可能指示網絡安全事件或威脅的內容。這些算法還可以將信號或合法威脅與誤報的噪音區分開來，以便安全分析師可以專注于重要的事件。EDR 對于 XDR 來說，提供終端威脅檢測能力，補齊 XDR 在終端上的威脅檢測能力不全問題，為后續的事件分析、溯源取證提供分析線頭等。3、脆弱性檢測、脆弱性檢測在信息安全技術信息安全風險評估規范 GB/T 20984-2018 標準

35、中對于脆 2023 云安全聯盟大中華區版權所有20弱性的解釋是“可能被威脅所利用的資產或若干資產的薄弱環節”。脆弱性一旦被威脅成功利用就可能對資產造成損害。脆弱性依附在資產上，資產具有的脆弱性越多則其風險越大，脆弱性是未被滿足的安全需求，威脅者可利用脆弱性從而危害資產。EDR 需要具備對資產脆弱性檢測能力，資產脆弱性包含漏洞、弱口令、配置風險等。EDR 檢測終端的全部漏洞及未修復漏洞，避免因漏洞利用被攻擊。EDR 脆弱性檢測為 XDR 資產風險管理提供數據支持。4、威脅響應、威脅響應端點檢測與響應，除了檢測，自然需要響應能力。EDR 能力需要提供一系列響應能力，包括查殺、隔離、告警。從當前的情

36、況來看，隔離能力最為重要，EDR更需要能盡可能將威脅控制在受攻擊端點。微隔離技術能夠和 EDR 結合，更好地實現威脅控制。因為對于企業而言，最需要保護的資產是主機；因此，防止威脅在網絡中擴散到主機最為關鍵。當安全事故發生的時候，需要將威脅因素限制在相關端點之中，避免其擴散到其他端點，甚至主機，將危害限制到最低。另一方面，將威脅限制在少數有限的端點上，也更利于企業在事后進行追蹤溯源。響應策略是否可以做到自動化？在理想狀態下，我們會期望響應行為能夠自動化進行。但是在實際環境中，會遇到各種問題，包括異常行為難以判定是否屬于攻擊行為、某些響應行為是否會影響業務等情況。因此，現在的響應機制依然需要靠自動

37、化與人工協同，通過安全策略設置，將大部分安全事件自動化處理，將一些難以區分或者處理的事件交由安全專家手動處理。但是，安全策略的設置對 EDR 的分析能力與策略配置能力也提出了一定的要求。EDR 通過自動化技術引入響應機制（實際上是快速響應）。根據安全團隊設置的預定義規則（或機器學習算法隨時間推移學習的規則），EDR 解決方案可以自動提醒安全分析人員注意特定威脅或可疑活動 2023 云安全聯盟大中華區版權所有21根據嚴重性對警報進行分類或劃分優先級生成追溯報告，以跟蹤事件或威脅在網絡上的完整軌跡，一直追溯到其根本原因斷開終端設備的連接，或從網絡注銷最終用戶停止系統或終端進程阻止端點執行惡意/可疑

38、文件或電子郵件附件觸發防病毒軟件或反惡意軟件，以掃描網絡上的其他終端來查找相同的威脅EDR 可以與 SOAR（安全編排與自動化響應）系統集成在一起，以自動執行涉及其他安全工具的安全響應運行劇本。這整個自動化流程有助于安全團隊更快地響應事件和威脅，最大限度地減小它們對網絡造成的損害。EDR 的響應能力對于 XDR 來說非常重要，XDR 通過調用 EDR 提供的響應能力實現快速的進程查殺、文件隔離、IP 封禁等處置動作。5、威脅狩獵、威脅狩獵威脅狩獵是一項主動式安全活動，安全分析師可通過這種活動在網絡中搜索未知威脅或者組織自動網絡安全工具尚未檢測或修復的已知威脅。高級威脅可能會在被檢測到之前潛伏數

39、個月，收集系統信息和用戶憑證，為大規模入侵做準備。有效且及時的威脅狩獵可以縮短檢測和修復這些威脅所需的時間，并減小或防止攻擊造成的損害。威脅狩獵者可以使用各種策略和方法，其中大多數策略和方法都依賴于EDR 在威脅檢測、響應和調查時使用的相同數據源、分析和自動化功能。例如，威脅狩獵分析人員可能希望根據取證分析來搜索特定文件、配置更改或其他工件，或者搜索用于描述特定攻擊者方法的 MITRE ATT&CK 數據。2023 云安全聯盟大中華區版權所有22為了支持威脅狩獵，EDR 可通過 UI 驅動的方法或編程方式向安全分析人員提供這些功能，以便他們可以執行臨時搜索數據查詢、與威脅情報進行關聯以及進行其

40、他調查。專用于威脅狩獵的 EDR 工具包括從簡單腳本語言（用于自動執行常見任務）到自然語言查詢工具的所有工具。EDR 的威脅狩獵是 XDR 威脅狩獵能力的基礎，為 XDR 的威脅狩獵提供數據支持和能力支持。2.1.4 EDR 應用場景應用場景1、安全風險態勢管理場景、安全風險態勢管理場景通過對網絡空間的有計算能力的終端、服務器等部署 EDR，對終端資源進行風險檢測，將檢測的數據上送到態勢感知模塊，實現對網絡空間中的計算資源進行風險評估和風險趨勢分析。2、零信任防護方案場景、零信任防護方案場景在零信任防護方案中，需要感知零信任終端的風險，根據風險動態調整用戶的權限。EDR 是其中不可或缺的重要組

41、件。EDR 具備連續和實時數據采集能力，為應對高級威脅提供了更強的可見性；對終端持續評估能力，滿足了零信任的環境感知要求，通過對終端的全量信息采集，為判定終端安全狀況和安全可信任程度提供更準確的數據。3、虛擬化、云場景下的安全防護場景、虛擬化、云場景下的安全防護場景隨著智慧服務的不斷建設，云端運行業務成為常態化，虛擬機則成為安全的重災區。EDR 可以對虛擬化終端、云場景下的終端進行風險檢測，不受復雜的虛擬化環境限制，同時通過響應策絡控制具備微隔離功能，能夠解決云端特有的東西流量訪問控制問題。EDR 可以對云主機連入、連出數據的進行采集、分析和展示，可以實現云主機流量的可視化，阻斷非法訪問、隔離

42、失陷云主機。2023 云安全聯盟大中華區版權所有234、工業互聯網安全防護場景、工業互聯網安全防護場景在工業互聯網安全場景下，通過為智能工業設備、智能工業終端部署 EDR，對智能工業設備進行安全檢測，風險評估，在產生風險告警同時可以根據風險事件或風險級別，對智能設備下發動態工業控制指令，保證工業生產安全。5、車聯網安全防護場景、車聯網安全防護場景通過在車聯網終端上部署 EDR，可以對車聯網終端進行安全風險檢測、安全風險預警及安全風險的及時響應，實現對車聯網終端的安全管控。2.2 云工作負載防護平臺云工作負載防護平臺2.2.1 CWPP 定義定義云工作負載保護平臺（Cloud Workload

43、Protection Platform）簡稱 CWPP，其概念由 Gartner 在 2016 年首次提出，CWPP 是以工作負載為中心的安全產品，保護私有云、公有云，及混合、多云數據中心環境中的服務器工作負載，為物理機、虛擬機（VM）、容器以及無服務工作負載提供統一的可視化和管理能力。CWPP通常會結合系統完整性保護、網絡控制、應用控制、行為監控、入侵防御和運行時惡意軟件檢測等能力，保護工作負載安全。2.2.2 部署與架構部署與架構部署模式CWPP 產品一般采用“輕量級探針+統一安全中心+Web 控制臺”的架構，為用戶提供事前風險發現、事中入侵檢測、事后追蹤溯源的能力。探針：一般安裝在主機或

44、容器上，能自動適配物理機、虛擬機以及云環境，在威脅檢測方面，其功能主要是收集主機操作系統、進程、端口、賬號、應用等信息；2023 云安全聯盟大中華區版權所有24統一安全中心：即服務端，其通過收集、分析探針采集的信息和行為，來發現主機側的漏洞、弱口令等風險，以及 Webshell，反彈 shell，異常進程以及病毒木馬等入侵行為；Web 控制臺：以可視化的管理界面和用戶進行交互，通過數據分析以及圖形化展示等方式為用戶提供實時的風險態勢以及集中管理的能力。適用場景CWPP 為用戶提供資產清點、風險識別、入侵檢測、實時防護、安全處置以及攻擊溯源等能力，覆蓋私有云、公有云、混合云、多云統一管理的場景，

45、為用戶提供針對服務側各種工作負載全生命周期的防護以及安全管理能力。CWPP 與 XDR 的對接XDR 通過統一的交互框架、數據標準數據存儲方式，進行安全數據采集、安全威脅集中分析、安全事件處置及響應編排能力。因此，CWPP 與 XDR 的對接，需要從數據采集、檢測與響應方面保持一致性，主要包含如下三個方面。采集：CWPP 采集工作負載側的主機信息、日志以及威脅等信息，上報到 XDR平臺的統一安全分析中心。檢測：XDR 后端平臺組件進行內部（資產、漏洞等）、外部（流量、日志）等多源安全告警進行關聯分析、規則分析以及情報分析，發現潛在的威脅。響應：XDR 控制臺通過可視化劇本編排，對接聯動 CWP

46、P，在安全事件發生時下發通知告警，并在必要時自動下發阻斷策略，及時完成安全閉環。2.2.3 風險感知能力風險感知能力CWPP 能夠感知服務器工作負載上的多種安全風險包括資產、威脅、脆弱性和合規基線。資產一般包括組織在工作負載上的主機、應用、數據資產；威脅包含對資產造成損害的某種安全事件發生的潛在原因；脆弱性包括系統或應用弱密 2023 云安全聯盟大中華區版權所有25碼和漏洞；合規基線包含系統、應用和用戶在最小安全需求下的配置和策略。從Gartner 提供的 CWPP 能力金字塔（如圖 2-X 所示）來看，從最基礎的加固、配置與漏洞管理，以及高階的漏洞利用預防，都離不開 CWPP 的風險感知能力

47、。圖 2-2 CWPP 能力金字塔加固、配置與漏洞管理是安全運營的重要工作，系統加固是指關閉非必要功能、端口和服務，及時進行系統補丁更新維護，和對已驗證的漏洞進行補丁修復或升級。CWPP 能夠通過資產發現和探測，收集工作負載的基本系統信息，從而在平臺側進行監測和管理。配置即為服務器的配置優化，針對應用和業務系統進行配置，保障系統以及應用的安全，避免因為錯配和漏配導致產生安全問題，以提升安全防護能力。漏洞管理是針對操作系統漏洞和應用程序漏洞的生命周期管理，包括但不限于漏洞發現、驗證、處置、閉環等跟蹤過程。在網絡安全事件中，基于漏洞的攻擊數量一直居高不下，而最常見的最嚴重的漏洞就是系統漏洞和Web

48、 應用漏洞。因為 Web 應用一般對外提供服務，所以必須暴露于互聯網之中，因此安全要求極為重要?；谏鲜龅哪芰σ?，CWPP 需要支持基于資產掃描和脆弱性發現，操作系統漏洞管理和應用漏洞管理，能提供標準化、同時支持制定自定義的漏洞防護策略。在第一層的“加固、配置和漏洞管理”階段，漏洞修復主要是針對 NDay 漏 2023 云安全聯盟大中華區版權所有26洞，但除此之外，漏洞防護還應包含對 0Day 漏洞的防護。0Day 漏洞從利用方式可以分為兩類：系統漏洞、應用漏洞。針對系統漏洞，CWPP 可以通過內存防護進行檢測，內存防護是內存運行時自我保護技術，因為在工作負載上執行的數據都需要經過內存進行儲

49、，所以通過對內存行為的監控可以識別無文件攻擊、內存型 Webshell 等基于文件監測無法識別的新型攻擊手段。對抗應用漏洞的思路是應用運行時自我保護技術（RASP）。RASP 是從應用內部對關鍵函數操作的數據進行分析，即使原始請求經過加密和混淆，但是它在應用內傳播到最終的底層函數時將會以明文方式被 RASP 截獲，因此相比應用防火墻 WAF 能減少大量的誤報和漏報問題?；诖颂匦?，RASP 還能為安全人員和開發人員提供更為詳盡的攻擊鏈路，包括攻擊原始 Payload、代碼調用堆棧等信息，方便他們進行漏洞定位、復現以及修復，可以有效發現和阻斷 0Day 漏洞的利用。CWPP 能夠通過主動資產掃描

50、對主機上資產、脆弱性進行持續掃描和評估，包括漏洞、弱口令、合規基線等等，從而發現實時威脅以及隱藏的未知安全隱患，化被動為主動，提前預防和防御安全問題的出現，將風險消除在最前沿，從而提高攻擊門檻，降低入侵風險。2.2.4 威脅檢測能力威脅檢測能力CWPP 是 XDR 關鍵的部分之一，針對服務端的裸金屬服務器、虛擬機、容器及應用，CWPP 既可以在本地完成威脅檢測與響應，也可以與 XDR 配合，通過XDR 來進行大數據分析，然后在 CWPP 本地做出響應。服務端資產為用戶業務的核心資產，擁有高價值的敏感數據，黑客攻擊的最終目標就是用戶服務端的業務與數據，一旦被攻擊成功，核心資料被竊取，帶來的影響不

51、可估量。近年來針對服務端的攻擊層出不窮，既有傳統病毒、基于漏洞的攻擊、暴力破解、反彈 shell、惡意提權等已知攻擊，也有勒索、APT 等未知攻擊，還有利用拿下正常權限賬號而發起的惡意業務攻擊或拖庫行為等。這導致服務端威脅檢測變得越來越重要且充滿挑戰。為了應對這些安全挑戰，作為與 XDR 配合的 CWPP 在威脅檢測方面需要具 2023 云安全聯盟大中華區版權所有27備以下關鍵能力。第一，信息采集能力。任何針對服務端主機的攻擊都會留下蹤跡，通過完整的信息采集，記錄行為信息和攻擊事件的上下文，為深度的持續監控、威脅分析、調查取證、追蹤溯源打下基礎。需要采集的信息有：賬號行為、進程行為、網絡行為、

52、文件操作、內存訪問行為、容器運行行為等，尤其是要把有異常的行為、事件和信息完整地監控并記錄下來。第二，已知威脅檢測能力?？v然未知威脅越來越多，但已知威脅的檢測能力依然是基礎，如果已知威脅檢測都做不好，就談不上難度更大的未知威脅了。在已知威脅檢測上，要具備常見病毒檢測、惡意文件檢測、異常登錄、暴力破解、惡意提權、反彈 shell、應用后門、內存安全等檢測等，同樣這些檢測要能覆蓋物理機、虛機、容器等各種工作負載。第三，未知威脅與 APT 檢測能力。技術的不斷演進，導致攻防雙方都受益，攻擊者采用新技術，制造新型惡意軟件越來越多，如 0Day 及這幾年泛濫的各種勒索病毒，針對未知威脅與 APT 攻擊，

53、單靠人工進行惡意樣本分析并提取新規則或特征碼后再進行防御，一方面其難度越來越大，另一方面其時效性越來越難以滿足用戶的安全需求，新技術的出現，以及 XDR 的發展正是需要解決這個問題，幫助用戶從被動防御轉化為主動防御。此外，在威脅檢測上，還可以通過 ATT&CK 模型框架中的攻擊階段與攻擊技術進行比較和驗證，進一步提升威脅檢測的準確率，降低誤報率。2.2.5 事件響應能力事件響應能力事件響應的目標是消除其產生的影響。這依賴于將威脅檢測階段生成的結果轉換成可執行的行動方案，并將行動方案拆解成可供響應設備執行的命令準確下達到安全組織中。事件響應在組織安全運營中往往體現為系統性的流程，包括準備-識別-

54、遏制-根除-恢復-重建等過程。2023 云安全聯盟大中華區版權所有28圖 2-3 事件響應流程 事件全流程處理事件全流程處理威脅告警通過人工或者自動方式可以快速生成事件，按照模板流程，將其提交到不同處置人處理，同時通過內置狀態機進行事件維護，保證事件狀態的一致性，告警事件的節點狀態同時被存儲，以支持后期事件回溯。安全劇本編排安全劇本編排安全編排，是指將客戶不同系統或者一個系統內部不同組件的安全能力通過可編程接口（API）和人工檢查點，按照一定的邏輯關系組合到一起，用以完成某個特定安全操作的過程。不論是自動化編排，還是人工編排，都可以通過劇本（Playbook）來進行表述，為了方便管理人員維護劇

55、本，XDR 平臺還提供一套可視化的劇本編輯器，大多數 XDR 平臺支持拖放操作，有些還支持直接編寫代碼來實現復雜流程編排，劇本面向編排管理員，讓其聚焦于編排安全操作的邏輯本身，而隱藏了具體的編程接口及其指令實現。聯動響應聯動響應這種方式通過與 CWPP 聯動，對應不同告警事件調用不同的預置處置流程，給 CWPP 下發處理動作完成對告警事件的處置，提升業務系統的安全系數，及響應處置的速度與準確性。XDR 平臺基于多源數據分析技術，能夠極大降低檢測誤報率，平臺持續進行檢測分析，基于平臺分析結果，將告警與 CWPP 進行聯動，針對發現的威脅時間進行響應，這些響應方式包括：隔離主機或容器、刪除惡意文件

56、、隔離惡意文件、阻斷惡意進程、封堵攻擊源 IP 等。通過 CWPP 與 XDR 在事件響應上的配合，實現服務端威脅檢測與響應的閉環。2023 云安全聯盟大中華區版權所有292.3 網絡威脅檢測與響應網絡威脅檢測與響應2.3.1 NDR 的概念的概念NDR（Network Detection and Response）網絡威脅檢測與響應，是一種基于流量的網絡側安全解決方案，其集多種檢測技術與一體，不僅能夠實現基于簽名指紋匹配的傳統絡威脅檢測技術，且能對原始絡流量進行學習、訓練和優化，形成相對準確且能動態調整的絡流量為模型，以為模型作為絡風險和異常判定的標準基線，配合其他絡威脅檢測模塊（如：動態沙

57、箱、靜態 AV、人工智能、威脅情報等）關聯分析，進精細化溯源定位。不僅僅是檢測威脅，還可以通過本地控制實時響應威脅，或者支持與其他網絡安全工具或解決方案（如安全編排、自動化和響應(SOAR)）的廣泛集成。NDR 與 EDR 的不同之處在于它不使用代理來深入了解惡意活動，而是依賴網絡或虛擬分路器來分析本地和云工作負載之間的流量。2.3.2 NDR 的價值體現的價值體現NDR 是 XDR 體系中針對網絡流量采集監控、應急處置的前端執行單元，負責持續監控流經關鍵網絡設備的原始網絡流量數據，其核心價值是向 XDR 后端平臺提供完整的、全局視角的、真實可靠的網絡通信元數據。主要體現在以下幾點：1)南北向

58、、東西向的全方向流量采集、監控2)集中式、基于硬件的高性能采集3)隱式的旁路監控，攻擊者無法感知是否被監控，痕跡真實性有保障NDR 通過觀察網絡上的所有通信流量（包括流入、流出網絡邊界，以及內部橫向流量），在 XDR 后端強大的平臺能力支撐下，能夠在流量進入網絡的第一時間檢測到可疑的用戶行為、內部傳播、未經授權的終端訪問等潛在的威脅及異 2023 云安全聯盟大中華區版權所有30常事件，并在 XDR 后端平臺的協同下，通過手動或自動的方式進行及時有效的威脅處置。2.3.3 NDR 核心能力核心能力2.3.3.1 流量檢測流量檢測XDR 是具備多方面安全檢測與響應技術的可擴展安全能力，網絡威脅檢測

59、與響應能力在 XDR 的能力體系中扮演著網絡安全維度上的一個重要角色。網絡威脅檢測與響應系統（NDR）的核心能力之一是流量檢測能力。網絡型的入侵檢測技術通過監視和分析在網絡上傳輸的信息，能截取利用不同傳輸介質及不同協議進行傳輸的數據包。然而，隨著網絡攻擊的日益復雜化，網絡威脅檢測的難度增大，要想快速檢測和響應威脅事件，亟需推進下一代入侵檢測技術的發展。為應對新的網絡安全環境，下一代入侵檢測技術需在數據采集、存儲檢索、檢測分析等方面有更大的進步。網絡數據采集更加全面，探測和收集所有重要網段的數據，包括內外網通信和內部通信的雙向流量，以通用的格式進行采集，針對流量類型進行更加高效的預處理，形成涵蓋

