信息安全行业专题报告

信息安全行业专题报告XDR集多个安全产品能力于一体，实现云-网-端全面防护XDR是近几年产业热点安全技术之一，其联动多个安全产品功能，提高整体安全建设和安全运营方案的有效性。XDR（ExtendedDetectionandResponse）是指扩展威胁检测与响应平台，其联动网络、终端、云等层面的安全产品，结合威胁情报、大数据处理和机器学习技术，有效提升安全威胁检测和事件响应能力。根据Gartner的定义，XDR是一个安全平台，将特定供应商的多个安全产品，原生地集成到一个统一的安全运行系统中。在Gartner新发布的MarketGuideforExtendedDetectionandResponse中，已经将XDR技术扩展至FWaaS、NDR、SWG、EDR、UEM、DLP等能力的综合体，因此，XDR中的“X”代表着安全能力的持续扩展，结合数据中台技术、自动化编排技术及安全分析技术，形成面向多种甚至未知安全场景的综合型安全解决方案。伴随网络攻击逐渐复杂化、隐蔽化，传统单点防御无法应对持续性威胁，XDR有望消除政企机构安全孤岛导致的运营低效。目前，网络攻击正在变得更加隐蔽和复杂，攻防对抗从原来的技术之争逐步演变为速度之争。尽管政企机构此前已经配备了防火墙、IDS、IPS、WAF等安全设备，但是这些设备每天产生海量告警，且来自不同厂商的设备各自为战、检测割裂，难以将多个节点的痕迹自动关联成一个完整的安全事件，安全团队及时跟进告警分析与事件响应的难度大。根据ESG的调查，76%的安全人员认为，当前的威胁检测和响应工作比两年前困难得多，一方面是因为威胁数量大幅增加，另一方面是因为安全人员仍然依靠手动流程来工作。鉴于此，XDR通过集成各自为战的单点安全产品，形成整体检测和响应策略来消除安全孤岛。与EDR相比，XDR是EDR的扩展和增强版，具备更强大的检测能力、响应处置能力，将减轻政企机构安全运营负担，聚焦实质性安全威胁。XDR的优势体现在：多元化的检测能力、体系化的响应处置能力、各类环境的广泛适配、不断强化的订阅能力。相较于端点安全产品EDR，XDR的告警更加完整，安全调查更加高效，同时，XDR关注的不仅仅是技术问题，还有政企机构的运营需求。XDR可大幅减少政企机构安全人员低价值的重复工作，自动将告警汇集成安全事件，使得安全人员聚焦到应对真正具备威胁的风险上。XDR于2018年由PaloAlto首席技术官NirZuk提出，2020-2021年连续入选Gartner端点安全、安全运营技术成熟度曲线，目前处于创新启动期。早在2017年，Gartner指出，未来5年企业的网络安全支出战略、预算结构将发生重大改变，重心将从阻止向检测和响应倾斜。2019年，在国际信息安全领域规模最大的产业盛会——RSA大会上，有关XDR的讨论开始升温。此后，Gartner将XDR列为2020年第一大安全技术趋势，以及2020-2021年十大安全项目之一。在有科技产业界风向标之称的Gartner技术成熟度曲线中，端点安全和安全运营两个领域在2021年都提及了XDR，位置处于创新启动期，说明XDR依然处于早期成长阶段，潜在的发展空间广阔。XDR潜在市场空间达百亿级，综合型厂商具备布局优势XDR有望成为行业内主流部署方式，渗透率将快速提升对于大型政企机构而言，XDR能力可以分阶段被集成在已建成的SOC中，亦可用于攻防实战。许多大型政企已经在SOC上拥有积累，如建立SIEM、SOAR等，XDR可增强现有的SOC技术和流程。SIEM从整个企业聚合和分析日志数据，但只是一种发出警报的被动工具，很少用到上下文分析和安全产品的关联分析，安全团队或被海量警报淹没；