60、歷史到當前時間的全流量數據集。在存儲檢索方面，應用分布式大數據組件，實現高可用、負載均衡、彈性擴展的存儲方案；提供原始流量數據、威脅檢測結果的快速檢索接口，打通海量數據存儲和分析利用的對接；使用分布式計算引擎處理和分析數據，實現高吞吐量的、實時或準實時的威脅檢測功能。檢測分析模塊應覆蓋更多更全的攻擊類型，通過雙向流量在“請求-響應”的層面更準確地發現攻擊行為以及攻擊成敗的情況，發現高級威脅，形成對攻擊源的畫像、資產的安全態勢的準確描述，并基于分析出的原子事件，進一步完成降噪、聚合、高風險攻擊源挖掘、攻擊鏈分析、溯源取證等高級功能。在網絡流量的檢測技術中，異常行為檢測是能夠檢測出已知和未知威脅的

61、檢測技術，是當前網絡威脅檢測研究的熱門方向之一。異常行為檢測是一個對待檢測行為進行二分類的過程。異常行為檢測對網絡行為有一個正常狀態下的期望，通過實際發生的行為與正常期望之間的偏差大小來判斷是否異常。若行為偏離正 2023 云安全聯盟大中華區版權所有31常情況過多，則有很大幾率屬于異常行為。統計的方法是異常行為檢測的常用方法?；谔卣鞯姆椒ㄐ枰捎薪涷灥陌踩藛T選擇出對識別異常行為有幫助的數據特征，進行頻率、速率或大小等方面的統計計算，然后與異常閾值相比較來判斷是否屬于異常行為。此種方式依賴領域知識，計算簡單且識別出來的結果準確?；趥鹘y統計學習方法的技術同樣需要依靠人工進行特征選擇，然后使用

62、統計學習模型針對數據進行擬合學習，能夠得到一個解釋性較高的統計模型來對新的數據進行判別?；谏疃葘W習的方法對人工介入的依賴最低，能夠通過學習得到特征并用于訓練模型，模型準確度與數據量和數據質量密切相關，缺點是可解釋性差。但深度學習和人工智能是當今的熱點，其在網絡異常行為檢測上的應用研究也吸引了人們的目光?；趯W絡流量監控、檢測、分析，網絡威脅檢測與響應技術具備了實時、準確的網絡威脅分析檢測能力，能夠積極響應安全事件，增強企業內網的安全性。因此，NDR 也成為了 XDR 中舉足輕重的組成部分，為 XDR 系統在現網的網絡流量分析應用提供了堅實的基礎。2.3.3.2 文件檢測文件檢測文件檢測通常

63、有靜態文件檢測、動態文件檢測、基于威脅情報的檢測和基于人工智能技術的檢測四類，各檢測方式描述如下：靜態文件檢測指在不運行程序的情況下，對樣本文件進行靜態特征檢測。支持內置多個反病毒引擎，多個反病毒引擎交叉檢測，可檢測包括 Shellcode、Webshell、后門程序、挖礦木馬、間諜軟件、蠕蟲病毒、惡意軟件、遠程木馬等，對已知威脅進行基于特征的靜態檢測和多檢測模塊交叉驗證，最終給出檢測結果。動態沙箱檢測是一種通過文件的動態執行行為來識別惡意文件的檢測技術，其利用虛擬化技術仿真出組織常用的操作系統和應用環境，然后利用虛擬執行手段使文件運行并捕獲其對系統產生的影響，如釋放文件、加密文檔、增加啟動項

64、、API 調用等，并對這些影響進行評估，識別對系統產生破壞的惡意文件；動態沙 2023 云安全聯盟大中華區版權所有32箱支持行為簽名檢測，根據主機或網絡行為判斷其是否為惡意文件，可支持多種沙箱運行模式,包括 Windows、Android 和 Linux 等類型沙箱，支持對沙箱內樣本的流量進行檢測、支持反虛擬機和反調試行為檢測、支持惡意代碼及變種檢測，最大限度發現 APT 等未知網絡攻擊。通過海量情報數據的采集、分析、驗證及生命周期管理后生成威脅情報并內嵌于 NDR 系統或單獨部署，形成情報中心，并將從流量中提取出的域名、IP、URL 等與情報系統進行關聯比對，進一步確認網絡威脅，支持 JA3

65、、JA3S 和 SSL惡意加密指紋檢測，輔助各行業安全運營人員進行運營決策?；谌斯ぶ悄軝z測技術，結合機器學習/深度學習、圖像分析技術，將惡意代碼映射為灰度圖像，通過惡意代碼家族灰度圖像集合訓練卷積神經元網絡（CNN）深度學習模型，建立檢測模型，利用檢測模型對惡意代碼及其變種進行家族檢測?；诨叶葓D像映射的方法可以有效的避免反追蹤、反逆向邏輯以及其他常用的代碼混淆策略。而且，該方法能夠有效地檢測使用特定封裝工具打包（加殼）的惡意代碼。在一定程度上解決了特征檢測的人工提取困難、行為檢測的時間開銷大且誤報高等問題。對于惡意代碼變種和加殼文件具有優異的檢測能力，且具有快速、準確率高、誤報率低、跨平臺

66、檢測等特點。2.3.3.3 關聯分析關聯分析在 XDR 系統中，來自流量分析的安全事件與日俱增，網絡攻擊事件的迅猛增加使得安全運維人員疲憊不堪，系統產生的誤報事件也增大了安全人員發現真正攻擊、分析網絡安全狀況的難度。若要使得 XDR 在企業應用中能夠精準捕獲真正的威脅，并且提高安全運維的效率，加快對安全事件的響應速度，就需要對數量眾多的網絡事件進行關聯分析。在大量的原子事件之中，實現對事件的自動化整合、關聯，形成攻擊鏈，從更高層面上對攻擊過程有整體把握，對攻擊場景了如指掌，才能更好地明白攻擊意圖，為快速有效地響應和切斷攻擊行為提供基礎。主要的關聯分析技術有如下幾類。1、基于相似性關聯 2023

67、 云安全聯盟大中華區版權所有33多個網絡事件之間的相似性較高可能意味著它們存在關聯?；谙嗨菩缘募夹g旨在依據相似性度量方法衡量多個安全事件的屬性值之間的相似程度，對相似性超過預設閾值安全事件進行聚合。因此，此類方式關鍵在于選擇有效的事件屬性，提出合理的相似性度量策略來刻畫事件之間的相似性距離，從而對相似的事件集進行整合和歸并。網絡事件屬性如源 IP、目的 IP、事件類型等可作為度量所使用的屬性，基于一定時間窗口范圍內對網絡事件進行聚合。相似性度量策略同樣決定了關聯分析效果的好壞，事件之間相似性距離的度量方式可以有多種選擇，例如歐式距離、夾角余弦等。此類方法需要專家知識對屬性和度量策略進行選擇。

68、2、基于因果性關聯網絡攻擊事件并非孤立存在，攻擊者會進行一系列有先后順序的攻擊手段，來達到逐步入侵的目的。在實施前一階段的攻擊成功之后，發起下一階段的更深入的攻擊。因此，基于因果性的關聯技術試圖找到同屬一個攻擊鏈的子攻擊事件之間的邏輯順序關系，恢復出整個攻擊的概貌，形成攻擊鏈或攻擊圖。首先，為每一類事件定義其前置條件和后續結果，明確哪些事件類型可以導出后續類型事件的發生；然后，針對不同的攻擊情形定義出攻擊的超類，它包含了一系列具有前后順序關系的子事件類型，結合一定時間范圍，將符合條件的子事件實例按攻擊順序整合到一起，形成超類事件?；谝蚬躁P聯技術是一種時序上的分析方法，尋找事件之間在時間先后

69、和攻擊邏輯上符合經驗道理的關系。在概率統計方面，可使用馬爾可夫鏈來描繪這個攻擊鏈，以狀態轉移矩陣表示兩個原子攻擊事件之間的演變概率。若對于事件的因果性分析只需要考慮前后一步的攻擊行為，則此攻擊鏈模型具有馬爾可夫性，符合 1 階馬爾可夫鏈。3、基于場景化關聯基于場景化關聯分析主要是先根據領域知識定義好一些特定的攻擊場景，然 2023 云安全聯盟大中華區版權所有34后從原子事件中找到符合場景化定義的事件集合，整合成一個大的場景事件。這種技術要求較豐富的安全領域經驗。根據攻擊行為的可能發生情況，從一個或一類錨點事件出發，確定其前后存在的各種事件類型，往往選擇較為重要的類型作為判據事件類型。所述的錨點

70、事件即是在這個場景當中安全人員最關注的事件，例如隱蔽信道，目的是找到這個事件發生的更強有力的證據。利用場景化分析的過程中，根據錨點事件實例的屬性，如源 IP、目的 IP、協議類型、載荷的某些特征等，在時間線上往前、往后檢索符合定義條件的事件集合。若找到這樣的事件集合作為判據，則錨點事件與判據事件整合成一個更高層次的場景化事件。4、基于多源數據關聯單一來源的安全數據可能存在某些攻擊行為檢測不到、攻擊信息覆蓋不全等不足之處，整合多源數據的關聯技術則可以讓不同來源、不同類型的數據“互通有無”，得到更完整的安全面貌?；诙嘣磾祿枰獙祿M行規范化處理，形成一致的數據形式。由于數據來源多元化，必然存在

71、冗余事件，需要進行去重和降噪。在此基礎上，結合其他分析技術，完成基于多源數據的關聯分析任務，得到更為全面的分析結果。2.3.3.4 溯源取證溯源取證威脅檢測與響應的一個重要應用成果就是溯源取證，XDR 系統提供了事件發生過程的完整的證據鏈，讓受關注的威脅事件從事件結果到原始流量、從攻擊產生到意圖實現的過程都有跡可循。溯源取證是利用威脅檢測及響應結果進行事實反推的環節，針對已檢測到的安全事件回溯原始流量數據，尋找出具有說服力的證據來輔助事件調查和司法鑒定。因此，不管是在日常安全運維中，還是在應急響應排查中，溯源取證過程都將起到一個“信而有征”的作用，在后續的應對措施中提供強有力的幫助。在網絡威脅

72、檢測與響應系統中，探針鏡像到系統的原始流量數據應當被完整 2023 云安全聯盟大中華區版權所有35地保存下來，可使用 pcap 包的形式。威脅檢測模塊對流量數據進行各類網絡事件的分析，得到異常事件結果?；诖?，進行異常事件的溯源取證工作。從一個異常事件出發，選擇合適的網絡事件屬性，例如五元組，包括源 IP、目的 IP、源端口、目的端口、協議類型，到原始網絡流量 pcap 包中匹配出相應數據，同時利用時間戳定位到具體的流量位置，將檢索到的流量數據保存下來，則可以獲得異常事件的回溯信息?；厮萘髁繑祿涗浟斯粽叽_切的攻擊行為、攻擊行為網絡數據包的原始信息，成為證明異常事件發生的重要證據。將溯源取證

73、功能集成到 NDR/XDR 中，實現一定程度上的自動化溯源取證能力，能夠進一步解放運維和證據收集的人力投入，大大提高威脅響應和司法鑒定的效率，強化了網絡威脅檢測與響應系統的優勢，輔助維護網絡空間安全的司法公正。這也將是 XDR 在社會與司法上的一個重要貢獻。2.3.4 NDR 的應的應用場景用場景現網中，NDR 通常應用于云上及云下兩種場景。2.3.4.1 公有云環境公有云環境云上部署分為兩種方式：一是通過在被監控服務器上安裝 Agent 插件引流的方式，將進出服務器網絡流量復制一份到虛擬 NDR 探針上，以達到網絡威脅的檢測與響應；二是通過云上服務器網卡流量復制的方式將進出服務器的流量復制到

74、虛擬 NDR 探針上，進行威脅檢測與響應。2023 云安全聯盟大中華區版權所有36圖 2-4 云環境部署示意圖2.3.4.2 本地數據中心本地數據中心本地數據中心部署為通用部署方式，方式是通過鏡像、分光或分流的方式，將南北向進出口流量或東西向橫向流量復制給 NDR 探針，以對網絡流量里存在的威脅提供檢測及應急響應服務。2023 云安全聯盟大中華區版權所有37圖 2-5 本地環境部署示意圖2.4 Web 安全網關安全網關2.4.1 Web 安全網關的定義安全網關的定義Web 安全網關（SWG）是用來阻止用戶訪問互聯網和云中可能感染其設備的威脅，它特指設備用來防止網絡和數據受到損害，并確保企業員工

75、訪問符合安全基線與組織、行業數據安全監管的合規性遵從。Web 安全網關（SWG）采用基于大數據和機器學習的動態分類技術，提供了可擴展的、快速的 URL 分類查詢功能，包含了本地基本分類、本地高速緩存分類、云端實時分類查詢技術，同時采用了 Web 信譽評分技術，用于根據指定的敏感度級別來識別風險，以及確定是否允許 URL 訪問。2.4.2 Web 安全網關的核心價值安全網關的核心價值互聯網訪問過濾，避免外部風險和法律風險；2023 云安全聯盟大中華區版權所有38阻止通過互聯網外發機密數據造成企業的損失；提高內網性能，降低網絡擁塞帶來的業務質量低下，保證業務連續性并節省IT 投資。2.4.3 We

76、b 安全網關的關鍵能力安全網關的關鍵能力一、防病毒能力一、防病毒能力Web 安全網關防病毒主要針對 HTTP/HTTPS、FTP、SMTP、POP3 等協議流量進行雙向的過濾掃描，防止外部的攻擊導致內網被病毒感染并防止內網已感染病毒的客戶端和服務器對外擴散病毒。Web 安全網關作為內外網之間的唯一數據通道，可以掃描網絡流量中是否存在惡意軟件，并查看其是否與已知惡意軟件中的代碼匹配。一些網關還使用沙箱測試惡意軟件，它們在受控環境中執行潛在的惡意代碼，以查看其行為。如果檢測到惡意軟件，則網關將阻止它。二、二、Internet 應用控制和帶寬管理處理能力應用控制和帶寬管理處理能力Internet 應

77、用控制和帶寬管理，通常是通過對應用數據包進行分析，通過識別匹配協議或應用特征進行的 4-7 層的應用管控。Internet 上的許多網絡流量都使用 HTTPS 加密。許多安全的 Web 網關可以解密 HTTPS 流量，以便掃描流量中是否存在惡意軟件。檢查之后，網關將重新加密流量，并將其轉發給用戶或 Web服務器。因此 Internet 應用控制和帶寬管理可以保證業務流量的優先級以及阻止不恰當的應用占用大量帶寬。三、三、URL 過濾處理能力過濾處理能力URL過濾的實現機制是將客戶端請求的URL與網關中的URL過濾策略進行匹配，從而達到過濾控制的目的。Web 安全網關僅僅需要對 http head

78、er 中的 URL進行掃描處理，不需要對 http 請求的內容進行掃描。內容過濾可以阻止惡意信息進入公司網絡。而公司的 IT 管理員通?？梢宰远x其安全 Web 網關的內容過濾策略。URL 過濾也可以起到一定的數據防泄露的功能。2023 云安全聯盟大中華區版權所有392.5 郵件安全網關郵件安全網關2.5.1 郵件安全網關的定義郵件安全網關的定義當前網絡空間形式下，社交網絡日益發達，電子郵件發展至今已有幾十年歷史，但仍是最重要的現代互聯網應用之一。從個人生活到工作場景的使用，郵件都在現階段人們的生活中扮演著不可或缺的角色。近年來郵件攻擊引發的網絡安全事件頻頻發生，郵件系統作為現代企業關鍵信息基

79、礎設施，已成為攻擊的重災區。對 APT(高級持續性攻擊)組織來說，郵件攻擊是其最為常用的攻擊手段。郵件安全網管是郵件服務說使用的網關，是郵件服務以及網絡安全的第一道防線，它應具備反惡意攻擊、反垃圾郵件、病毒檢測、敏感信息監測等功能，可有效檢測 APT、社工釣魚、商業欺詐、垃圾郵件、帳號受控、弱口令、帳號爆破、病毒、木馬、蠕蟲、URL 釣魚等郵件攻擊，為郵件服務提供全方位的安全保障。2.5.2 郵件安全網關的核心價值郵件安全網關的核心價值隨著郵件業務規模的不斷增長，對電子郵件系統的安全防護需求日益迫切。如何有效的防堵各類垃圾郵件，保護用戶免受病毒木馬及釣魚郵件的戕害，是很多客戶目前最需要迫切解決

80、的問題。當遭遇垃圾郵件、病毒郵件、釣魚郵件、或DDos 時，做不到及時防御，可能會導致郵件服務不堪重負而崩潰，嚴重的話會對整個公司的業務發展造成毀滅性打擊。通過部署郵件安全網關，可以幫助用戶解決如下問題：可以有效避免遭受垃圾郵件或者黑客的拒絕復位攻擊，有效減輕郵件服務器的負擔；可以斬斷病毒的郵件入侵渠道，反勒索，反釣魚，保障內外安全；可以避免郵件賬戶被盜用，用來發送垃圾郵件和惡意郵件，危害用戶信譽；2023 云安全聯盟大中華區版權所有40可以最大限度的減少垃圾郵件的干擾，提高郵件服務滿意度；可以避免重要信息通過郵件違規外泄，避免潛在的合規風險；可以提高郵件應用效率，提高郵件傳遞速度。2.5.3

81、 郵件安全網關的關鍵能力郵件安全網關的關鍵能力2.5.3.1 垃圾和廣告郵件檢測垃圾和廣告郵件檢測郵件系統作為企業最為廣泛使用的通訊系統，由于其開發性和易用性，不可避免的成為各種垃圾和廣告的目標。各種反垃圾郵件技術也應運而生。這些年來，垃圾郵件的發送渠道又成為了網絡攻擊的首要突破口。垃圾郵件的泛濫已經成為企業安全不可忽略的巨大威脅，員工生存率下降、商務信息泄漏等問題已經造成了不少企業的經濟效益損失，不斷變換的郵件發送和編寫方式，更讓垃圾郵件防不勝防。作為現在主流的郵件安全解決方案，郵件安全網管可以利用實時地址黑名單（RBL）、域名黑名單（DBL）、DNS 黑名單（DNSBL）、URI 黑名單（

82、URIBL）、發件人策略過濾（SPF）、域名密鑰識別郵件標準（DKIM）、關鍵字過濾和發送限制等手段，結合利用圖像識別、語義分析等技術，識別并攔截垃圾郵件，保護郵件服務安全。2.5.3.2 弱口令、帳號爆破等針對郵件帳號的攻擊檢測弱口令、帳號爆破等針對郵件帳號的攻擊檢測獲取可信的郵件帳號是郵件攻擊黑色產業鏈的重要環節，同時也是 APT 對抗過程中的重要手段。近年來，針對郵件帳號的攻擊持續發展，分布式帳號爆破、帳號撞褲、帳密釣魚等新型攻擊手段層出不窮。對攻擊者來說，使用受控的可信帳號可大大增加郵件釣魚的命中率。而對企業用戶來說，對外發送大量營銷、釣魚郵件，會導致關鍵信息泄漏和商譽損毀。郵件安全網

83、關可對郵件登錄會話和內容信息進行分析，實現對相關帳號的登 2023 云安全聯盟大中華區版權所有41錄頻次、地點、收件頻次、發件頻次、口令強度等的監控，同時以個體歷史登錄行為基線或者同權人員登錄行為基線進行比較，偵測弱口令、帳號爆破、異常登錄和異地登錄等行為。2.5.3.3 識別精心偽裝的魚叉式釣魚郵件識別精心偽裝的魚叉式釣魚郵件攻擊者可能利用社會工程學廣泛收集特定目標的相關信息，并在周密籌劃后定向發送精心偽裝的針對性郵件。為了達到精準釣魚目的，攻擊者會對郵件頭、郵件正文、鏈接、附件等威脅載體進行選擇結合、精致化偽裝，魚叉式釣魚郵件攻擊具有高隱蔽性。郵件安全網關可以結合情報、攻擊手法等知識庫，結

84、合語義智能分析綜合建模對隱蔽的魚叉式釣魚郵件進行識別，滿足用戶對電子郵件系統更高的安全需求。2.5.3.4 識別通過郵件的敏感數據泄漏識別通過郵件的敏感數據泄漏敏感信息在通過郵件流轉的時候，泄漏的風險極高?？赡茇攧詹块T把含有敏感財務內容的郵件發給了行政部門人員。員工在離職前，可能會把公司電腦上的文檔發到個人郵件，但是企業卻對其中發送的內容一無所知。上述敏感數據泄漏防不勝防，更糟糕的是損失無法追回。要防止通過郵件的泄密行為，需要通過郵件安全網關來實現。郵件安全解決方案在對于郵件內容進行內容檢查時，包括郵件正文、附件、圖片、收件人、發件人等內容，之后再根據企業的相關安全策略，采取審計、隔離、加密外

85、發、審批流程等防護動作，實現對于郵件的合規化檢查和審計。相關的審計記錄直接記錄在后臺管理平臺中，隨時進行追溯審計；也可以將所有的郵件內容都保存到指定的外置存儲中，在出現風險事件時對于存儲下來的郵件內容進行快速的反查和檢索和定位。能很容易的知道哪些用戶在什么時候，接收了或者外發了敏感數據郵件，發送給誰。2023 云安全聯盟大中華區版權所有422.6 身份識別與訪問管理身份識別與訪問管理2.6.1 什么是身份識別與訪問管理什么是身份識別與訪問管理身份是安全基礎架構的根本要素。隨著企業以及政府單位信息化水平的快速提升，各領域向數字化智能化的加速發展，組織的信息環境越來越復雜，業務場景也更加豐富。人員

86、、設備、應用、API 等實體都需要建立對應的身份，以支持設備與設備、人員與設備、組件與組件、服務與服務以及人員與人員等各種實體間的安全交互。然而，在信息系統的實際建設過程中，各系統的身份管理、認證、授權等機制的常常獨立建設，不僅帶來重復建設、成本提高，而且很容易造成信息孤島，對身份的管理和運維帶來極大的挑戰。在現實世界中，孤兒賬戶、僵尸賬戶以及大量的弱口令和默認口令賬戶都成為黑客攻擊的首選目標。訪問控制是解決安全問題的基礎。通過訪問控制，所有未授權的訪問企圖將被阻斷，而經過授權的訪問則被允許操作。訪問控制的本質是控制何人（主體，Subject）對何物（客體，Object）執行何種操作（訪問操作

87、，Action）的一種方法。其中主體、客體和操作構成了訪問控制的最基本要素。訪問控制規則或策略表述了這些要素間的關系。訪問控制模型用以評估訪問請求是否符合訪問控制策略并做出授權決策。訪問控制方法則是模型與策略的實施指導?，F代的訪問控制技術應具備最小權限原則（The Principle of Least Privilege）和完全仲裁原則（Complete Mediation）。最小權限原則是安全的基本原則之一，其核心思想是僅為訪問主體分配完成其對客體訪問操作所需的最少權限；而完全仲裁原則要求每一個訪問請求都必須經過一個正當有效的授權過程，即該授權控制點不可被繞過。IAM 在 Gartner 中

88、的定義為：Identity and access management(IAM)is thediscipline that enables the right individuals to access the right resources at the righttimes for the right reason。即 IAM 是一個可有效控制人或物等不同類型用戶訪問行為和權限的管理系統，能夠有效控制什么人或物體在什么時間有權限訪問哪些資源。隨著越來越多的組織開啟零信任實踐，對具備統一的身份識別和訪問管理 2023 云安全聯盟大中華區版權所有43的能力要求原來越高。IAM 通過統一的身份管

89、理、認證和授權能力，有效的連接了組織的各類信息系統，相對于傳統解決方案更加的安全與高效。IAM 帶來的信息系統的高效連接、訪問安全性和有效性，使得 XDR 技術有能力以身份為核心進行關聯分析，攻擊溯源等工作，為 XDR 向組織提供更精準的檢測和更及時的響應能力提供了重要支撐。2.6.2 權訪問管理權訪問管理特權賬戶是對關鍵信息資源的訪問身份憑據。顧名思義，特權賬戶通常都具有完整的數據可見性和信息系統的完全控制權。因此，攻擊者一旦掌握了特權賬戶，便有可能發起最終的攻擊并造成難以挽回的損失。特權賬戶是如此的關鍵，在相當多的組織中，許多特權賬戶仍然沒有受到保護，弱口令、默認口令等風險仍然存在。在實際

90、使用中，特權賬戶口令經常會由于出于“運維需要”被普通員工和第三方人員獲取。特權訪問管理 Privileged Access Management(PAM)是通過監視、檢測和防范對關鍵資源的未經授權的特權訪問，幫助組織免受網絡威脅。PAM 使得特權賬戶的使用與所執行的操作變得可見。在早期階段，特權訪問管理(PAM)只涉及保護用于特權賬戶的口令，并逐步發展為堡壘機的形態（如具備使用跳板機或獨立終端軟件進行會話錄制的能力）。如今，PAM 的能力更加豐富，具備了包括多因素身份驗證(MFA)、會話監控、代理和用戶行為分析(UBA)等其他安全能力。PAM 同樣要求具備實現最小權限原則和完全仲裁原則的能力。

91、通過會話監控、代理和用戶行為分析能夠根據用戶職責限制其對系統的能力，實現用戶僅具有其所需的最低訪問權限；而完整的特權賬戶臺賬、自動化的掃描與檢測關鍵資產及特權賬戶，異常訪問請求的偵測與攔截，以及嚴格的口令輪換則是對完全仲裁的保證。特權訪問的濫用是一種網絡安全威脅，可能會對組織造成嚴重的大范圍損害。擴展檢測和響應(XDR)技術與 PAM 的結合是相輔相成的。XDR 通過使用關鍵數據 2023 云安全聯盟大中華區版權所有44和遙測來擴展所有關鍵資產的可見性，增強了完全仲裁的能力。而 PAM 通過對關鍵資源即時的最小訪問授權，以及對特權會話的監視與特權賬戶事件的捕獲，進一步豐富了 XDR 的遙測能力

92、。2.6.3 身份威脅事件檢測與響應身份威脅事件檢測與響應隨組織的信息環境日益復雜，安全邊界愈加模糊。以身份為核心構建安全邊界的思想成為主流安全解決方案關注的重點。相應的，針對身份的攻擊也已經非常普遍。身份威脅檢測和響應（Identity Threat Detection and Response,ITDR）技術變得重要。Gartner 對 ITDR 技術的正式定義為：身份威脅檢測和響應（ITDR）包括保護身份基礎架構免受惡意攻擊的工具和流程。他們可以發現和檢測威脅、評估策略、響應威脅、調查潛在攻擊并根據需要恢復正常操作。IAM 為組織統一的身份識別和訪問管理能力，在簡化了管理難度的同時，也為

93、攻擊者提供了更大的潛在收益。越來越多的攻擊者將目標對準身份基礎設施本身。ITDR 技術將為身份和訪問管理（IAM）部署增加額外的安全層。與很多安全技術相似，身份優先安全也不是個全新概念。隨著攻擊者開始瞄準身份和訪問管理功能并長期潛伏，身份優先安全變得更加緊迫。ITDR 技術通過對身份威脅的檢測和響應為組織的信息系統增加防御層，如：防止端點上的憑據被盜、特權升級，避免 Active Directory 身份泄露等?；旌限k公和向云應用程序的遷移鞏固了身份作為安全邊界的趨勢。ITDR 也成為 XDR 的關鍵組成部分。通過與 XDR 解決方案提供的額外情報相結合，組織的防御者增強了對可疑行為（特別是攻

94、擊早期的可以行為）快速識別和響應的能力，從而有效的避免了對手滲透組織網絡。2.7 蜜罐與沙箱蜜罐與沙箱對于未知威脅，依賴傳統的被動式防御無法有效應對，因為未知威脅的特征或行為是不確定的。那么，被動式防御主導下的攻防對抗往往演變為亡羊補牢式的疲于應對。只有基于未知威脅的攻擊已經發生，甚至已造成破壞，才能分析其行為，進而給出應對方案，為了更好地抵御未知威脅，近年來研究人員逐漸轉向 2023 云安全聯盟大中華區版權所有45不依賴先驗知識的主動防御技術，提出了各種新型的防御檢測思想和技術，例如蜜罐/蜜網，安全沙箱等，引起了業界高度關注。2.7.1 蜜罐蜜罐關于蜜罐，到目前為止還沒有一個完整明確的定義。

95、根據“蜜網項目組”的創始人 Lance Spitzner 給出了一個比較權威的定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并沒有其他的實際作用，所有流人和流出蜜罐的網絡流量都可能預示著掃描、攻擊和攻陷。九十年代初蜜罐概念的提出直到 1998 年左右，“蜜罐”僅僅限于一種安全思想，通常由網絡管理人員應用各種技術手段，通過欺騙黑客達到追蹤的目的。這一階段的蜜罐實質上是一些真正被黑客所攻擊的主機和系統。從 1998 年開始，蜜罐技術引起安全研究人員的注意，并開發出一些專門用于欺騙黑客的開源工具，如 Fred Cohen 所開發的 DTK、Niels Provos 開發的H

96、oneyd 等，同時也出現了像 KFSensor、Specter 等一些商業蜜罐產品。這一階段的蜜罐可以稱為是虛擬蜜罐，即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務，并對黑客的攻擊行為做出回應，從而欺騙黑客。從 2000 年之后，安全研究人員更傾向于使用真實的主機、操作系統和應用程序搭建蜜罐，但與之前不同的是，融入了更強大的數據捕獲、數據分析和數據控制的工具，并且將蜜罐納入到一個完整的蜜網體系中，使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客并對他們的攻擊行為進行分析。蜜罐的核心價值就在于對這些攻擊活動進行監視、檢測和分析。實際上，蜜罐中只有一些虛假的敏感數據，不用于對外的正常服務。

97、所以，它可以是一個網絡、一臺主機、一項服務，也可以是數據庫中的某些無用的數據或者偽裝的用戶名及其弱口令等，因此任何與它交互的行為都可以被認為是攻擊行為，這樣就簡化了檢測過程，它可以部署在各個內部子網或關鍵主機上，檢測來自網絡系統外部和內部的各種攻擊，用一種以檢測、監視和捕獲攻擊行為和保護真實主機為目 2023 云安全聯盟大中華區版權所有46標的誘騙技術。蜜罐 Honeypot 以及蜜罐延伸技術，當前十分流行，它已不是一種新的技術，可以說是一大進步的安全策略。它使我們知道正在被攻擊和攻擊者，以使“黑客”們有所收斂而不敢肆無忌憚。蜜罐的引入，類似于為網絡構建了一道防火溝，使攻擊者掉入溝中，裝入蜜罐

98、以至于失去攻擊力，然后再來個甕中捉鱉。目前蜜罐技術方案主要有兩種：商品型和研究型。商品型主要就是通過使黑客攻擊蜜罐從而減輕網絡的危險。研究型主要就是通過蜜罐來獲得攻擊者的信息，加以研究。實現知己知彼，既了解黑客們的動機，又發現我們所面臨的危險，從而更好地加以防范。無論是商品型還是研究型蜜罐，他們的主要目的是被用來探測、攻擊和潛在的開發利用。蜜罐系統是一個陷阱系統，它通過設置一個具有很多漏洞的系統吸引黑客入侵，收集入侵者信息，為其他安全技術提供更多的知識。蜜罐采用監視器和事件日志兩個工具對訪問蜜罐系統的行為進行監控。由于蜜罐是一個很具有誘惑力的系統，能夠分散黑客的注意力和精力，所以對真正的網絡資

99、源起到保護作用。蜜罐系統主要涉及網絡欺騙技術、數據捕獲技術、數據控制技術、攻擊分析與特征提取等主要技術:網絡欺騙技術：是蜜罐的核心技術，利用各種欺騙手段和安全弱點和系統漏洞，引誘黑客的攻擊。數據捕獲技術：主要目的是盡可能多的捕獲攻擊信息，而不被黑客發現，包括輸入、輸出及鍵盤和屏幕的捕獲。數據控制技術：主要目的是防止黑客將蜜罐作為跳板去攻擊其他系統或危害別的主機，因此必須控制進出系統的數據流量而不被黑客懷疑。攻擊分析與特征提?。好酃尴到y設置一個數據分析模塊，在同一控制臺對收集到的所有信息進行分析、綜合和關聯，完成對蜜罐攻擊信息的分析。2023 云安全聯盟大中華區版權所有47蜜罐技術在攻擊檢測、分

100、析、特征提取、追蹤、取證和預警防御等方面已經取得了比較顯著的成果，展現了廣泛的應用前景，可以作為現有安全機制的有力補充。2.7.2 沙箱沙箱沙箱也叫沙盒，英文 sandbox，在計算機領域指一種虛擬執行技術。沙箱技術源于軟件錯誤隔離技術（software-based fault isolation,SFI)。SFI 是一種利用軟件手段限制不可信模塊對軟件造成危害的技術，其主要思想是隔離，即通過將不可信模塊與軟件系統隔離來保證軟件的魯棒性。在網絡安全領域，沙箱是指一種隔離的運行環境，用以測試不受信任的文件或應用程序等行為的工具，它負責接管病毒調用接口或函數的行為，并會在確認病毒行為后實行回滾機制

101、，讓系統復原。不同于傳統的基于靜態分析和動態分析的惡意代碼防御思路，它可以通過采用諸如虛擬化等技術構造一個隔離的運行環境，并且為其中運行的程序實體提供基本的計算資源抽象，通過對目標程序進行監測分析，準確發現程序中潛藏的非法代碼、病毒攻擊等，進而達到保護系統安全的目的。由于沙箱可以將惡意程序的所有操作都限制在一個完全封閉的計算環境中，并同時記錄可疑程序運行過程的所有操作，所以沙箱的防護性能廣受安全企業和安全專家的青睞。經過幾十年的發展，當前沙箱技術有很多分支，從計算機體系結構的角度出發，沙箱的實現架構分為三種：應用層沙箱、內核層沙箱和混合型沙箱。應用層沙箱主要部署于操作系統的應用層，內核層沙箱位

102、于操作系統的內核層，混合型沙箱介于操作系統的應用層和內核層之間。應用層沙箱系統運行在操作系統的用戶層，該類沙箱可以分成應用程序沙箱和語言類沙箱。其中應用程序沙箱主要通過重定向系統服務來實現沙箱的基本隔離功能。最早的應用程序沙箱用于保證二進制代碼的安全。內核層沙箱駐留在內核的地址空間中，可以方便地借助硬件級別的保護機制 2023 云安全聯盟大中華區版權所有48來實現安全隔離?；旌闲蜕诚涫墙Y合了應用層和內核層沙箱技術的沙箱系統。在該類沙箱中，內核層提供了操作系統的隔離支持及相關的執行機制，系統的剩余部分都在應用層實現。沙箱技術由來已久，但真正產品化也不過是近幾年的事情。網絡沙箱一般都被以 APT

103、產品或威脅溯源分析類產品出現，并且融合了多種檢測技術，通過旁路監聽現網流量，并對流量做協議分析和文件還原，進而采用多種檢測引擎來進行綜合分析。在日常網絡安全監測過程中，所有可疑的軟件或文檔一般都應將其在沙箱中運行一遍，如果發現惡意行為，則可以禁止程序在其常環境中的進一步運行。沙箱的關鍵技術主要包含三方面：虛擬化技術、惡意行為檢測技術和重定向技術。其中基于虛擬機的沙箱主要采用虛擬化技術和惡意行為檢測技術；基于規則的沙箱主要采用重定向技術和惡意行為檢測技術。虛擬化技術是一種資源管理技術，可以將計算機的各種實體資源予以抽象、轉換后呈現，打破了實體結構不可切割的障礙，進行更好組合?；谔摂M機的沙箱基于

104、虛擬化技術構建一種隔離環境，運用記錄機制把相關操作記錄下來，當用戶需要恢復到相應的時間點時，沙箱能夠將所有這些操作撤銷，回溯到該時間點?；谔摂M機完成目標操作。惡意行為檢測技術是沙箱的重要組成部分，其分析過程可分為行為分析和惡意檢測兩個步驟。其中行為分析包含行為捕獲和對程序行為建模兩個步驟。對惡意軟件檢測其主要是利用特征信息進行匹配判定，主要使用特征檢測法和行為監測法。重定向技術是一種可以將各種訪問請求以及請求中的參數重新定位轉移到其他請求或參數的技術，例如，網頁的重定向、域名的重定向以及路由選擇的重定向都是重定向技術的典型應用，重定向可以幫助程序實現自己期望的功能。在 2023 云安全聯盟大

105、中華區版權所有49基于規則的沙箱系統中，系統可以使用相關的重定向技術把對文件的不可靠操作重定向到系統的某一特殊文件內，即相當于限制了程序的操作，以此保護系統文件數據的安全。例如 Hook 技術就是一種典型的重定向技術，其本質就是劫持函數調用，它可以用于網絡攻擊和網絡防御。沙箱技術可以建立一個操作受限的應用程序執行環境，將不受信任的程序放到沙箱中運行來限制其對系統可能造成的破壞。但伴隨著網絡攻擊技術的快速發展，沙箱技術本身還有很多地方需要改進。目前網絡中的惡意軟件更新速度非?？?，人工對沙箱規則庫進行更新難以有效應對沙箱的現實需求，其規則集很可能滯后。未來如何在沙箱的架構中加入智能學習系統，自動化

106、地更新規則集合能夠改進現有沙箱系統性能。針對沙箱防護，攻擊者也在研究相應的逃逸技術。如果惡意軟件的隱蔽性和針對性比較強，如 APT 攻擊，僅從監控到的系統調用信息中獲得的程序行為信息難以完全推理得到惡意程序的真正目的。因此，研究多維度的程序行為監控技術，從不同維度的程序執行信息中獲得程序可能的行為，是改進沙箱防御能力的重要方向。第三章 后端能力第三章 后端能力3.1 威脅情報威脅情報3.1.1 威脅情報的定義及來源威脅情報的定義及來源根據 Gartner 的定義，威脅情報是關于 IT、信息資產面臨現有或醞釀中的威脅的證據性知識，包括：可實施上下文、機制、標示、含義和能夠執行的建議。這些知識可以

107、為威脅的響應、處理決策提供技術支持。威脅情報包括攻擊源信息、攻擊所利用的漏洞、受害者信息，以及戰術、技術和過程等。這些要素為網絡安全態勢感知提供有力的依據。2023 云安全聯盟大中華區版權所有50威脅情報，可以分為內部威脅情報和外部威脅情報。其中，內部威脅情報是在企業日常安全運營過程中，由內部安全專家不斷分析、研判、識別出新的威脅情報指標，日積月累而得。內部威脅情報，是由企業信息架構內生的威脅情報指標數據，最為切合業務本身，在體現企業自身業務脆弱性和潛在威脅方面，具有得天獨厚的優勢。內部威脅情報的原始數據來源于企業部署的安全運營生態體系，包括 EDR、NDR、沙箱、蜜罐、SIEM 等設備和系統

108、。外部威脅情報是指由企業采購的威脅情報產品廠商、在線威脅情報平臺運營商，或開源威脅情報數據源生產的威脅情報數據，一般由文件哈希、域名、IP 和端口、惡意 URL 等幾個常規維度的指標數據構成。此外，外部威脅情報還包括漏洞情報、技戰術情報、重大事件威脅預警信息、APT 組織畫像情報、攻擊者畫像情報等成熟度系數更高的威脅情報。3.1.2 威脅情報增強網絡安全態勢感知威脅情報增強網絡安全態勢感知基于威脅情報的安全態勢感知主要包括三個應用場景：威脅感知、攻擊溯源和態勢評估。在威脅感知場景中，XDR 從終端、流量、沙箱、蜜罐等異構的數據源中采集匯聚多元化安全要素，通過惡意代碼專殺引擎、人工智能引擎、資產

109、畫像分析引擎等全方位多維度的引擎能力，提取高價值高密度的特征要素數據。安全分析專家基于行業深耕累計的威脅建模及研判分析經驗，在以 MITRE ATT&CK 矩陣為代表的攻擊場景模型的指導下，輔以自動化攻擊模擬工具，面向不同威脅場景的具體安全業務需求，設計告警合并規則，對海量特征要素數據進行狩獵建模分析，以“終端”行為打點數據為基點，輔以“流量”威脅特征為佐證，生成高置信度的平臺威脅告警，充分發揮平臺“面”的優勢，彌補“端”類安全產品在“看見”全局，感知全景方面的不足。攻擊溯源場景基于安全專家對攻擊者、攻擊者組織及熱點安全事件的持續觀察與研究，總結各類有效攻擊的意圖、影響，推斷每一次安全事件幕后

110、的背景、機制、指標、攻擊行為的時序關系，提煉總結安全事件模型，并針對不同的模型，分階段分步驟規劃安全防御點和破解方法，通過“縱深防御體系”構建層層壁壘，2023 云安全聯盟大中華區版權所有51逐一瓦解高級別攻擊者因國家背景和巨額財力支撐而擁有的絕對優勢。同時，在常態運營和攻防博弈的過程中，不斷積累最具成效的處置措施，歸納形成處置預案知識庫，通過最佳實戰經驗統籌規劃指揮調度，合理優化安全布防。XDR 平臺進一步探索威脅情報與檢測分析能力的深層次融合，精心設計全面的情報指標檢測點和新生情報數據采集點，打造企業“內生情報循環體系”，結合云端“大網情報知識庫”的全力賦能，利用威脅圖譜技術原生自帶的“相