根据Solarwinds白皮书调查数据，拥有一千名员工公司部署的SIEM，每秒钟记录的安全事件数多达2.2万个。由此，XDR可与SIEM协同，充分利用其产生的安全日志数据。SOAR对于SIEM产生的报警和安全事件进一步进行流程化自动化分析&处置，对企业的安全建设及业务配合要求更高，目前在国内市场仍处于初级阶段。相较于SOAR，XDR在部署时集成特定供应商产品的能力更强，更加聚焦威胁检测和事件响应，且轻量化、标准化。此外，相较于主要采集网络流量和第三方安全设备日志信息的态势感知平台，XDR补齐对终端侧的感知，并且能在众多的告警中关联查找、发现真正的威胁。根据安全牛的观点，XDR在大型政企机构的应用场景还包括：在网络攻防实战、HW行动中，使用XDR平台，实现快速联动分析。对于中小客户而言，XDR未来有望成为安全建设的首选。对于未建立SOC或态势感知全面配置的中小客户，XDR具有更为重要的价值，在快速安装部署、快速配置集成、快速使用见效等方面具备明显优势。XDR通过统一、高度集成的方案，为简化企业的安全运营人力需求提供了便利性和回报率，有望成为中小客户以及教育医疗机构、地方政府等的首选。XDR的目标是“SOC-lite”，中小客户无需部署复杂、昂贵的SIEM和SOAR，而是在预算和安全人员有限的情况下，上线轻量化的、“开箱即用”的XDR平台。综合型厂商在XDR布局上具备优势，客户粘性和客单价有望进一步提升综合型厂商在XDR布局上具备优势，未来或通过并购投资实现安全能力的持续生长。结合XDR定义，网络安全公司提供XDR的能力需要循序渐进地形成。亚信安全对XDR的发展提出具体设想：首先，布局集成的探针类产品终端、网络、云、邮件以及身份安全；

然后，基于厂商已有能力提出场景化的XDR解决方案；最后，通过XDR集成各类安全设备，以及提升自动化程度、检测效果。我们认为，XDR仍处于初步产品化时期，距离实现提供成熟的跨厂商、跨产品的集成能力仍需一定时间。与此同时，综合型网络安全厂商更注重产品线的全面性，在集成自身产品基础上实现XDR布局具备显著优势。专精型厂商在一些细分领域的技术演进速度或领先于综合型厂商，因此伴随XDR发展，网络安全行业的投资并购活动或更加频繁，综合型厂商通过并购新兴安全厂商以追求扩大XDR的场景覆盖与竞争力。海外围绕XDR的投资活动十分活跃，如Google宣布斥资54亿美元收购网安公司Mandiant。中长期看，XDR或推动安全行业开放标准建设，打破厂商之间的隔阂。总体来看，网络安全厂商提供XDR有三种路径：1）原生XDR，由单一供应商提供所有设备，特别是本身在EDR上积淀深厚的厂商更倾向于此，优点是集成度高，缺点是用户可能已经部署多家厂商的产品，不愿意重复投资；2）开放XDR，厂商集成多家第三方厂商的产品与技术，适合于SIEM、SOAR厂商，难题是如何说服其他同行参与；3）混合XDR，厂商提供几乎所有的XDR组件，但允许集成第三方工具，使得客户充分利用此前在安全基础设施上的投资。在当前背景下，网络安全厂商期望客户在XDR基础架构中整合自身提供的所有设备，但考虑到安全行业的多样化以及客户原有部署的安全基础设施可能来自不同的品牌，厂商需要支持一定程度的开放性，包括开源消息总线集成、开放的API、合作伙伴生态系统、行业标准等。因此，中长期看，安全行业内部的设备互联互通标准、数据格式标准等有望逐步建设，推动厂商之间打破隔阂。此外，安全托管服务的重要性或将提升，与XDR相辅相成。XDR与MDR（托管检测和响应服务）存在一定的竞争关系，但事实上，企业CISO关注的是威胁检测和响应的效果，XDR供应商未来也有可能建立自己的托管服务团队或与MDR服务商达成合作。从海外来看，CrowdStrike、FireEye、Secureworks、TrendMicro等厂商正在提供XDR和MDR集成的产品服务组合。许多中小企业通过MSS（安全托管服务）来获得业务系统的安全保障，XDR与MSSP（安全托管服务提供商）同样存在合作机遇：一方面，XDR的成功落地仍然需要借助安全专家的专业技能，企业需要具备通过智能分析对噪声中的真实事件进行排序并确定响应优先级能力的人才；同时，对于MSSP而言，借助于XDR，可以投入更少的人力、花费更低的成本，来搭建一套有效的安全技术架构，为客户提供可靠的安全服务，并获得运营收益。随着XDR的应用逐步深化，安全厂商在销售策略上或更加关注客户的业务与战略，XDR有助于客户粘性提升，进一步带来客单价的增长。XDR的价值主张是用一整套集成的专有产品套件，代替来自不同网络安全公司的工具，对于政企机构而言，这需要分步骤进行，因为已经投资建设或部署的安全设备需要时间周期进行替换。XDR供应商需要说服政企机构认同XDR的理念，同时，对于网络安全厂商而言，这意味着要从交易型销售转变为战略型销售，以用户与业务为中心，将产品服务与行业属性深度结合，提供匹配的解决方案。