111、關性”鏈式遞傳效應，真正實現跨系統、跨平臺、跨數據中心、跨地域的攻擊溯源能力。態勢評估場景在威脅感知階段的自動化檢測分析結果和攻擊溯源階段的研判溯源取證結論的基礎上，面向企業信息架構的頂層安全戰略要求，統計細粒度的安全資產臺賬，綜合考量資產的安全敏感級別、各個維度的安全數據、數據來源的置信度，觸發告警的威脅情報指標的成熟度系數以及資產和安全數據的關聯關系，規劃全局風險統計指標體系，設計合理的數學建模分析模型，有理有據地判斷企業業務體系的綜合安全風險分值，實現安全態勢的量化評估，支撐態勢信息的可視化呈現。3.1.3 威脅情報賦能高級威脅識別威脅情報賦能高級威脅識別威脅情報數據源長期持續性地從企業

112、內外部采集威脅特征指標數據，具備長周期多維度的特征，能夠有效提高 APT 等安全事件分析的效率和攻擊檢測率。另一方面，威脅情報具有很強的獨立更新能力，當安全事件的數量增加時，威脅情報也會相應進行更新，為安全管理者提供更新的安全事件信息。通過對威脅情報進行共享，可以在同一組織的領域中獲得針對性的威脅信息，使企業了解行業環境、攻擊者是什么、攻擊者利用技術等信息的策略和防御策略，幫助客戶了解企業本身將遭受的威脅，從而提高安全響應能力。威脅情報在提高處理網絡安全威脅、漏洞管理和風險控制，了解威脅環境以及指定決策效率方面具有極高的應用價值。3.1.4 威脅情報加速安全事件應急響應威脅情報加速安全事件應急

113、響應在安全事件應急響應的過程中，綜合利用全網威脅情報結合威脅圖譜可加快 2023 云安全聯盟大中華區版權所有52事件響應速度。首先，通過情報對碰，基于原始告警生成高置信度的有效告警；然后，基于大數據湖、關聯分析和威脅圖譜技術，基于有效告警，生成安全事件的時間線，同時，將調查任務、調查對象、告警、原始作證數據和處置建議以可視化的方式全方面多維度整合在一起，在多源單點設備統一聯動處置的基礎上，最大程度提升系統的自動化響應能力，解放人力，加快安全事件的應急響應速度，從安全基礎設施和處理能力的根本層面，實現降本增效。3.2 數據湖數據湖根據 XDR 的定義：XDR 打破信息孤島效應，將安全產品整合成一

114、個統一的安全事件檢測與響應平臺。進行全面的遙測數據采集、檢測、智能分析、威脅狩獵和自動化響應。因此 XDR 產品在后端，需要強大的安全大數據平臺支撐海量安全數據采集、存儲、分析、檢索和可視。3.2.1 數據湖的概念數據湖的概念信息技術領域內，數據分析與處理平臺經過多年的發展，大致經歷過四個階段：第一代：以數據庫為代表的技術。數據庫技術誕生于 20 世紀六七十年代，典型的是關系型數據庫。如：Mysql、Oracle、SQL Server、PostgresSQL 等。僅能夠在單機模式下，提供小規模數據（如 GB 級）下的實時查詢分析。第二代：以 Hadoop 為代表的大規模分布式計算和存儲系統。進

115、入二十一世紀之后，隨著互聯網的崛起，數據量爆發式增長。傳統的數據庫方案無力應對大規模數據的存儲和分析，軟硬件成本也指數級增長，再也無法支撐海量的數據統一查詢和分析的需要。2004 年前后，Google 先后發表了 3 篇論文：GFS 分布式文件系統、MapReduce 并行計算框架、BigTable，奠定了大規模分布式計算和存儲系統的框架，開創了大數據時代。隨后開源社區開發 Apache Hadoop 開源大數據方案，風靡全球。2023 云安全聯盟大中華區版權所有53第三代：以 Spark/Flink/Storm 為代表的實時流式計算系統。2010 年之后，以 Hadoop 為代表的大規模分布

116、式計算和存儲系統的弱點暴露的越來越多，比如離線批處理的實效性問題、代價高昂且開發效率低的手寫 MapReduce 作業問題。為了解決這些問題，出現了各種實時計算引擎、以 SQL 為表達式的引擎。如 Spark、Flink、Storm 等。第四代：以數據湖/湖倉一體化為代表的新技術。隨著云原生技術的發展，以數據湖為代表的新技術出現，可以對任意類型數據（結構化和非結構化），任意規模數據（GB、TB、PB、EB 等）進行集中存儲?？梢允孪忍幚?，也可以原樣存儲。支持數據采集、處理、實時分析、ML/AI、挖掘、和數據可視。3.2.2 數據倉庫與數據湖數據倉庫與數據湖1988 年，為解決企業的數據集成問題

117、，IBM 的兩位研究員創造性地提出了一個新的術語：數據倉庫（Data Warehouse）。1992 年，“數據倉庫之父”比爾.恩門，給出了傳統數據倉庫的定義：數據倉庫是一個面向主題的、集成的、相對穩定的、反映歷史變化的數據集合，用于支持管理決策。數據倉庫用于支持決策，面向分析型數據處理，它不同于企業現有的操作型數據庫，操作型數據庫是為了支撐各種業務而建立的，而數據倉庫是對多個異構的數據源有效集成，集成后按照主題進行了重組，并包含歷史數據，而且存放在數據倉庫中的數據一般不再修改。數據倉庫主要處理歷史的、結構化的數據，這些數據必須與數倉事先定義的模型吻合，將它們或者轉化為多維數據，或轉換為報表，

118、滿足高級報表及數據分析需求。數據倉庫通常用于存儲和維護長期數據，可以按需訪問。新型數據倉庫是基于大數據平臺的存儲引擎、存儲格式（Hive、Delta Lake 等），基于維度建模方法建設的結構化數據集合，目的是為所有類型的數據支持提供數據環境。典型的數據倉庫架構：2023 云安全聯盟大中華區版權所有54圖 3-1 典型的數據倉庫架構圖Pentaho 首席技術官 James Dixon 創造了“數據湖”一詞。它把數據集市描述成一瓶水（清洗過的，包裝過的和結構化易于使用的）。而數據湖更像是在自然狀態下的水，數據流從源系統流向這個湖。維基百科對數據湖的定義：是一個存儲企業的各種各樣原始數據的大型倉庫

119、，其中的數據可供存取、處理、分析及傳輸。數據湖是以其自然格式存儲的數據的系統或存儲庫，通常是對象 blob 或文件。數據湖通常是企業所有數據的單一存儲，包括源系統數據的原始副本，以及用于報告、可視化、分析和機器學習等任務的轉換數據。亞馬遜公司對數據湖的定義：數據湖是一個集中式存儲庫，允許您以任意規模存儲所有結構化和非結構化數據。您可以按原樣存儲數據（無需先對數據進行結構化處理），并運行不同類型的分析 從控制面板和可視化到大數據處理、實時分析和機器學習，以指導做出更好的決策。數據湖可以支持任意類型的數據，包括:2023 云安全聯盟大中華區版權所有55 來自關系數據庫（行和列）的結構化數據 半結構

120、化數據（CSV，日志，XML，JSON）非結構化數據（電子郵件，文檔，PDF）二進制數據（圖像，音頻，視頻）。數據湖需要提供足夠用的數據存儲能力，這個存儲保存了一個企業/組織中的所有數據。數據湖可以存儲海量的任意類型的數據 包括結構化、半結構化和非結構化數據。數據湖中的數據是原始數據，是業務數據的完整副本。數據湖中的數據保持了他們在業務系統中原來的樣子。數據湖需要具備完善的數據管理能力（完善的元數據）可以管理各類數據相關的要素，包括數據源、數據格式、連接信息、數據 schema、權限管理等。數據湖需要具備多樣化的分析能力 包括但不限于批處理、流式計算、交互式分析以及機器學習；同時，還需要提供一

121、定的任務調度和管理能力。數據湖需要具備完善的數據生命周期管理能力。不光需要存儲原始數據，還需要能夠保存各類分析處理的中間結果，并完整的記錄數據的分析處理過程，能幫助用戶完整詳細追溯任意一條數據的產生過程。3.2.3 湖倉一體化在安全領域的應用湖倉一體化在安全領域的應用數據湖因為能處理所有類型的數據，如結構化數據、非結構化數據，半結構化數據等，數據的類型依賴于數據源系統的原始數據格式?？梢韵胂髠}庫和湖泊的區別：倉庫存儲著來自特定來源的貨物，而湖泊的水來自河流、溪流和其他來源，并且是原始數據。從數據采集范圍或完整性角度看，數據湖的數據更輕松采集，具有可追溯性。從數據來源類型上看，諸如 Web 服務

122、器日志，傳感器數據，社交網絡活動，文本和圖像等非傳統數據源，也入湖管理，數據內容更全面，而且數據湖通常是在存儲數據之后定義架構，數據湖存儲所有最原始的數據，最細節的數據，使用較少的初始工作并提供更大的靈活性，也消除了數據孤島問題。2023 云安全聯盟大中華區版權所有56湖倉一體是一種新型開放式架構，充分利用數據湖和數據倉庫的優勢，并實現優勢互補。其構建在數據湖低成本的數據存儲架構之上，又繼承了數據倉庫的數據處理和管理功能，打通數據湖和數據倉庫兩套體系，讓數據和計算在湖和倉之間自由流動。作為新一代大數據技術架構，將逐漸取代單一數據湖和數據倉庫架構。湖倉一體化是一種不斷演進中、可擴展的大數據存儲、

123、處理、分析的基礎設施；以數據為導向，實現任意來源、任意速度、任意規模、任意類型數據的全量獲取、全量存儲、多模式處理與全生命周期管理；并通過與各類外部異構數據源的交互集成，支持企業級數據安全應用，典型的湖倉一體化架構如下：圖 3-2 典型的湖倉一體化架構圖湖倉一體化大數據平臺是更加全面、高效、可靠和智能的大數據處理架構。它支持更多的數據類型和計算任務，提供更高效的數據存儲和查詢能力。主要特性包括：任意數據類型的支持：來自關系數據庫（行和列）的結構化數據 半結構化數據（CSV，日志，XML，JSON）非結構化數據（電子郵件，文檔，PDF）二進制數據（圖像，音頻，視頻）。任意數據規模：從 KB、MB

124、、GB、TB、PB、甚至 EB 級數據規模。2023 云安全聯盟大中華區版權所有57 混合數據存儲：支持同時支持行存儲和列存儲，以適應數據處理和分析任務的多樣性。多場景支持：公有云、私有云、IDC 等環境，計算資源支持硬件服務器、虛擬機、容器。存儲支持本地磁盤、對象存儲等。高性能：可以實現大規模數據存儲和計算的分布式處理，滿足不同應用場景的高并發、高擴展性等需求。低成本：能夠實現高數據壓縮比，能夠利用廉價的硬件，實現低成本。實時分析：支持即時查詢能力，支持對大數據集的快速交互式查詢和分析。彈性擴展：具備彈性擴展的能力，可以根據業務需求自動擴展計算和存儲資源。智能分析：除了支持關聯分析、聚合統計

125、、特征匹配外，還提供機器學習/AI 平臺支持智能分析計算和數據挖掘。安全可靠：提供更細粒度的數據訪問控制和保護機制，以確保數據的安全性和可靠性。3.3 AI 引擎分析引擎分析3.3.1 網絡安全檢測現狀網絡安全檢測現狀在新一代網絡安全威脅面前，傳統基于特征、簽名檢測技術的統一威脅管理（UTM）、下一代防火墻（NGFW）、入侵檢測/防御系統（IDS/IPS）、防病毒（AV）等安全產品并不能使組織安全得到充分保護，傳統的防毒墻、防火墻、IPS 等安全設備已無法完全滿足企業的安全防護要求。2023 云安全聯盟大中華區版權所有58基于特征檢測和行為檢測的傳統威脅檢測手段已經越來越難以應對新型的安全攻擊

126、手法，難以識別安全攻擊事件。且近年來隨著人工智能技術的發展，攻擊方在使用掃描、利用、破壞等攻擊工具中對人工智能技術的應用，進一步加劇了對目標系統的破壞、縮短了攻擊進程、隱藏了攻擊特征，對新技術背景下的安全威脅檢測手段提出了更大挑戰。3.3.2 AI 在網絡安全中的作用在網絡安全中的作用AI 概述概述人工智能（Artificial Intelligence，AI），它是研究、開發用于模擬、延伸和擴展的智能的理論、方法、技術及應用系統的一門新的技術科學。機器學習是人工智能的一個子集，其使用算法自動學習和改進經驗，而無需明確編程。其主要用于網絡安全，有兩個目的：異常檢測:機器學習可用于自動檢測異常，

127、例如異常的用戶行為或意外的網絡活動，這些異?？赡鼙砻鞔嬖诎踩{。AI 的作用的作用傳統的基于特征的檢測手段，如 IDS 或殺毒軟件無法及時有效的應對新產生或手段高明的網絡攻擊，而人工智能所擅長的圖像識別、模式識別、自然語音處理等技術，可以落地到網絡安全檢測領域當中，具備對全新威脅的適應及預測能力，可以更加智能、精準的發現 APT 等未知威脅。通過內置人工智能模型到 NDR 系統，分別對惡意文件變種、惡意加密流量、暗網流量、翻墻代理、VPN、DNS/ICMP/HTTP 隱蔽隧道、WEB 攻擊等進行檢測，有效彌補了傳統檢測手段的不足，結合多種檢測技術及威脅情報實現對網絡威脅的交叉檢測和交叉驗證、

128、關聯分析、溯源取證等。行為分析和 ML/AI 直接對攻擊者行為進行建模，并以手術般的精度檢測高級和持續性攻擊。它們避免了大量低保真和無趣的警報，因為它們不檢測異常，而是檢測主動攻擊。它們為攻擊生 2023 云安全聯盟大中華區版權所有59命周期的多個階段提供檢測范圍，包括持久性、特權升級、防御規避、憑證訪問、發現、橫向移動、數據收集、C2 和滲漏。有效的 AI 驅動的網絡檢測和響應平臺通過收集和存儲正確的元數據，并使用 AI 衍生的檢測模型安全洞察力去豐富它。人工智能的有效使用可以推動實時檢測攻擊者并執行決定性的事件調查，提高整個安全運營的可見性和生產力。AI 的優勢的優勢自動化：AI 可以通過

129、持續監控和分析網絡流量來幫助自動執行信息安全的各個方面。減少人為錯誤：AI 可以通過每次都遵循相同流程的自動化功能和算法來消除數據處理、分析和其他任務中的人為錯誤。消除重復任務：AI 可用于執行重復任務，從而讓人力資源能夠空出手來解決影響較大的問題?？焖贉蚀_：與人類相比，AI 可以更快地處理更多信息，從而查找模式并發現人類可能錯過的數據關系。無限可用性：AI 不受時段、休息需求或其他人類負擔的限制。在云端運行時，AI 和機器學習可以“始終開啟”，從而持續處理分配的任務。更快的研發速度：快速分析大量數據的能力可以加快獲得研發突破的速度。3.3.3 AI 在網絡安全領域中的應用在網絡安全領域中的應

130、用3.3.3.1 文件基因圖譜檢測文件基因圖譜檢測基于人工智能檢測技術，結合機器學習/深度學習、圖像分析技術，將惡意代碼映射為灰度圖像，通過惡意代碼家族灰度圖像集合訓練卷積神經元網絡（CNN）深度學習模型，建立檢測模型，利用檢測模型對惡意代碼及其變種進行家族檢測?；诨叶葓D像映射的方法可以有效的避免反追蹤、反逆向邏輯以及其 2023 云安全聯盟大中華區版權所有60他常用的代碼混淆策略。而且，該方法能夠有效地檢測使用特定封裝工具打包（加殼）的惡意代碼。在一定程度上解決了特征檢測的人工提取困難、行為檢測的時間開銷大且誤報高等問題。對于惡意代碼變種和加殼文件具有優異的檢測能力，且具有快速、準確率高、

131、誤報率低、跨平臺檢測等特點。圖 3-3 惡意代碼變種如圖 1 所示，上述圖片都是某個惡意軟件的多個變種，但各自的 MD5 值都不一樣，現有的基于特征的檢測技術如果未曾更新到最新特征庫，就無法檢測和識別。2023 云安全聯盟大中華區版權所有61圖 3-4 基因圖譜檢測如圖 2 所示，采用基因檢測技術，可以利用惡意代碼在變種過程中的遺傳學特征，即基因在遺傳過程中的復制特性及部分基因突變特性，對惡意代碼及其變種進行檢測。3.3.3.2 惡意加密流量檢測惡意加密流量檢測從大量惡意軟件監測分析的情況來看，越來越多的惡意軟件采用了 TLS/SSL加密方法進行通信。在網絡流量使用 TLS 加密后，使得威脅檢

132、測變得更加困難，傳統的檢測方式不能很有效的檢出加密數據是否為惡意流量。人工智能用于加密流量安全檢測將是一種新技術手段，一種基于集成學習的惡意加密流量類型識別方法。數據收集過程，首先針對惡意加密收集難的問題，綜合應用網絡資源下載、沙箱虛擬執行、自有威脅情報收集、商業合作真實流量采集和處理等多種手段收集的惡意加密通信樣本數據，對采集的數據采取多 AV 標記、威脅情報標記和進一步使用聚類算法將相似行為的惡意軟件家族聚合的家族簇作為新的類型，從而避免惡意軟件家族數量多且變種更新快導致類型識別不準確的問題。訓練數據收集，首先需要下載黑樣本。下載的樣本來源包括但不限于：stratosphereips 黑白

133、樣本、lastline、CICIDS 樣本、ADFA-NB15-Datasets 樣本、netresec樣本、VT 等。整體數據收集過程如圖 1。圖 3-5 惡意加密流量采集流程 2023 云安全聯盟大中華區版權所有62AI 模型特征提取涉及的大類特征包括流元數據特征、分組長度和時間序列特征、字節分布特征、未加密的 TLS 頭信息特征、關聯的 DNS 數據特征等。模型訓練過程，用機器學習中的集成學習算法先訓練一個二分類模型識別加密流量是否為惡意，再訓練一個多分類模型識別產生惡意加密通信的惡意軟件類型，并對識別的結果進行威脅情報、JA3/JA3S 被動指紋、證書指紋和一千余條惡意加密證書檢測規則

134、交叉驗證，根據驗證結果進行告警自適應參數調優降誤報，最后進一步的 JARM 指紋主動取證，獲得比單一分類模型更好的泛化能力同時提升惡意軟件類型識別的準確性，經過 AI 算法建立檢測模型，實現對同類惡意加密流量在不解密情況下進行有效的識別與檢測。模型應用于現網流量檢測過程中，針對檢測結果持續從準確性和誤報率上進行優化。通過域名、JA3/JA3S 指紋、Mercury 指紋等白名單方式過濾，通過 IP 訪問行為、周期內告警數量、證書過期日期、域名和 IP 關聯關系等行為分析方法進行白流量過濾，通過行為分析和 AI 模型檢測相結合提升整體檢測效果。3.3.3.3 隱蔽隧道檢測隱蔽隧道檢測DNS 隱蔽

135、隧道隱蔽隧道DNS Tunneling，是隱蔽信道的一種，通過將其他協議或數據封裝在 DNS 協議中傳輸建立通信。DNS 隧道木馬帶來的威脅很大,而且 DNS 隧道木馬難以得到有效的監控.一方面是因為 DNS 報文具有天然的穿透防火墻的能力;另一方面,目前的殺毒軟件、IDS 等安全策略很少對 DNS 報文進行有效的監控管理.除了上面已經提到的 DNS 協議使用示例之外，還存在許多 DNS 工具，它們可以使攻擊者通過 DNS 協議創建隱蔽通道，傳統的技術檢測手段很難發現 DNS 的隱蔽隧道通信行為。通過滲透環境搭建收集黑數據和白數據，生成用于分類 DNS 隧道和正常 DNS數據的樣本集合，基于機

136、器學習技術的 DNS 隱蔽隧道檢測方法，從 DNS 會話的視角對比分析 DNS 隱蔽隧道通信行為與正常 DNS 解析行為的差異性，提取 DNS 2023 云安全聯盟大中華區版權所有63隱蔽隧道識別特征向量（DNS 隧道空間、回應包的長度、qname 中數字字符占比等），建立 DNS 隱蔽隧道檢測模型構建 DNS 隱蔽隧道檢測模型。在現網中使用 DNS 隱蔽隧道檢測模型對網絡流量進行 DNS 隱蔽隧道檢測。ICMP 隱蔽隧道隱蔽隧道隱蔽通道利用了網絡協議的特點來秘密進行數據的傳輸,嚴重威脅信息安全.大多數 ICMP 流量可以躲避防火墻等網絡設備的檢測,通常 ICMP 隧道技術采用ICMP 的 I

137、CMP_ECHO 和 ICMP_ECHOREPLY 兩種報文，把數據隱藏在 ICMP 報文的數據部分，利用 ping 命令建立隱蔽通道。由于防火墻對 ICMP 協議開放，惡意攻擊者常會利用 ICMP 協議進行非法通信。ICMP 隱蔽隧道人工智能檢測技術，通過搭建 ICMP 隧道流量捕獲環境，使用ICMP 隧道工具集合進行 ICMP 隧道數據傳輸，基于窗口的 ICMP 隱蔽隧道特征向量（pktlenMax、payload_n-gram-213、pktlenEnt 等）進行訓練建立 ICMP 隱蔽隧道檢測模型，在現網中，獲取 ICMP 隱蔽隧道特征向量，使用 AI 檢測模型對網絡流量進行 ICMP

138、 隱蔽隧道通訊檢測。HTTP 隱蔽隧道隱蔽隧道HTTP 隧道多用于在受限網絡連接的條件下在兩臺計算機之間創建網絡鏈接，用于繞過 IDS、Firewall 一類的安全設備限制，實現基于 HTTP 協議的通信，常常用于內網里面的端口轉發與流量代理，HTTP 通信流量往往與正常流量差異性不大，一般通過特征識別不容易被檢測出來，HTTP 隧道多用于建立遠程桌面和 ssh 連接，負載內容基本沒有可讀性，傳統的特征檢測技術很難對 HTTP 隧道通訊進行檢測?；?AI 的 HTTP 隱蔽隧道檢測技術通過提取原始流量 HTTP 流量特征，規則引擎用來打標和清洗過濾 HTTP 流量，經標注的正常流量和 HTT

139、P 隧道流量分別經過自動化特征提取引擎，提取出重要特征向量，根據特征向量建立 HTTP 隱蔽隧道流量識別模型，在現網中，獲取 HTTP 隱蔽隧道特征，建立動態自學習 AI 2023 云安全聯盟大中華區版權所有64檢測模型，通過集成機器學習技術實現高準確性和高召回率的隧道檢測模型可對HTTP 隧道進行有效檢測與分析。3.4 高級威脅分析引擎高級威脅分析引擎數字中國戰略不斷深化演進，加速 IT 行業推進業務創新和產業鏈變革。國家政府、金融、能源等重點企事業單位和關鍵基礎設施全面聯網，城市信息化程度創下歷史新高。隨著網絡空間信息價值密度持續高漲，國家級對抗力量開始入場，高級威脅和未知攻擊時刻危及著國

140、計民生。網絡空間安全成為我國數字化轉型的關鍵要素，已然上升到國家戰略層面。高級持續威脅和復雜未知攻擊的檢測能力，是現代安全運營體系的核心評價指標之一。3.4.1 高級威脅的特征及挑戰高級威脅的特征及挑戰高級威脅針對攻擊目標的業務架構特點，從資產、身份、權限等多維安全切面偵察目標系統的脆弱點，綜合利用社工、零日漏洞、釣魚、后門等多元攻擊向量，有規劃、有目的地設計每一個入侵、滲透步驟，分階段逐一規避目標系統的安全防御控制點，最終達成竊數、破壞和長期潛伏的目的。不同于傳統網絡攻擊，高級威脅具有針對性強、組織嚴密、持續時間長、高隱蔽性和間接攻擊的顯著特征，攻擊鏈路每一環所采取的步態行為往往與常規的網管

141、和安管操作行為極其相似，輔以各類“毀蹤滅跡”的技術手段，成功隱形于信息化系統的日常運營流程。安全產品孤島之間的視野裂隙，是高級威脅主體“穿透”防御體系的首要著力點。各家安全產品采用異構的技術棧，對安全要素的定義和規約也不統一，最終形成的安全體系防御能力呈現片段化、不連續的點狀散列模式，為高級威脅主體設計規避方案提供了可趁之機。3.4.2 失陷指標與攻擊指標失陷指標與攻擊指標防守的要點，是巧妙地為對手設置屏障，以拖延時間周期的方式降低攻擊效力。識別威脅的指標體系，是防御能力的重要保障。整合全球威脅情報、資產、2023 云安全聯盟大中華區版權所有65漏洞、暴露面信息等多元威脅數據和持續更新的全網

142、APT 技戰法，從終端、網絡、云端、移動端、郵件、資產、瀏覽器、蜜罐等多個維度，深度挖掘情報大數據，提取全面且高度可識別的靜態和動態威脅特征指標，有助于在信息化系統內部構建可靠的安全防護濾網。早期，業界廣泛普及應用的失陷指標（Indicator of Compromise，IoC），只是簡單提取惡意樣本文件哈希值、威脅情報 IP 地址和域名，很容易被威脅主體繞過。隨著技術不斷演進，安全策略研究人員和計算機電子取證專家，開始致力于從攻擊事件在主機側或網絡側留下的痕跡中提取指標參數，利用多元參數的邏輯組合來定義威脅。受限于商業解決方案的問題域，這類增強的 IoC 也僅限于識別高級威脅攻擊鏈路上某一

143、環節的威脅特征，譬如：在失陷主機上落盤的惡意樣本，或在 C2 通信中利用的某種隱蔽信道協議。擁有豐富資金和資源支持的高級威脅主體仍然可以在攻擊時效內研究新的規避方法，繞過“孤島式”安全防御控制點。在傳統失陷指標（IoC）的基礎上，有效融合多源擴展安全數據，利用關聯分析技術，對攻擊從偵察到初始訪問，再到數據滲漏或勒索加密的全過程進行安全事件畫像建模；針對全網威脅情報中積累的每一個攻擊技戰術，基于以 MITREATT&CK 矩陣為代表的攻擊模型，構建相應的攻擊指標（IoA），能夠從根本上解決當前以異構安全技術棧為基礎構建的安全防御體系中原生固有存在著的安全視野不連續的核心缺陷。3.4.3 高級威脅

144、的檢測與識別高級威脅的檢測與識別縱深防御和安全視野，是高級威脅檢測與識別的關鍵。打破“安全數據孤島”，落地全局全域安全視野，對現有安全防御體系賦予“上帝視角”，通過增強大數據、關聯分析、智能分析、異常行為分析、未知惡意樣本深度沙箱分析、威脅圖譜、全網威脅情報賦能等新興技術，實現有效的高級威脅檢測、響應和線性預測能力。同時，XDR 以終端檢測與響應為基礎，從用戶網絡中已部署的安全設備中獲取富化的安全遙測數據，擴展安全視野和檢測能力，提升安全事件應急響應速度，同時避免引入更多復雜性。2023 云安全聯盟大中華區版權所有66在技術實現層面，XDR 解決方案重點聚焦終端、流量，從內存、磁盤、流量數據包

145、、代碼、日志等多維數據源提取威脅指標數據和上下文證據，面向具體業務場景，擇優選取基于異?；蚧谀Ｊ狡ヅ涞臋z測方法，利用監督學習或無監督學習等人工智能技術，建立目標系統的安全行為基線，高效識別高級威脅。3.4.4 高級威脅的調查與響應高級威脅的調查與響應XDR 解決方案引入威脅圖譜，全面增強系統的自動化能力，解放安全專家的人力投入。威脅圖譜技術，綜合應用圖分析和機器學習算法，有效建立主機、用戶、內外網 IP、域名、文件、進程等實體之間的關系和行為，提供客戶業務環境所有端點、網絡、用戶、應用數據的完全實時可見性和洞察力。針對具體的調查實體對象，威脅圖譜全維度可視化地展示其訪問域名、訪問 IP、訪問

146、用戶、關聯漏洞、關聯樣本、代碼執行行為、訪問行為等開展調查任務所需的多元上下文要素及要素間的時序關系。沒有威脅圖譜之前，不同實體對象的信息是孤立的，通過威脅圖譜所有實體信息及實體間的關系都呈現在一個統一視圖和操作界面上，安全專家可以非常方便的基于實體的上下文、事件的關系來進行攻擊溯源和研判，快速判定攻擊源、優先級和影響面，從而進行響應處置。3.5 無代碼自動化編排劇本無代碼自動化編排劇本3.5.1 SOAR 技術簡介技術簡介在 XDR 解決方案中，SOAR 是一個具備智能協作的安全運營系統，而這其中最核心的是安全編排與自動化，充分使用自動化技術，將人、技術和流程高度協同起來，在幫助企業和組織將

147、繁雜的安全運行（尤其是安全響應）過程梳理為任務和劇本，并提供定制化的流程和控制，實現快速編排響應策略。解決安全運行響應人員匱乏、安全告警多、安全事件響應不及時、重復性運維、等難以度量的問題。2023 云安全聯盟大中華區版權所有673.5.2 安全編排與自動化技術安全編排與自動化技術安全編排與自動化是 SOAR 的核心能力和基本能力，核心是劇本庫和應用庫（動作庫），這些庫可以被安全分析、告警管理和案件管理等功能隨時調用。通過該功能，能夠真正實現 SOAR 將不同的系統協同聯動起來的目標。3.5.2.1 安全編排自動化安全編排自動化安全編排(Orchestration)的過程就是將團隊、流程、技術

148、和工具等各種要素以流程為綱整合到一起以服務于安全運營的過程，即將不同設備或組件能力通過可編程接口（API）和人工檢查點，按照業務訴求編排成有序的執行邏輯塊，創建手動或自動化執行的工作流步驟，讓機器按照編排好的流程執行相應的工作任務。另外，安全編排也適用于識別、防護、檢測、響應、恢復等各個環節，通過減少人的參與來降低人為錯誤因素，以提升編排的工作效率。無論是自動化的編排，還是人工的編排，都可以通過劇本(playbook)來進行表述，而支撐劇本執行的引擎通常是工作流引擎，通過將預防、調查、緩解、補救等步驟形成一個或多個行動方針劇本，自動或手動協同操作工作流，將重復的、常規的、確定的部分交給機器完成

149、，將新的、復雜的、不確定的交給人工研判處置，并分解運營流程中的任務，抽象成不同類型的自動或手動觸發的劇本。例如針對惡意文件處置可編排如下劇本：當檢測到某惡意樣本，觸發創建的劇本后，搜集主機資產范圍搜索相似樣本文件，并上傳，將分析統計結果傳送安全運營團隊，供其審核。運營團隊研判之后，調用“刪除文件”劇本，自動化地下發操作指令，清除惡意文件，在檢測引擎劇本的識別下，生成安全事件，隨著工作流的推進，其劇本動作也將有序執行。系統通常內置通用的漏洞或攻擊事件響應、釣魚郵件處置、主機異常登錄場景、病毒告警事件、WebShell 檢測告警、DNS 異常日志、重大安全事件告警、復盤會議等通用劇本模板，為了方便

150、管理人員維護劇本，內置可視化劇本編輯器，通過傻瓜式拖拽方式進行選擇的可擴展安全能力編排，實現動作的選擇、特定動 2023 云安全聯盟大中華區版權所有68作參數的設置，安全能力的編排的同時支持網絡設備、安全設備的配置與運維等任務，方便管理人員維護劇本，降低安全配置工作。3.5.2.2 安全流程自動化安全流程自動化安全自動化(Automation)特指自動化的編排過程，也就是一種特殊的編排。安全過程自動化不等于安全編排，編排本身不是自動化，如果編排的過程完全都是依賴各個相關系統的 API 實現的，那么它就可以稱為是可以自動化執行的，其核心目標就是為了加速安全流程的標準化、自動化、智能化。因此，要想

151、發揮SOAR 的核心作用，必先梳理出組織自身的標準安全操作流程和規程。常見的安全業務流程自動化框架如圖 1 所示：圖 3-6 安全業務流程自動化基于自動化技術的安全運營，將重復的信息安全工作自動化運轉起來，通過SOAR 實現不同的系統協同聯動起來，利用技術去監測數據資產以及信息資產中存在的安全風險，再利用標準化流程分析信息輸入層、數據處理層、處置響應層的安全風險，持續優化整個過程，達到人、技術、流程一體化。并具備統計、展示與工作流編排、響應過程相關數據的能力，能夠生成相關數據報表，維度包括：2023 云安全聯盟大中華區版權所有69工作流、用戶、事件、情報等。劇本的編輯維護，應用和動作的管理，可

152、以被安全分析、告警管理和案件管理等功能隨時調用。3.5.3“掛圖作戰掛圖作戰”核心策略核心策略“掛圖作戰”是一種在網絡安全領域中應用的防御策略和戰術思想，其核心思想是將攻擊者的攻擊路徑和影響范圍以圖形化方式展現，采用“行為力導圖”“攻擊路徑圖”“對抗指導圖”等圖形化方式作為核心策略。幫助防守方更直觀、全面地理解攻擊者的行為以及對組織資產的影響，從而更有效地進行威脅檢測、分析、響應等動作。3.5.3.1 關聯案例關聯案例網絡安全攻擊是由一系列攻擊技術組成的，因此需要將所有相關聯的攻擊路徑上的安全事件合并，才能更全面清晰地分析和處置。通過自定義歸并規則，將安全事件合并形成案例，還原整個攻擊路徑，并

153、抽出關注的實體，直觀地并完整地共享至所有的安全團隊。如果攻擊路徑不完整，可以通過手動搜索缺失的日志，并補全到案例中。3.5.3.2 生成攻擊溯源圖生成攻擊溯源圖用易于理解的方式表示通過系統實現安全目標的所有路徑，生成攻擊溯源圖，確定事件從哪里開始、經過哪些節點，最終導致問題的產生。每個實體都將展示詳細分析頁面，如文件路徑、惡意軟件類型、危險等級、處置結果等，建立時間線，將事件按照發生順序排列，以便安全團隊追蹤事件的發展過程?！皩怪笇D”結合實體、人員、要求、階段等信息，為安全作戰團隊，提供安全進程指導，幫助團隊更快的完成調研、分析、研判、處置、總結的全流程分析過程。2023 云安全聯盟大中華

154、區版權所有703.5.3.3 識別異常識別異常通過攻擊溯源圖標識的可疑或失陷資產，查看預分析的情報信息，如識別威脅情報提供的已知攻擊者和威脅源、EDR 提供的終端惡意軟件感染或異常進程調用、NDR 提供的網絡流量揭示異常的連接和異常數據傳輸。如果預分析的情報信息還不足以做出研判，可以選中關鍵資產，通過機器學習、預置的劇本或手動分析數據流中的異常情況。通過“掛圖作戰”策略的應用，團隊可以更加高效、直觀地處理網絡攻擊風險，更好的保護其重要資產。3.5.3.4 安全能力集成安全能力集成安全設施接口化是 SOAR 得以落地的重要前提條件，SOAR 往往通過應用(App)和動作(Action)來實現可編

155、排能力和接口調用能力。因此，對要處理的任務，事件，創建各種類型的 APP，是安全能力集成的基礎，是編排化安全劇本的基本元素。應用的集成過程通常包括開發、調試、打包、導入四個階段。開發：包括應用配置定義、應用編碼實現、和應用動作結果渲染；調試：在測試環境中對開發好的應用進行調試；打包：按照應用集成框架的開發要求，對開發調試完畢應用進行打包；導入：將應用導入系統，并納入系統的應用庫進行統一管理。借助 SOAR 內置的應用管理功能，可以將所有與外部安全設施和運營相關的各種系統和功能映射為內部可識別的應用，友好便捷地集成各類安全工具和產品。應用支持相關開箱即用的應用，支持自定義開發及上傳，提供框架便于

156、用戶自開發，應用容量不設上限，且在維保期間可根據用戶需求定制化開發新應用。XDR 通過安全編排與自動化能力，支持基于應用工作流來拉通各種安全過程與規程，從而為安全運營人員提供機器協助的解決方案。這些過程和規程可以通過劇本來編排（通過與其它技術的集成）并自動執行以達成預期結果，可實現對突發網絡安全事件、特定網絡攻擊等進行應急預案的制定，實現對突發事件的快 2023 云安全聯盟大中華區版權所有71速響應處置。隨著高等級的安全應急響應活動越來越頻繁，專業化、系統化、自動化等能力越來越關鍵，SOAR 技術也將會成為 XDR 網絡安全應急響應解決方案的一個新常態。3.5.3.5 威脅情報關聯分析威脅情報

157、關聯分析威脅情報關鍵能力是基于大數據關聯分析系統異常狀態，以及控制依賴、數據依賴圖等多源數據關聯方法，對異常流量和攻擊行為進行全面檢測定位及追蹤，追蹤溯源技術融合了安全威脅并發追蹤溯源技術，通過獲取攻擊源的信息、設備信息、各層數據流信息，對捕獲的數據進行清洗、挖掘與存儲，識別相關業務，形成高質量的自有威脅情報庫、知識庫，并結合外部情報，提供快速查詢與獲取威脅情報能力。形成的威脅情報中心如圖 3 所示：圖 3-7 威脅情報中心通過提前預防已發生在其他地點的攻擊威脅，為組織和企業的安全管理提供縱深防御能力。由于威脅是不斷變化的，通過動態的手段來對抗攻擊者，平臺進行線索研判，攻擊定性和關聯分析追溯威

158、脅源頭，有效預測威脅的發生并及時預警。解決因高級威脅或未知威脅導致漏洞利用、主機失陷、病毒感染、錢財勒索等威脅定位問題，以威脅情報為驅動，賦能安全運營、安全產品、安全平臺，建立具備威脅溯源、關聯分析、攻擊畫像、事件通告、共享賦能等情報管理能力的情報中心。2023 云安全聯盟大中華區版權所有723.5.3.6 基于大數據攻擊溯源分析管理基于大數據攻擊溯源分析管理攻擊溯源本質上是在大量的正常數據中尋找出攻擊者在攻擊過程中留下的痕跡，并通過這部分痕跡回溯攻擊者，即為了應對外部高級可持續威脅（AdvancedPersistent Threat，APT）攻擊者和內部利益驅動的員工威脅而提出的一種解決方案

159、。由于 APT 攻擊往往會長時間潛伏，而少量攻擊數據則是伴隨海量的業務數據共同產生的，例如每秒幾千兆字節數據的業務流量場景，真實的攻擊行為數據只有不到幾千字節的數據，在這種情況下，利用大數據技術為快速完成攻擊溯源帶來了新的可能。網絡攻擊溯源一般分為三個部分，首先，需要通過安全設備告警、日志和流量分析、服務資源異常等對網絡攻擊進行捕獲，發現攻擊；其次，利用已有的 IP定位、惡意樣本分析、ID 追蹤等技術溯源反制收集攻擊者信息；最后，通過對攻擊路徑的繪制和攻擊者身份信息的歸類形成攻擊者畫像，完成整個網絡攻擊的溯源。大數據技術可以收集大量的異構數據，并對這些數據進行清洗，提煉出有價值的攻擊痕跡，再通

160、過數據分析和模型關聯將這些信息串聯起來形成攻擊路徑，通過攻擊路徑的反溯找到攻擊入口、還原攻擊過程?；诖髷祿羲菰纯傮w框架如圖 4 所示：圖 3-8 攻擊溯源總體框架 2023 云安全聯盟大中華區版權所有73數據集層數據集層數據是攻擊溯源的基礎，整個 APT 攻擊過程可能覆蓋系統漏洞發現，包括惡意代碼植入、遠程控制、數據泄露等過程，攻擊手段繁雜，收集數據的豐富程度決定了溯源能力的高低，如利用系統漏洞攻擊時，系統日志、應用日志、網絡入侵檢測設備均可監控到部分攻擊線索，可完整地繪制一條攻擊鏈。如果主機執行惡意程序等信息則會留下惡意程序執行后的痕跡。利用不同類別的數據集構建一個大的異構數據集，實現

161、大范圍地涵蓋攻擊溯源所需的數據，包括以下數據集：網絡側數據集：包含威脅監測設備的攻擊日志、入侵防御系統、應用防火墻等網絡安全設備日志。主機側數據集：包含業務訪問記錄、系統日志、系統進程監控數據等。輔助佐證數據集：收集威脅情報作為輔助佐證數據集。數據清洗分析層數據清洗分析層分析層的核心目標是完成有價值的數據的初步提煉，為后續的數據分析提供結構化的數據。對數據進行分類、歸并和標簽化處理，提煉有價值的數據，獲取的數據主要涉及結構化、半結構化和非結構化。以防火墻記錄的連接關系日志和服務端記錄的業務訪問記錄為例，兩種數據都是訪問記錄，針對此類記錄需要提取公共信息和必要的附加信息，并針對冗余數據進行去重，

162、避免冗余信息干擾。使不同來源的同類數據在同一框架規范下進行異構數據清理、去重、歸一、索引建設等步驟，形成高質量、有價值的歸納數據。全景關聯溯源層全景關聯溯源層溯源模型的構建是自動化溯源的基礎，圍繞著溯源模型進行分析處理，形成自動化溯源調度工作流，在數據清洗分析層基礎上進行單場景溯源、全場景關聯。完成單場景溯源模型的準備后，再通過 ATT&CK 模型進行全場景關聯溯源，ATT&CK 模型由 MITRE 公司提出，它是一個站在攻擊者視角來描述攻擊中各階段 2023 云安全聯盟大中華區版權所有74用到的技術模型，將攻擊劃分為戰術和技術兩部分，該模型涵蓋了網絡側數據的映射和主機側數據的映射，按照攻擊者

163、的思路即可梳理出一個完整的攻擊過程全景圖。3.5.4 報告管理報告管理報告管理提供了報告模板和事件、任務關聯生成自定義報告的能力，旨在進一步簡化過程，通常內置報告編輯器，提供編輯報告的素材，包括事件或任務基本信息。報告的模板化與智能化不僅使工作變得更簡單，還消除了對手工生成的度量的需要。3.5.5.1 報告模板報告模板例如事件或任務處置過程中的調用的劇本、應用和處置模型等處置信息，以及證據和結論等痕跡信息，方便用戶進行報告的在線編寫。根據報告匯報對象，可導入報告模板進行編輯，報告編寫完成后，支持報告提交和審核操作，同時報告的審批路徑支持自定義配置審核流程和審核人，審核時，可以駁回到任意一級，審

164、核通過的報告支持分享給多人和導出操作。也可通過報告列表中查看各報告的發生時間、提交時間、審核時間、報告概述、報告附件、審核狀態、報告結果等信息。3.5.5.2 事件和任務關聯報告事件和任務關聯報告對于等級較高或新型的告警事件，可升級到團隊運營進行協同處置，可實時溝通和處置任務。事件和任務響應中的各方以聊天的方式進行實時溝通與處置，支持添加、移除成員，以及設置成員在各任務運營群中的角色。系統自動記錄協作處理中劇本、應用和任務的執行結果，以及整個任務處置過程的聊天記錄、證據、結論和星標信息，便于實時查看和復盤。處置完成的事件和任務，能在線編輯報告，系統提供編輯報告的素材，如事件和任務處置過程中的調

165、用的劇本/應用，證據和結論等。2023 云安全聯盟大中華區版權所有753.6 API 中心中心3.6.1 背景介紹背景介紹在當代安全建設框架中，客戶環境往往使用了多個廠商、不同類型的安全設備來完成日常運維任務。在當前企業環境中，這項任務往往通過人工完成，完成整個任務耗時耗力。部分客戶可能已經部署過了 SOAR 系統，但是由于各個廠商產品上的差異，集成的工作往往比較繁重，效率較低，而且面對各版本的變化不能很好地進行響應，存在大量重復開發工作。在此，在已經來臨的 XDR 時代，任何安全產品，都需要對外提供 API 來輸出自己的業務能力。一個沒有 API 的產品是一個停留在上一個時代的產品。在目前已

166、有的安全運維場景中，常規的 API 需求往往有以下類型：聯動響應類這一類型的 API 接口是在 XDR 發展初期比較常見的。比如通過入侵檢測設備發現外部攻擊 IP 聯動防火墻進行封堵攔截，將已失陷主機從內網中隔離，向被感染了木馬的主機部署專殺工具進行清理，向殺軟下發新發現惡意軟件的哈希值等。樣本分析類在安全運維過程中，往往會有機會獲得一些文件或者網絡包樣本。用戶往往想知道這些樣本是否有問題，或者現有的安全設備是否能夠檢測。如果用戶有配置沙箱或者網絡分析設備，會使用這些設備進行分析。同時，很多安全產品也會有一些自動化的分析需求。這些分析設備很多情況下都是異構的，由于這部分目前是沒有業界都認可的標

167、準的，不同廠商的產品之間的接口必定是不兼容的。2023 云安全聯盟大中華區版權所有76溯源取證類在分析過程中，用戶很多情況下會使用全流量，EDR 等工具對攻擊的過程進行分析溯源，提取樣本，分析進程行為，調查 DNS 請求記錄等。信息上報類如主機及個人電腦殺毒軟件安裝情況，全網軟件資產列表等。此類數據需要與 EPP 管理系統或者桌管類產品的接口打通后獲取。除了以上類型的 API 之外，一定還存在著我們目前想象不到的 API 類型。在實際使用過程中，之前的實踐往往是產品和產品直接集成，平臺和產品直接集成，或者是用戶手動直接操作相關安全產品等。這樣的做法，周期長，效率低，版本依賴程度高?；谏鲜鰡栴}

168、，我們提出 API 注冊與發布系統，作為一個中間層來適配安全能力的提供者與使用者，提升聯動效率，降低研發成本。3.6.2 API 注冊與發布注冊與發布通過 API 注冊與發布，將一個第三方 API 轉變為平臺內可用服務，實現平臺能力的有序擴展。如何將一個外部 API，轉變為內外部可用的 API 需要做以下事情：指定服務入口點服務入口點指的是業務調用方來使用該服務時使用的 URL，該 URL 具備以下形式：$SCHEME:/$DOMAIN-NAME/$URISCHEME:在一般的業務系統中，往往采用 http/https 的方式來使用 API.2023 云安全聯盟大中華區版權所有77DOMAIN

169、-NAME:在較大型企業內部，會通過內部 DNS 的方式來部署業務，但是大部分企業還是會直接使用 IP 來指定服務的訪問地址。URI:用來在系統內唯一標識 API 資源。入口點位置：需要注意的是，入口點需要區分集群內與集群外。所謂集群內，我們的定義是一組一起工作的工作負載實例，通過獨立的內部網絡互相連接，內部之間可以直接訪問，但是如果要從集群外部訪問內部服務，需要通過 NAT 或者反向代理等方式將內部訪問暴露到集群外部。同一個 API 服務的內部入口點和外部入口點是不同的。內部和外部接口的另一個不同之處在于，如果一個API僅僅從集群內部訪問，在集群存在內部 DNS 的情況下，可以任意設置內部

170、DNS。但是如果是對外暴露的服務，其域名或者被訪問的 IP 是不能任意指定的。因此引來的一個問題是同一個服務入口是不能夠同時服務內部和外部的。除此之外，我們還需要指定：API 名稱：以字面可理解的形式給該 API 一個名稱。method：請求方法，一般指 HTTP 的 GET 或者 POST。請求類型：指定請求體的數據格式。響應類型：指定響應體的數據格式。請求類型與響應類型需要根據實際情況進行定義，比較常見的數據類型有json，xml。有一些特殊情況如上傳樣本，可選擇設置類型為二進制。指定認證方式與授權指定認證方式與授權任何 API 資源的訪問需要經過認證后才能實施。一般來說，API 服務可能

171、需要支持業界常見的一種或者多種標準認證方式。如：HTTP 基本認證，基于 Session 2023 云安全聯盟大中華區版權所有78的認證，基于 Token 的認證，OAuth 等。具體使用哪一種，取決于業務使用方的現狀，系統安全性要求及成本等方面的平衡。如果采用類似 HTTP 基本認證這種固定式認證數據的方式，建議強制采用 https 方式來承載 API 業務調用請求?；诎踩钥紤]以及一些合規性要求，很多場景下會對業務調用方進行限制的需求。如集群內部訪問，會限制調用方的地址來著某子網或者業務邏輯上的命名空間。在提供對外訪問服務時，有可能會需要限定訪問客戶端的 IP 地址。指定后端服務指定后端

172、服務API 服務提供方可能會提供多個后臺實例來提供服務?；谔峁┑姆疹愋筒煌?，有的 API 提供的是無狀態的服務，即在 API 后臺實例中不保存狀態，整個業務都通過請求的響應來完成。比較典型的是通過 http 提供病毒掃描的服務，只需要告知業務調用端相應文件是否是病毒，至于是哪一個掃描服務執行的，業務調用端并不關心。反之，如果具體的業務與具體執行 API 的實例強相關。比如要調查一個終端上面的進程行為，而相關 API 的提供方是對應 EDR 管理端，那邊只有請求被發送到托管相關終端的 EDR 服務端，請求才會有結果。當然，這種情況很多廠商會在自己提供的 API 內部做好處理。每個服務后端，在

173、正常情況下會就有自己的認證方式，每個服務后端的認證方式需要可以單獨進行設置。數據適配數據適配在業務應用和后端服務之間，數據傳輸的格式，編碼方式，參數名等可能是不匹配的，作為中間層的 API 平臺需要有這樣的能力，對業務側與后端服務之間的請求和響應做格式方法的調整。以適配兩端讓調用能夠正常進行下去?？赡苄枰M行以下一些調整：2023 云安全聯盟大中華區版權所有79格式轉換，比如 JSON 轉 XML在請求頭，請求行等請求部位中增加參數向請求體的結構化數據中增加參數對參數進行重命名對數據的修改可以有很多方式，除了平臺可以提供的一些標準化操作外。針對一些特殊的接口，可以開放一些服務注冊到平臺或者開放

174、一個插件進行定制化處理。測試測試 API在創建好 API 后，平臺提供相關頁面對已創建好的 API 服務進行測試。以驗證服務構建的正確性。API 發布與下線發布與下線在完成我們的 API 的配置與測試后，我們需要正式將該 API 發布至網關從而使得內部或者外部的調用者可以正常使用該 API。當 API 需要重新發布或者停止服務時，需要將 API 從網關上下線。停止提供服務。2023 云安全聯盟大中華區版權所有803.6.3 集成與應用集成與應用圖 9如圖 9 所示，首先，在 API 的集成與應用場景中，我們認為有如下幾個角色：API 服務提供者API 服務使用方API 管理發布平臺同時，這里還

175、有內部外部的概念區分，一般來說，一個平臺內的多個服務會部署在同一個虛擬子網或者 VPC 中，相互直接從網絡層面是可以互通的。我們稱這種情況為內部。平臺往往會通過一個或者多個網絡地址/網關對外提供服務，通過平臺對外提供服務進行訪問的調用者或者服務提供者，我們成為外部。在這個層面來講，API 管理服務既是整合多個廠商能力的支點，同時也是向外輸出廠商能力的門戶。在大量異構的安全運營場景中，這樣的能力是非常關鍵和重要的。2023 云安全聯盟大中華區版權所有81拋開平臺以外，在常規業務場景中，API 服務的提供者和使用者往往有以下情況：同時是服務提供者和使用者的平臺內部服務同時是服務提供者和使用者的平臺

176、內部服務這種情況往往是和平臺同廠商的標準化產品，如上圖中的設備型產品 A 和終端型產品 B。相關產品團隊通過在平臺內部開發相關產品的服務來向 API 管理系統注冊發布 API。在這種情況下，設備或者客戶端與平臺之間的通訊和調用由相關產品服務來負責，這部分內容，對于平臺來說是不需要考慮的。上一節中提到的路由，負載均衡等工作全部由相關產品的服務來提供，可以有多種方式，包括直接使用。同時，同一廠商的產品之間往往有聯動的需求。在這個時候，部署在平臺內的產品服務直接調用其他產品在 API 平臺發布的接口即可實現聯動需求。平臺內部使用者平臺內部使用者很多情況下，XDR 平臺會內置一個輕量級的 SOAR 或

177、者類似的系統，甚至很多產品經理有可能會設計出各種功能。當需要各種 API 能力時，該服務可以直接使用 API 平臺發布的各類 API。圖中的業務服務 D 即是此種。提供提供 API 能力的外部設備能力的外部設備/系統系統不論是外部的第三方設備，還是廠商自己的產品，都存在一種情況，那就是存在一個獨立于平臺的系統需要將能力輸出到平臺。同時，其產品團隊沒有意愿或者能力在平臺上開發一個服務來維持外部系統和平臺之間的通信與交互。如果該系統提供了供第三方調用的 API。平臺方或者項目的運營方可以利用 API 管理服務的能力，將該能力集成到平臺里。外部使用者外部使用者很多中大型用戶的安全運營往往會采用異構方

178、式進行，通過購買不同廠商的 2023 云安全聯盟大中華區版權所有82產品來規避因為某廠商的問題導致整個企業出現風險。API 管理系統作為各類安全能力集中的平臺，天然具備向第三方輸出安全能力的功能。3.6.4 小結小結API 中心作為 XDR 平臺的基礎能力部分，對內，使實現平臺自身能力的編排與擴展成為可能；對外，南北向接口能力，使自身平臺的建設成為可能；API中心能力將成為客戶選擇 XDR 平臺的關鍵指標。3.7 CICD3.7.1 基礎安全基礎安全CI（Continuous Integration）是在軟件開發期間自動化和集成來自許多團隊成員的代碼更改和更新的過程。在 CI 中，自動化工具在

179、集成之前確認軟件代碼是有效且無錯誤的，這有助于檢測錯誤并加快新版本的發布。CD（Continuous Deployment）是指不斷將新軟件投入生產的能力，從而自動化向基礎設施環境交付應用程序。CD 是 DevOps 的一部分，它有助于縮短軟件開發生命周期。在基礎安全方面，至少要保障人、技術、流程方面的安全:人：要建立安全管理組織，建設組織級的安全文化，開發人員、測試人員、運營人員都要對各自階段的安全負責，在 CICD 過程中的對需求開發、安全交付、安全運維進行安全風險控制。技術：對基礎資源、操作系統、數據庫、中間件等使用有效開展安全風險控制的基礎設施，在需求開發、安全交付、安全運營的各階段使

180、用安全工具，并將安全工具嵌入到 CICD 過程中，實現自動化的安全風險控制。流程：CICD 的過程要可以重復，需要將需求開發、安全交付、安全運營流 2023 云安全聯盟大中華區版權所有83水線中的安全工作固化，無論由誰負責都能實現相同的安全風險控制能力和水平，可以通過撰寫發布制度、規則，實現流程化的安全風險控制。3.7.2 需求開發需求開發按 CICD 的過程，在需求開發階段包括需求、設計、開發三個階段。需求：通過獲取客戶或業務的建設系統或更新系統的需求，將安全工作左移到應用生命周期的源頭，在應用的需求階段進行安全風險控制，定義安全需求并采取安全風險控制措施，從而控制開發過程的安全。設計：根據

181、業務架構確定系統架構、網絡架構以及設計，并在過程中開展安全風險控制。通過了解相關的法律、法規、標準，分析攻擊面、開展威脅建模，參考業界最佳實踐，來識別應用可能面對的安全風險和威脅，制定風險控制措施，確保應用系統的安全。開發：根據安全需求和安全設計，在編碼過程中的進行安全風險控制。使用安全編碼規范、代碼檢測、漏洞掃描、滲透測試等多種方面控制開發階段的安全風險。3.7.3 安全交付安全交付安全交付是從代碼提交到應用交付給用戶過程中實現安全，確保交付給用戶最安全的應用。在些過程中要實現資產安全治理、安全構建、安全測試、安全部署。資產安全治理，在安全交付過程中，與應用相關的資產和關聯關系都被有效定義、

182、記錄，交付內容完整、一致并且可以被追溯。包括：源代碼、腳本、依賴關系、發布制品、配置等安全內容。安全測試，這是一個驗證安全需求、安全設計的過程，盡量發現并減少應用的安全風險，提升應用的安全質量。2023 云安全聯盟大中華區版權所有84安全部署，通過系統配置、發布、安裝等一系列變更操作，向最終用戶交付應用，并保障此過程中的安全。同時，為安全運營準備相關的所有交付材料。3.7.4 安全運營安全運營安全運營，在應用發布以后，在運營過程中使用監控、運營、響應等手段實現安全運營。安全監控，在應用運營過程中，對基礎設施和應用的運行狀態進行監控，識別內部和外部的安全事件和風險。安全運營，對于安全監管發現的安

183、全問題和風險，進行安全分析、安全檢測、安全風險識別，并通過調整配置、生產變更等手段進行安全處置，減少安全風險對生產運營的影響。安全響應，基于應用的業務架構、系統架構、網絡架構建立安全應急預案，并開展安全應急演練，以確?？梢约皶r控制安全風險，減少安全風險，保障業務連續性。3.7.5 CICD 與與 XDR隨著軟件規模和復雜性的增加，安全防御也變得愈發重要。傳統的安全防御手段往往只關注邊界防御，忽視了內部網絡和終端設備的安全。而 XDR 則強調全面的安全事件檢測和響應能力，涵蓋了終端、網絡、云環境等多個維度。它通過整合和分析各種安全數據源，并借助人工智能和機器學習等技術，實現了精準的威脅檢測和快速

184、的事件響應。CICD 和 XDR 在軟件開發和安全防御中有著千絲萬縷的聯系。首先，CICD 為 XDR 提供了數據源。由于 CICD 的持續集成和持續交付特性，軟件開發團隊可以實時獲取到各種開發和部署活動的數據，包括代碼變更、部署日志、運行指標等。這些數據對于 XDR 來說是寶貴的，可以用于檢測異常行為、2023 云安全聯盟大中華區版權所有85分析攻擊路徑等，幫助安全團隊制定有效的安全策略。其次，XDR 為 CICD 提供了安全保障。安全漏洞和惡意攻擊往往會導致生產環境的故障和不穩定，嚴重影響軟件的交付周期和用戶體驗。通過 XDR 的威脅檢測和響應能力，可以及時發現并應對安全事件，保障軟件交付

185、的穩定性和質量。此外，CICD 和 XDR 還可以通過自動化和標準化的方式實現更高效的軟件開發和安全防御。CICD 可以通過自動化測試和部署，提高開發團隊的工作效率；而 XDR 可以通過自動化事件響應和威脅狩獵，降低安全團隊的工作負擔。同時，通過標準化的工具鏈和流程，可以提高開發和安全人員之間的協作效率，減少誤解和溝通成本。第四章 生態現狀洞察第四章 生態現狀洞察4.1 數字化評價指標與可視化數字化評價指標與可視化4.1.1 XDR 管理性指標和評價管理性指標和評價XDR 是以威脅檢測和響應為中心的整合安全平臺解決方案，通過前端 XDR組件遙測進行高級安全分析，通過數據預處理和關聯分析來減少誤

186、報，交付誤報數量較少且高質量的告警。XDR 目標在于降低運營成本并提供更好的威脅檢測能力，XDR 后端服務一般為統一分析平臺，集中式數據分析，對所有安全組件統一策略管理；不同安全組件之間通過 API 注冊管理來實現更好的響應用例，XDR 可以從終端、云、網絡等多個點檢測 IOC，也能從一個通道檢測其他通道進行響應。建立 XDR 指標體系需要結合組織業務安全目標，明確關鍵性能指標，并確定如何度量這些指標。此外需建立量化指標評價體系，以便實時可量化的觀測XDR 性能并作出及時調整，還需要考慮數據來源、數據質量、數據分析和數據可 2023 云安全聯盟大中華區版權所有86視化等方面問題。XDR 指標體

187、系整體可以分成管理指標和技術指標。其中管理指標是通用的威脅檢測和響應能力指標，是對可管理的威脅進行處置的安全能力的衡量。技術指標針對不同的安全組件有不同的檢測和響應的技術指標，文中會分具體的不同的安全組件來分別進行闡述。建立 XDR 指標體系一般需要考慮到以下方面：確定業務安全目標：首先需要明確組織業務安全目標，這有助于明確運營目標和度量。例如，如果組織業務安全目標是保護客戶數據，那么 XDR 目標應該是檢測和阻止數據泄露相關威脅，如果是保護業務連續性，那么首要目標應該是組織控制破壞或者勒索相關威脅。確定關鍵技術指標：例如檢測率、誤報率、平均響應時間等。這些指標應該與業務目標相關，能夠標準化衡

188、量 XDR 是否達成目標性能參數。確定指標度量方法：為了確保指標的可測量性，需要明確如何度量這些指標。例如，檢測率可以通過確定檢測到的安全事件與所有安全事件的比率來度量。誤報率可以通過確定被確定為安全事件但實際上是誤報的事件與所有檢測到的安全事件的比率來度量。確定度量頻率：需要確定指標的度量頻率。這有助于確保數據的準確性和實時性。例如，某些指標可能需要每小時度量一次，而其他指標可能只需要每天度量一次。建立指標報表：需要建立指標報表系統，以確保團隊成員和管理層都能夠及時獲得相關指標的量化數據信息。指標報告應該易于理解，可以清楚地顯示指標的趨勢和表現。XDR 作為整合安全平臺，首先建立管理類的評估

189、指標體系，綜合評價 XDR的檢測和響應能力，這樣可以幫助安全團隊更好地了解各種安全組件的性能和效 2023 云安全聯盟大中華區版權所有87果，并選擇最適合的安全組件：1.威脅檢出率：指 XDR 組件能夠檢測到網絡威脅的能力，如網絡攻擊、漏洞利用、惡意軟件、蠕蟲病毒、勒索攻擊等。較高的威脅檢測率通常意味著組件能夠更好地識別和防御攻擊，從而減少潛在的風險和損失。2.異常行為識別率：指 XDR 組件能夠識別異常行為的能力，如異常網絡流量，隱蔽隧道，異常進程行為，異常登錄、異常訪問等。一般通過正常行為基線學習來判定異常，異常檢測往往誤報率較高，如果能夠相對精準的異常告警，甚至可以發現未知威脅；更高的識

190、別率表明 NDR 解決方案可以更好地檢測和應對威脅，從而降低潛在損失。3.安全可視化能力：指 XDR 組件可視化分析視圖的質量和深度。如果組件能夠提供直觀的聚合視圖和可視化工具，那么它就能夠幫助安全團隊更好地理解威脅和采取行動。4.安全整合程度：指 XDR 組件的統一運維管理和運營分析管理便利性，支持統一安全策略管理和告警優先級管理，支持統一的安全運營分析，支持一站式的多安全組件的統一平臺管理，通用管理工作流體驗。5.安全數據關聯深度：指 XDR 的安全數據關聯分析的質量和深度。安全數據的維度是否足夠豐富，安全數據的字段是否統一，自動化關聯和確認告警來減少漏報，多個安全組件的弱告警組合升級成強

191、告警信息，對告警快速分級；此外還包括安全組件間實時共享威脅情報的能力。6.自動化編排能力：指 XDR 為重復性工作和任務提供自動化編排功能的能力，包括低代碼水平和可編程能力，好的編排能力能夠讓分析師可視化的進行運營流程的編排，覆蓋更多的安全應急預案；支持 XDR 平臺提供與工作流平臺集成接口，提供集成響應選項，來自所有安全組件的上下文信息并支持快速處置。7.數據平臺可維護性：XDR 平臺一般具備大數據分析平臺，數據分析平臺的穩定性和數據檢索性能也是 XDR 重要的衡量指標，一般需要支持可靠的數據存 2023 云安全聯盟大中華區版權所有88儲功能，支持低成本存儲選項或混合存儲來降低長期存儲成本。

192、4.1.2 EDR 指標和可視化指標和可視化端點檢測與響應（Endpoint Detection&Response，EDR）是一種新型的、智能化和快速迅捷的主動防御技術，遵循自適應安全架構，從預測、防護、檢測和響應四個維度，實現持續性安全防護，貫穿安全威脅事件的整個生命周期。EDR實時監測端點上發生的各類行為，采集端點運行狀態，在后端通過大數據安全分析、機器學習、沙箱分析、行為分析等技術，提供深度持續監控、威脅檢測、高級威脅分析、調查取證、事件響應處置、追蹤溯源等功能，及時檢測并發現惡意活動，包括已知和未知威脅，并快速智能地做出響應，全面賦予端點主動、積極的安全防御能力。EDR 的使用指標的使

193、用指標根據行業、公司、以及安全管理人員的不同偏好，EDR 可用在不同的地方，也會產生對應的指標。以下闡述常見的使用指標部署率、覆蓋率部署率、覆蓋率部署率、覆蓋率指的是 EDR 產品在企業所管理的設備終端的安裝率、部署率等。這是最常見的指標之一。部署率、覆蓋率有時也會延展到更深的層次，比如EDR 產品客戶端的版本合規率，用來確保 EDR 產品本身升級到企業所要求的版本，來解決兼容性、功能性等問題。EDR 客戶端的最后一次連接時間，用來確保 EDR 的信息能被后臺及時接收到，從而可以快速響應資產收集相關資產收集相關 2023 云安全聯盟大中華區版權所有89EDR 中一個重要功能是收集終端中的相關資

194、產，比如軟硬件信息、軟件名稱、版本號；有部分 EDR 產品也會收集賬號資產信息、中間件信息、數據庫信息等。由此而展開的指標包含，非標操作系統比率、非標軟件比率、賬號資產盤點清單、賬號變更等衍生指標系統加固類系統加固類EDR 通過對終端進行定期安全檢查，來發現其中的問題，并被動建議或主動要求進行加固。其中的安全問題包含，風險賬號（弱密碼、重復密碼等）、漏洞（操作系統、應用程序漏洞等）、基線（操作系統基線、中間件基線、數據庫基線等）、補丁修復（虛擬補丁、或修復建議等）。而加固手段有黑白名單（進程、網絡、行為等）、虛擬補丁等。由此而展開的使用指標有：風險賬號的數量、漏洞數量、危險級別等、基線不合規律

195、、補丁修復完成率等威脅檢測類威脅檢測類能對內外部的攻擊行為進行主動檢測，其中包含各種漏洞攻擊、跨站腳本、提權等異常行為。其中展開的指標有：高危事件事項、已處理事件數量、誤報率、策略調整次數等響應取證類響應取證類針對全網的安全威脅進行可視化展示，能夠針對安全威脅自動化地進行隔離、修復和補救，自動完成安全威脅的調查、分析和取證工作，降低事件響應和取證 2023 云安全聯盟大中華區版權所有90分析的技術門檻，不需要依賴于外部專家即可完成快速響應和取證分析。擴展的相關指標：自動化修復率4.1.3 NDR 指標和可視化指標和可視化NDR 作為 XDR 核心組件，通過全流量檢測分析和響應處置的，對威脅進行

196、高效的檢測和響應。NDR 使用機器學習、高級分析和特征分析來檢測企業網絡上的可疑行為。NDR 不斷地分析原始流量，以構建反映正常網絡行為的模型，當檢測到異常的流量模式時會發出異常警報。NDR 融合了傳統的基于規則的檢測技術，以及機器學習和其他高級分析技術，用以檢測網絡中可疑行為，尤其是失陷后的痕跡。NDR 通過 DFI 和 DPI 技術來分析網絡流量，通常部署在關鍵的網絡區域對東西向和南北向的流量進行分析，一旦發現異常后進行可管理響應，包括專家人工專家分析和自動化編排。中大型組織一般都會對多個關鍵網絡節點的鏡像流量數據進行威脅檢測，因此在這種情況下，使用分布式探針和整合平臺架構是非常合理的。在

197、探針側進行數據采集、在平臺側進行數據匯總及管理，后期也便于和其他產品聯動。平臺側需要強大計算能力，因此平臺側選擇大數據架構比較合適，大數據架構提供的信息存儲能力、信息檢索能力、信息計算能力，可以有效提升我們的異常分析和數據檢索能力。NDR 可以整合威脅檢測沙箱，通過流量數據還原網絡傳輸的樣本數據投遞到沙箱進行威脅判定，能夠相對精準的判斷網絡傳輸或下載的威脅情況。NDR 技術指標可以從安全和流量解析能力兩方面來進行評價，可分成安全能力指標和流量分析能力指標：安全能力指標包括：安全能力指標包括：1.檢出率：指被檢測到的威脅數量與總威脅數量的比率。高檢測率表示 NDR能夠檢測到更多的威脅。2023

198、云安全聯盟大中華區版權所有91這里可以具體細分到不同場景威脅檢測率：入侵檢出率：指被檢測到的網絡入侵攻擊事件和實際統計的總入侵事件數量的比率。高檢測率表示 NDR 能夠檢測到更多的網絡入侵攻擊事件。惡意樣本檢測率：指被流量還原后檢測到的惡意樣本數量與總惡意樣本數量的比率。高檢測率表示 NDR 能夠檢測到更多的惡意樣板。完整性檢測率：指被檢測到的未經授權的數據訪問事件的數量與總未經授權的數據訪問事件的比率。高完整性檢測率表示 NDR 能夠檢測到更多的未經授權的數據訪問事件。數據泄露檢測率：指被檢測到的數據泄露事件數量與總數據泄露事件數量的比率。高數據泄露檢測率表示 NDR 能夠檢測到更多的數據泄

199、露事件2.誤報率：指被誤報為威脅的事件數量與總事件數量的比率。低誤報率表示NDR 的報警更加準確。3.平均檢測時間（MTTD）：指從威脅發生到被 NDR 檢測到的平均時間。較短的平均檢測時間意味著 NDR 更加及時地檢測到威脅。4.平均響應時間（MTTR）：指從 NDR 檢測到威脅到響應該威脅所需的平均時間。較短的平均響應時間表示 NDR 能夠更快地響應威脅。5.威脅場景覆蓋率：一般 NDR 需要能覆蓋到主要的威脅場景，包括漏洞攻擊、蠕蟲、木馬后門，APT，釣魚攻擊，挖礦等等。流量分析能力指標包括：流量分析能力指標包括：1.網絡協議解析覆蓋類型（Supported Network Protoc

200、ols and Traffic Types）：指 NDR 組件支持的網絡協議和流量類型范圍和覆蓋率。如果組件能夠支持多種網絡協議和流量類型，那么它就具有較強的可擴展性和適應性。2023 云安全聯盟大中華區版權所有922.網絡協議解析能力：協議解析是后續異常流量分析的根基，應從 ISO 七層模型和應用領域兩個維度支持盡可能全的通訊協議。NDR 產品將協議解析作能力視為核心技術，除了鏈路層、傳輸層，網絡層等基礎協議外，應用層可解析還原的協議的數量和能力是3.網絡協議還原深度：指 NDR 組件支持網絡協議解析的協議棧深度，是否能夠支持到應用層核心協議字段，包括數據包的頭部信息和 Payload 信息

201、。能夠將流量數據以不同的統計維度進行透視分析，將 HTTP、DNS、SMTP、POP3、郵件等等數據還原溯源路徑。4.網絡流量分析精度：指 NTA 組件檢測到威脅的準確性和完整性。較高的網絡流量分析精度通常意味著組件能夠更好地識別和防御攻擊，從而減少潛在的風險。5.其他網絡性能指標：丟包率、流還原率、網絡吞吐量、解碼率等等。4.1.4 IAM 指標和可視化指標和可視化IAM（Identity and Access Management，身份識別與訪問管理）是一種安全技術和管理工具，IAM 作為 XDR 的核心組件，它可以幫助企業實現身份驗證、授權和控制以及審計。IAM 具有身份認證、訪問控制、

202、身份管理、安全管理、審計等功能；IAM 可以幫助企業實現訪問控制，確保只有授權的用戶才能訪問網絡資源；實現安全審計，記錄用戶的訪問行為，以便及時發現安全威脅；實現安全管理，確保企業的數據安全。同時，IAM 可以與 XDR 的其他組件聯動，以保護企業的數據安全。IAM 可以與 EDR 組件聯動，以發現和響應內部網絡的攻擊行為；IAM 可以與 DLP 組件聯動，以防止敏感數據的泄露；IAM 可以與 SIEM 組件聯動，以收集和分析安全日志，發現潛在的安全威脅；IAM 可以與 NDR 組件聯動，以確保只有授權的用戶才能訪問網絡資源。IAM 在使用過程中，主要的評價指標分為：認證、授權與訪問控制、身份

203、管 2023 云安全聯盟大中華區版權所有93理、安全管理和審計等幾個方面，依據使用的側重點不同，對常用的指標簡述如下：認證相關認證相關認證相關的二級指標，主要包括：身份驗證、認證策略、認證機制、認證管理、認證安全性等。其中，身份驗證是指確認用戶身份的過程，可以采用多種方式，如密碼、數字證書、生物特征等；認證機制應支持目前常見的認證因子應包含口令、數字證書、手機短信認證、證書認證、人臉識別、聲紋識別、指紋識別、虹膜識別等；認證策略是指認證的規則和流程，可以指定認證的方式、認證的頻率、認證的級別等；認證機制是指認證的技術和方法，可以采用多種技術，如加密、數字簽名等；多個認證因素可以靈活地進行組合認

204、證，形成多種認證方式。認證管理是指認證的管理和控制，可以指定認證的管理者、認證的審核者等；認證安全性是指認證的安全性和可靠性，可以采用多種技術，如雙因素認證、多因素認證等，以確保認證的安全性和可靠性。授權與訪問控授權與訪問控制相關制相關授權與訪問控制相關的二級指標，訪問控制是指對用戶訪問資源的控制，主要指標包括：訪問控制要素、訪問控制策略、訪問控制機制、訪問控制管理、訪問控制安全性等。其中，訪問控制策略是指訪問控制的規則和流程，可以指定訪問控制的方式、訪問控制的頻率、訪問控制的級別等；訪問控制機制是指訪問控制的技術和方法，可以采用多種技術，如加密、數 2023 云安全聯盟大中華區版權所有94字

205、簽名等；訪問控制管理是指訪問控制的管理和控制，可以指定訪問控制的管理者、訪問控制的審核者等；訪問控制安全性是指訪問控制的安全性和可靠性，可以采用多種技術，如雙因素認證、多因素認證等，以確保訪問控制的安全性和可靠性。身份管理相關身份管理相關身份管理相關的二級指標，主要包括：身份管理策略、身份管理機制、身份管理的管控、身份管理安全性等。其中，身份管理策略是指身份管理的規則和流程，可以指定身份管理的方式、身份管理的頻率、身份管理的級別等；身份管理機制是指身份管理的技術和方法，可以采用多種技術，如加密、數字簽名等；身份管理的管控是指身份管理的管理和控制，可以指定身份管理的管理者、身份管理的審核者等；身

206、份管理安全性是指身份管理的安全性和可靠性，可以采用多種技術，如雙因素認證、多因素認證等，以確保身份管理的安全性和可靠性。安全管理相關安全管理相關安全管理相關的二級指標，主要包括：安全策略、安全機制、安全管理的管控、安全審計等。其中，安全策略是指安全的規則和流程，主要包括安全管理的方式、安全管理的頻率、安全管理的級別等；2023 云安全聯盟大中華區版權所有95安全機制是指安全的技術和方法，可以采用多種技術，如加密、數字簽名等；安全管理的管控是指安全的管理和控制，可以指定安全的管理者、安全的審核者等；安全審計是指安全的審計和監控，可以采用多種技術，如日志審計、安全掃描等，以確保安全的審計和監控。審

207、計相關審計相關審計相關的二級指標，主要包括：審計策略、審計機制、審計管理、審計安全性等。其中，審計策略是指審計的規則和流程，可以指定審計的方式、審計的頻率、審計的級別等；審計機制是指審計的技術和方法，可以采用多種技術，如日志審計、安全掃描等；審計管理是指審計的管理和控制，可以指定審計的管理者、審計的審核者等；審計安全性是指審計的安全性和可靠性，可以采用多種技術，如數據加密、數據完整性等，以確保審計的安全性和可靠性。4.2 XDR 與態勢感知平臺的關系與態勢感知平臺的關系4.2.1 態勢感知平臺概念態勢感知平臺概念態勢感知平臺是由數據本原驅動，通過威脅情報、AI、機器學習等新興技術，幫助用戶構建

208、一套從被動防御向主動安全轉型的安全能力體系，其對可能引起網絡態勢變化的各種安全要素進行收集并處理，利于大數據平臺進行智能化分析理解，最終實現對網絡安全態勢的全面感知。2023 云安全聯盟大中華區版權所有96態勢感知平臺定位為客戶的安全大腦，是一個檢測、預警、響應處置的大數據安全分析平臺。其以全流量分析為核心，結合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析、可視化等技術，對全網流量實現全網業務可視化、威脅可視化、攻擊與可疑流量可視化等，幫助客戶在高級威脅入侵之后，損失發生之前及時發現威脅。4.2.2 態勢感知平臺行業實踐情況態勢感知平臺行業實踐情況安全信

209、息全面、實時的獲取和分析是實現態勢感知的關鍵。當前國內主要態勢感知解決方案廠商已通過日志審計、SIEM 等技術手段實現了網絡設備信息、安全設備信息以及網絡流量威脅分析數據的采集獲取。但是態勢感知平臺與其他安全產品的對接仍然缺乏統一接口。雖然目前業內正在努力通過“能力中臺化”、開放式應用程序編程接口（API）等方式提升自身態勢感知平臺與第三方產品對接的標準化水平，但短期內安全廠商的產品和平臺缺乏相對統一接口的問題仍將普遍存在，因此，中大型客戶的態勢感知平臺建設項目的定制化開發依舊難以避免。持續增強“網絡安全采集、分析、響應”能力依舊是態勢感知解決方案的發展核心。安全廠商不斷加大在先進技術領域的人

210、員和資金投入，大數據分析、機器學習等技術已經廣泛應用到態勢感知解決方案的眾多功能組件中，并有效提升了日志泛化、威脅檢測、關聯分析、溯源取證等能力。此外，威脅情報將在威脅判定和溯源方面發揮越來越重要的作用，甚至能夠幫助企業提前感知同行業相關威脅，實現惡意威脅的主動防御。通過優質的威脅情報信息融入到態勢感知平臺進行威脅事件關聯分析和溯源，對提升平臺威脅判定的準確性以及對新型威脅的及時感知能力效果明顯。國內主要態勢感知解決方案已經解決了“網絡安全采集、分析、響應”功能的基礎滿足，但通過功能所展現出來的技術實力和經驗積累仍然存在差異。除了威脅檢測這一核心能力，對威脅事件的編排與響應成為態勢感知重點發展

211、的能力。2023 云安全聯盟大中華區版權所有97隨著企業規模的快速發展和 IT 資產的不斷增加，態勢感知平臺獲取和管理的數據量與日俱增，企業安全運營人員需要面對繁多的告警信息和安全事件。自動化/半自動化的分析和處置能力能夠將安全運營人員從簡單重復的工作流程中解放出來，騰出更多精力處置突發和復雜的安全事件，降低重復性低效工作，提升工作價值同時，態勢感知的編排與響應能力不應僅僅局限于設備一鍵阻斷、添加黑白名單等簡單操作，而是更多的與企業真實業務結合，制定規范化、流程化、協作化的高價值安全能力。作為主動網絡安全防護體系的“智慧大腦”，態勢感知平臺根據不同行業客戶的具體業務場景進行適配，尤其是針對中大

212、型客戶的安全需求和業務特點提供策略調整和定制化開發。例如政府和行業監管部門關注的監管態勢感知平臺、廣大企業關注的運營態勢感知平臺、工業企業關注的工業互聯網態勢感知平臺等，均具備自身獨特的需求和關注功能點，從而使態勢感知平臺發揮更精準的安全防護作用。4.2.3 XDR 與態勢感知平臺的差異與態勢感知平臺的差異態勢感知（Situation Awareness）從 NDR 演進而來的態勢感知，更關注通過大數據、特征檢測、機器學習算法等技術對全流量進行過濾，加深對于安全趨勢的預測，側重點在安全告警的聚合、安全態勢的建模。而且由于態勢感知的數據大多都來自于 NDR 設備，優點在于可以快速鏡像出流量進行旁

213、路檢測，不會對網絡鏈路造成影響，從而快速的在網絡側進行大面積的安全視野覆蓋，但伴隨而來但是只有網絡側的數據輸入形成聚合分析，容易造成海量告警難以處置的困境，同時態勢感知往往不具備攔截功能，在實戰攻防對抗場景，XDR 的響應處置、聯動封鎖的功能，可以使安全事件的影響面最小化，盡可能的保障用戶的資產和信息系統安全。態勢感知由于缺乏端點上的監測數據，不可避免的難以發現攻擊者在端點上的具體行為，更多的是展示攻擊者攻擊路徑、攻擊入口，并且網絡側能夠覆蓋的ATT&CK 技戰術較少，在對抗不同攻防場景的情況下顯得乏力。其對接能力也相對固定，與其他設備的對接一般是聯動處置，或者將其他設備分析過后的告警接 20

214、23 云安全聯盟大中華區版權所有98入平臺，是一個依托網絡流量為基礎構建的威脅檢測和安全態勢平臺。XDR 通過對接網絡側和終端側的不同安全組件，首先定義遙測數據的標準，所有對接的組件都以該標準進行一手數據上報，其次將所有不同來源的異構數據放在一起分析，編織出大的數據網絡，能夠包含整個攻擊發生的情景、上下文，包括攻擊入口、端點上的操作、攻擊范圍擴散等等，能夠感知的安全態勢更細致更全面，其檢出的結果不同于傳統的單個設備的告警，而是一個完整的、包含攻擊全過程的安全事件，僅端側檢測項就可以覆蓋 ATT&CK 技戰術超過 80%種，是態勢感知在網絡側收集數據所不能比擬的。通過遙測數據的深度采集，能夠發現

215、端點上的各種危險行為和操作，可以有效對抗高級攻擊手法和隱蔽威脅。與 XDR對接的設備除了聯動處置的動作下發，還要按標準提供一手數據，或者將已經分析過的二手告警上報作為 XDR 數據編織過程中的富化信息。是一個依托遙測數據為基礎、可以廣泛對接各種安全組件的威脅深度檢測和統一安全平臺。4.2.4 XDR 優勢分析優勢分析XDR 是安全產業未來發展的重點業務方向。深入理解 XDR 的架構規劃、架構設計、系統設計、關鍵重點場景，基于業務流落地各層各級管理規定，有助于解決現在面臨的眾多安全設備協調的問題。4.3 XDR 與與 SIEM 平臺的關系平臺的關系盡管EDR可以收集和關聯多個終端的活動，但卻局限

216、在終端內部，無法打通網絡、其他終端、以及SIEM等平臺。XDR有效的解決了這個問題，將檢測范圍擴大到終端之外，并提供跨終端、網絡、服務器、SIEM等的檢測、分析和響應。2023 云安全聯盟大中華區版權所有99圖 1同時 XDR 可以提供一個跨多個工具和平臺的統一的管理視圖，管理視圖中包括了這些攻擊的詳細信息，可以幫助分類、調查和快速修復工作。XDR 可以自動收集和關聯多個安全向量的數據，促進更快和更復雜攻擊場景下的攻擊檢測，以便安全人員可以在攻擊進一步擴大之前快速做出響應。XDR 還可以實現跨多個不同產品和平臺的檢測機制，可以大大有助于提高生產力、攻擊檢測和取證的進程。簡而言之，XDR 擴展到

217、終端之外，可以根據來自更多產品的數據做出決策，并且可以通過對電子郵件、網絡、身份等采取行動，進而在整個堆棧中采取防御。圖 2說起 SIEM 的發展，離不開態勢感知產品的發展，之前看到的都是單個安全設備告警，比如防火墻告警、WAF 告警、漏掃告警等等，安全運維需要一個一 2023 云安全聯盟大中華區版權所有100個設備的看告警。于是自然而然想到了融合所有的告警在一張屏幕上，這就是SIEM 的雛型。早期的 SIEM 功能比較簡單，主要實現了告警轉換，將設備上的告警一比一的轉換到 SIEM，最終實現多臺設備的告警匯聚到 SIEM 中，因此早期SIEM 告警數量太多，為了進一步優化，聰明的安全運維人員

218、發現，如果防火墻上有一個告警，漏掃上有一個對應的漏洞，而且還是同一個主機，那么就可以認為黑客在利用這個漏洞在入侵網站，這就是關聯分析，自從有了關聯分析，SIEM便有了超越了任何單個設備的安全發現能力了。關聯分析讓 SIEM 的告警從以前的單個安全設備告警，變成了多個安全設備的組合告警，雖然提高了告警質量，但是隨著而來的是告警數量再次暴漲，安全運維人員苦不堪言。因此 Gartner 定義 SIEM 或安全信息和事件管理，作為“通過收集和分析（近實時和歷史）安全事件以及各種其他事件和上下文數據來支持威脅檢測、合規性和安全事件管理的技術”。SIME 安全信息事件管理是整個信息收集、聚合、分析和存儲大

219、量的日志數據，SIEM 可以從終端、網絡、系統等整個企業的幾乎任何來源收集可用的日志和事件數據，SIEM 可以支持同時為多個用例進行存儲。其中包括治理和合規性、基于規則的模式匹配、啟發式/行為攻擊檢測（如 UEBA），以及跨遙測源尋找 IOC 或攻擊指標。圖 3 2023 云安全聯盟大中華區版權所有101IEM 解決方案就像飛行員和空中交通管制員使用的雷達系統。如果沒有該數據安全管理解決方案，企業 IT 無異于處于“盲飛”狀態。雖然安全設備和系統軟件擅長捕捉和記錄孤立的攻擊與會產生威脅的異常行為，但是當今最嚴重的威脅是分布式的，跨多個系統協同工作，并使用先進的逃避技術來避免進行威脅情報檢測。如

220、果沒有 SIEM 安全信息事件管理，攻擊就會發生并發展成為災難性事件。SIEM 工具需要大量的微調和努力才能實現。安全團隊也可能被來自 SIEM 的大量警報淹沒，導致 SOC 忽略關鍵警報。此外，即使 SIEM 從數十個來源和傳感器捕獲數據，它仍然是一種發出警報的被動分析工具。盡管 XDR 與 SIEM 在功能上存在相似性，比如都有數據采集、范化、關聯，而且通常都會采用大數據分析技術，還可能都有 SOAR 劇本編排與自動化響應技術，但在目標定位和技術路線上存在差異。在目標定位上，XDR 僅關注威脅檢測與響應，而 SIEM 除了關注威脅檢測與響應，還要覆蓋日志存儲及合規審計等其它場景。在技術路線

221、上，XDR 強調對單一廠商的安全產品集成，并且在出廠前就將這些產品打包在一起，提供了更易于部署和使用的操作過程。相比之下，SIEM必須具備跨廠商產品集成能力。正是因為在設計上的這些簡化，XDR 規避了 SIEM當前存在的幾個問題，比如架構開放性和擴展性問題、產品集成問題、部署和實施復雜性問題、知識管理問題，使得 XDR 的部署和實施復雜度相較于 SIEM 要簡化不少。簡言之，就是在相同條件下，以威脅檢測為目標，XDR出效果比SIEM/SOAR更快。因此 XDR 是一個整理的解決方案，而 SIEM 是 XDR 的重要組成部分?，F代SIEM 的核心組成部分：威脅檢測、響應。SIEM 是當今的核心

222、SOC 平臺，最具有價值的功能包括告警檢測、安全操作、集成、可視化等，其中 XDR 可以改進威脅檢測和響應，使 SIEM 實現流程的現代化、集成和自動化。XDR 可以有效協助SIEM 提升威脅檢測和響應效率。尤其是在改進高級威脅檢測、自動化任務以及威脅平均響應時間方面。同時，XDR 的核心價值是檢測復雜攻擊，可以跨端點、網絡、服務器和云阻止攻擊非常重要，尤其是 APT 攻擊在不同場景的檢測，僅通過傳統的檢測方式很難有效將多個低風險事件關聯分析，XDR 是檢測、識別、理解整個殺傷鏈中的復雜攻擊的有效方案。2023 云安全聯盟大中華區版權所有1024.4 XDR 生態生態4.4.1 國外生態國外生

223、態4.4.1.1 相關標準相關標準美國圍繞漏洞、威脅信息等領域開展了網絡安全信息相關標準的研制，主要包括通用漏洞披露（CVE）、結構化威脅信息表達（STIX）和可信自動情報信息交換（TAXII）等。通用漏洞披露（Common Vulnerabilities&Exposures，CVE），對已發現的網絡安全漏洞進行統一的命名和編號，并進行規范化的描述，可以在不同的漏洞數據庫和漏洞評估工具中實現漏洞數據共享。結構化威脅信息表達（Structured Threat Information Expression，STIX）是一種用于網絡威脅情報的語言和序列化格式標準，用于定義、描述威脅信息內容和關聯關

224、系。STIX 規范了威脅因素、威脅活動、威脅屬性等威脅情報特征，適用于威脅協同分析、自動化威脅情報交換、自動化威脅檢測和響應等?？尚抛詣忧閳笮畔⒔粨Q（Trusted Automated eXchange of Indicator Information，TAXII）在 STIX 基礎上定義了網絡威脅情報共享的協議、服務和格式等。TAXII 是網絡威脅情報數據的共享和傳輸交換標準，主要用于實現跨產品、服務和組織邊界來共享網絡威脅信息。4.4.1.2 相關接口相關接口國外相關技術組織圍繞網絡安全信息交換功能接口實現等開展了相關標準的研制，主要包括開放命令和控制語言（OpenC2）、開放消息總線規范

225、（OpenDXL）等。開放命令和控制語言（Open Command and Control，OpenC2）通過提供一套互操作的指令規范，提升網絡安全產品聯動能力。OpenC2 包括語言描述類規范、2023 云安全聯盟大中華區版權所有103不同功能場景的配置文件規范及傳輸方式。其中，語言描述規范定義命令、控制內容和結構；傳輸規范定義不同協議、環境下的命令和控制傳輸規范；配置文件規范定義不同產品執行命令和控制信息的功能和配置信息。開放消息總線規范（Open Data eXchange Layer，OpenDXL），定義了通信模型，用于將網絡安全產品連接到消息總線，實現不同安全產品間的消息共享和集成

226、。OpenDXL Ontology 是建立在 OpenDXL 消息總線上的一種開源模型描述，通過消息傳遞機制連接各類網絡安全產品，旨在發生網絡安全事件時及時響應處置。4.4.2 國內生態國內生態4.4.2.1 相關標準相關標準在漏洞管理、威脅信息、網絡安全事件和網絡安全攻擊等領域，我國已經開展了數據相關標準的研制。在漏洞管理方面，GB/T 28458-2020信息安全技術 網絡安全漏洞標識與描述規范規定了網絡安全漏洞的標識和描述信息，明確了網絡安全漏洞名稱、發布時間、發布者、相關編號等描述項內容。GB/T 30279-2020信息安全技術 網絡安全漏洞分類分級指南規定了網絡安全漏洞的分類方式和

227、分級指標，給出了分級方法建議。在網絡安全威脅信息格式方面，GB/T 36643-2018信息安全技術 網絡安全威脅信息格式規范 給出了網絡安全威脅信息模型和威脅信息組件，以實現各組織間網絡安全威脅信息的共享和利用，提升網絡安全威脅的共享效率和互操作性。在網絡安全攻擊方面，GB/T 37027-2018信息安全技術 網絡攻擊定義及描述規范規定了網絡攻擊的定義、屬性特征和描述方法，并從攻擊對象、攻擊方式、漏洞利用、攻擊后果、嚴重程度等多個維度描述網絡攻擊。在網絡安全事件方面，GB/T 28517-2012網絡安全事件描述和交換格式規定了網絡安全事件的通用數據格式，并提供了參考實現。2023 云安全

228、聯盟大中華區版權所有1044.4.2.2 相關接口相關接口目前，我國已正式發布 29 項網絡安全產品相關標準，涉及防火墻、網絡安全審計產品、入侵檢測系統等網絡安全產品。其中，僅 8 項標準對產品的功能接口實現進行了規范，未明確產品間互聯互通的相關要求，如 GB/T 37931-2019 信息安全技術 Web 應用安全檢測系統安全技術要求和測試評價方法。其他 21項網絡安全產品國家標準均未對產品接口進行規范，如 GB/T 20281-2020信息安全技術 防火墻安全技術要求和測試評價方法。4.5 XDR 與與 MSS安全托管服務（Managed Security Service,MSS）是近幾年

229、網絡安全行業備受關注的領域。Gartner對MSS（Managed Security Services）服務的定義是：7*24 小時遠程監控安全事件及相關安全數據源；管理和控制安全相關的技術和產品；交付的安全運營能力主要是遠程的SOC服務，并不是通過駐場或者遠程的一對一的安全服務。圖 4 2023 云安全聯盟大中華區版權所有105MSS的核心服務內容是對安全事件的監控和安全事件的響應以及合規方面的報告。除此之外還可能包括以下方面的內容：安全設備和技術的管理，包括防火墻、入侵檢測系統（IPDS）、終端管理（EPP）、EDR、安全應用網關（SWG）、安全郵件網關（SEG）等；事件響應服務（包括遠程

230、服務和現場服務）；漏洞評估和漏洞管理服務；威脅情報服務；MDR服務。根據 Gartner 統計數據，通過前瞻產業研究院對國內外權威機構的匯總，IDC、Gartner、中國信通院的報告分別顯示 2021 年全球網絡安全市場規模為 1687.7 億美元、1577.5 億美元、1554.0 億美元，較 2020 年增速分別為 27.8%、17.9%、13.7%。其中，截至 2023 年 3 月 31 日，IDC 披露了 2022 年全球網絡安全規模為 1955.1億美元，同比增速達到 15.8%;Gartner 披露了 2022 年全球網絡安全規模為 1691.6億美元，同比增速達到 7.2%。安全

231、托管服務（又常譯作“托管安全服務”），顧名思義即將網絡安全運營等技術類工作委托給第三方代為管理，以服務化的形式幫助用戶發現和解決各類安全問題。國際咨詢機構 IDC 將安全托管服務（MSS）定義為安全服務提供商（MSSP）通過安全運營中心（SOCs）進行全天候監控和管理的 IT 安全服務。服務范圍包括部署在本地、外部數據中心和云上的安全托管服務。國際分析機構 Frost&Sullivan 將 MSS 劃分為安全資產監控/管理、托管威脅檢測與響應（MTDR）和其他新興 MSS 服務三類。由此可見，托管服務的形式與內容是相對多元的。2023 云安全聯盟大中華區版權所有106圖 5在國內，由于中國自身

232、實際情況的特點，相對“遠程服務”，國內更為青睞“駐場運維”模式。駐場托管也是 IDC 所定義的一種形式。目前，一些網絡安全服務商均提供網絡威脅檢測、分析、響應、處置等多種能力，但主要為相應安全產品的增值性服務，以及提供威脅情報等。相對于國外安全產品及一攬子外包服務，國內市場普遍更為傾向于本地駐場的安全運維模式，依靠本地的安全網絡安全管理平臺等產品和駐場運維人員，實現對本地網絡設備、網絡安全設備流量和日志等的采集處理、深度分析和事件處置。然而對于 MSSP(Managed Security Service Provider，安全托管服務提供商)來說，搭建一套有效且易于管理的安全技術架構來為客戶提

233、供可靠的安全服務也并非易事，其實現過程同樣困難重重。XDR(擴展威脅檢測和響應)技術的成熟讓我們看到了希望，與 MSSP 目前采用的大多數傳統安全架構相比，XDR 技術有望以更低的成本實現更高的安全級別。它可以幫助 MSSP 提升服務能力，并改善服務收益，特別是在面對中小企業客戶時，效果更加明顯。未來，MSSP 勢必會因為XDR 技術而改變服務策略，并從這項技術中獲得運營收益。通常，XDR 為 MSSP 2023 云安全聯盟大中華區版權所有107提供的基本功能包括：擴展威脅檢測能力，以增強威脅可見性;關聯安全數據，以提高準確性，并將警報整合到事件中;在企業整個網絡環境中擴展、協調和自動化開展安

234、全事件的響應。相比于購買和集成一套傳統的安全技術，XDR 技術提供了更高的安全級別。由于 XDR 技術旨在改進威脅檢測、調查和響應，并實現自動化，因此它理論上可以準確地預防更廣泛的威脅。除了安全能力方面的改進外，XDR 解決方案還可以為 MSSP 降低成本有些 XDR 解決方案包括多個威脅情報來源和基礎安全功能，可以讓 MSSP 以較小成本替換現有技術，同時，還有一些 XDR 解決方案提供增強自動化，可以讓 MSSP大幅減少人工調查和響應時間和需求，減輕對專業安全人員的依賴，從而降低成本。因此，MSSP 從 XDR 平臺獲得益處在很大程度上取決于提供商的方法和其實際實施。4.6 XDRaaSX

235、aaS 代表“一切皆服務”，因此示例數不勝數?，F在，有很多種 IT 資源或服務都通過這種方式交付。比如云計算模式：軟件即服務(SaaS)、平臺即服務(PaaS)和基礎架構即服務(IaaS)。除了這些類別之外，還有其他一些示例，例如災難恢復即服務(DRaaS)、通信即服務(CaaS)、網絡即服務(NaaS)、數據庫即服務(DBaaS)、存儲即服務(STaaS)、桌面即服務(DaaS)和監控即服務(MaaS)。隨著安全能力的逐步迭代升級，網絡安全同樣可以以服務的方式提供，XDRaaS(XDR As a Service)，以服務化的方式提供 XDR，是一切皆服務”(XaaS)是與云計算和遠程訪問相關

236、的一類的服務的升級。XaaS 認識到現在有大量的產品、工具和技術都通過互聯網作為一種服務提供給用戶。從本質上說，任何 IT 功能都可以轉變為服務供企業使用。此服務采用靈活的消費模式收取費用，無需提前購買或提前許可。因此 XDR 作為與云計算和遠程訪問相結合比較深入的技術也可以通過訂閱服務的方式進行提供。XDRaaS 具有以下幾個優勢：改進支出模式，加快安全防護技術落地，將 IT資源轉移到價值更高的項目。2023 云安全聯盟大中華區版權所有108改進支出模式。借助 XDRaaS，企業可以通過訂閱方式從提供商購買服務來降低成本。在使用 XDRaaS 和云服務之前，企業必須購買多個安全產品，在現場進

237、行安裝，然后將所有東西整合在一起以進行安全檢測及安全防護?，F在，借助XDRaaS，企業只需購買自己所需，然后隨需付費即可。以前的資本支出現在變成了運營支出。第五章 實踐案例分享第五章 實踐案例分享5.1 大型企業大型企業 XDR 實踐案例分享實踐案例分享5.1.1 背景背景隨著組織信息化建設規模的擴大，安全架構日趨復雜，各種類型的安全設備、安全數據越來越多。某大型企業集團以網絡安全設備互聯互通技術為基礎，構建XDR 安全框架體系。網絡安全態勢感知平臺和安全產品互聯互通基于集成多個具備安全能力的產品，可以靈活調度各類安全產品的安全能力，簡化安全流程，增強安全自動化以加速事件響應。圖 5-1 給出

238、了典型應用場景，具體如下：圖 5-1 網絡安全態勢感知平臺與安全產品互聯互通數據采集場景。網絡安全態勢感知平臺與其它產品、系統和不同的前段數據 2023 云安全聯盟大中華區版權所有109源通過數據接口進行數據采集，主要包括資產信息、脆弱性信息、日志信息、流量信息等。1)資產信息：通過終端檢測與響應系統（EDR）或 NDR 等流量數據檢測系統或產品中獲取網絡中的資產信息，包括操作系統、版本、用戶、IP 等；2)日志信息：通過防火墻、漏洞掃描產品、終端檢測與響應系統（EDR）以及 IDS、IPS、NDR 等流量數據檢測系統獲取網絡設備、主機、應用、安全設備等記錄的日志數據和告警信息；3)威脅與脆弱

239、性信息：通過漏洞掃描產品和其他安全監測產品獲取威脅情報信息、脆弱性數據等；4)流量信息：通過終端檢測與響應系統（EDR）以及 IDS、IPS、NDR 等流量數據檢測系統或產品獲取異常流量數據和按規則匹配的網絡流量數據。5)聯動處置場景。以網絡安全態勢感知平臺為中心，通過聯動處置接口，支持防火墻策略下發、威脅阻斷等功能，支持終端檢測與響應系統（EDR）和 IDS、IPS、NDR 等安全監測產品的威脅與攻擊檢測響應功能，支持通過接口進行防護策略的更新和下發等操作。5.1.2 技術路線技術路線XDR 安全框架體系是一項不斷完善建設的工作，不可能一蹴而就。根據對國際和國內完技術分析，集團公司以網絡信息

240、安全基礎平臺戰略為基礎，逐步完成三個階段目標。1、數據標準化，基于通用協議的數據采集抽象形成一個數據字典，形成大數據資源池；2、數據建模功能化：依據標準化的大數據資源池，根據安全功能建模，形成安全功能數據池；2023 云安全聯盟大中華區版權所有1103、服務能力接口化：面向應用場景提供標準的對外服務接口。圖 5-2 集團 XDR 安全技術框架數據接口主要采用協議包括 HTTPS、SFTP、SYSLOG、Kafka 等協議采集數據，采集的主要類型包括資產數據、脆弱性數據、威脅信息、流量、威脅情報等?？刂平涌谥饕?API 接口或其他方式（SSH）提供聯動處置接口，支持通過接口進行防護策略的更新

241、、掃描策略的下發等操作。5.1.3 案例介紹背景現狀案例介紹背景現狀在日常網絡和安全運維工作中，由于業務需要，經常需要對相關的出口防火墻的規則進行配置以及對相關部門的防火墻下發阻斷策略；主要存在以下問題：配置效率低。在大型集團企業中，不同的事業部都有自己的出口防火墻，集團信息中心需要手動定位目標防火墻并手動配置策略，同時請求流程繁復，實施周期長，影響開通業務的時效性。2023 云安全聯盟大中華區版權所有111客戶除了部署多種品牌的防火墻，缺少防火墻的統一管理平臺。針對惡意 IP阻斷，只能一刀切，不能基于事業部的方式進行精準阻斷。產品應用部署以網絡安全態勢感知平臺為核心的整體方案，平臺覆蓋企業主

242、園區、分園區、各大區核心和匯聚網絡設備；累計共完成網絡設備 267 臺；公司級防火墻設備 30 臺，共計 297 臺；部署圖如下：集團網絡安全態勢感知平臺組件如下：通過平臺的安全策略中心組件，實現以下能力：通過平臺的安全策略中心組件，實現以下能力：2023 云安全聯盟大中華區版權所有1121、集中配置。通過安全策略中心可以集中配置集團的多個品牌防火墻，既可以通過 API 接口的方式同步和下發配置，也可以通過 SSH 的方式同步和下發配置。2、精準阻斷。通過標簽，把防火墻和事業部綁定，自動定位需要阻斷惡意 IP 的目標防火墻，通過集中控制臺自動下發策略。3、運維規范化。策略中心和業務工單系統數據同步，請求開通工單直接實現防火墻權限變更，策略用途直接關聯工單描述，直觀顯示?？蛻羰找婵蛻羰找嫖床渴?XDR 架構前，集團網絡月均總工單量 420 單，其中防火墻規則設置月均 340 單，占比近 80%，防火墻規則設置日均投入時長為 2.7H；應用 XDR 方案并聯動工單系統后，預計日均時間投入不超過 10Min，時間投入先后減少 94%，預計月減少 7.1 人/天的人員投入，年人員投入節約 4.1 人/月。2023 云安全聯盟大中華區版權所有113