在此过程中，网络安全厂商与客户的粘性将得以强化，传统安全公司多销售硬件类产品，需要持续获取新客户、新销售机会，而XDR为客户提供逐步叠加的安全组件，使得供应商、客户的粘性增加，更易于拓展产品合作，打开了客单价增长空间。网安厂商加快布局，推出多形式XDR产品海外XDR市场表现火热，各类安全厂商踊跃探索前进方向海外XDR市场火热，安全厂商积极探索方向，XDR技术在实际场景中发挥作用。从海外来看，网络安全先进技术发展方向出现变化，厂商通过着重发展云化、服务化方式交付核心安全能力，通过产业促进、自发开放等方式扩大厂商间、产品间对接，以提升整体安全效果，而XDR充分符合这一发展趋势。目前，海外大型网络安全厂商纷纷发布XDR套件，不限于PaloAlto、CheckPoint、Fortinet、TrendMicro、Trelix（FireEye&McAfee）、Cisco等，反映了XDR市场前景的广阔。同时，各类厂商的具体思路不同，如趋势科技、PaloAlto、Crowdstrike等厂商基于EDR构建XDR能力，而Exabeam、LogRhythm等厂商基于SIEM发力XDR，不同禀赋或决定其XDR能力的差异。PaloAlto于2019年推出业界首个原生集成网络、终端、云和第三方数据来阻止攻击的XDR平台——CortexXDR。CortexXDR是基于云的应用，在调查方面，支持接入第三方数据引擎，开发自定义收集解析规则，对第三方数据源进行规范化；在分析检测方面，使用云主机、流量和审计日志+PrismaCloud警报对以云为中心的威胁进行检测，通过防火墙、IAM（Okta、PingAzureAD）、AD、HR平台（Workday）、SASE网关分析用户活动；在事件响应方面，CortexXDR本地分析引擎以机器学习技术为驱动，实现业界领先的恶意软件检测率，并借助敏捷架构实现模型快速更新，从而应对多变的攻击技术。CortexXDR持续升级产品，不断提高安全效率。随着安全威胁的发展，CortexXDR在不断创新的基础上，致力于提供新功能，以提高安全效率并简化操作，目前3.0系列产品已经发布。2021年11月，PaloAlto和普华永道中国宣布扩大合作，将把普华永道提供的托管安全服务与CortexXDR、CortexXSOAR安全平台相结合，在中国市场提供安全运营服务，减轻安全运营人员的负担，实现从警报管理、调查到事件响应的全天候覆盖，从而进一步提高安全运营效率。CrowdStrike基于EDR发展XDR，强调EDR的突出地位，2021年发起成立CrowdXDR联盟。CrowdStrike正从单一的EDR供应商转型为包括XDR、SOAR和SIEM的多产品安全平台公司。CrowdStrike强调终端安全依然是其基本盘，CTOSentonas认为，“好的EDR本身就构成了XDR方案的90%”，同时指出，“XDR并不是日志管理，我们实现XDR的方法是在不损失EDR能力的前提下去增加XDR的功能”。2021年初，CrowdStrike宣布将以4亿美元收购日志管理平台Humio，将其打造为安全数据集成平台。2021年10月，CrowdStrike推出XDR模块，同时发起成立CrowdXDR联盟，启动合作伙伴包括来自云、Web、电子邮件、身份、网络、OT和IT运营等安全和IT行业的领导者。国内亚信安全较早提出XDR，头部网安公司近几年陆续布局亚信安全是国内较早提出XDR的网络安全厂商，2019年正式推出XDR解决方案。AISXDR具备集成套件产品、统一配置管理、场景化分析处置、威胁情报联动等四大核心能力。前端由终端、主机、网络、身份、邮件网关类产品构成，为高级威胁检测提供了最重要的遥测数据；XDR统一威胁运营平台基于安全大数据分析技术，构建了威胁建模，报警收敛、事件聚合等核心技术，通过威胁情报的赋能，有效联动各类产品，遏制报警风暴、还原攻击链路、自动处置高级威胁。亚信安全通过XDR套件，为客户提供了更全面的联动安全防护能力，同时以持续授权方式提供实时更新的威胁情报库、威胁情报分析及专业服务，使得厂商与客户之间产生了长期的用户粘性，更易于合作的深化。亚信安全募资建设“智能联动安全产品建设项目”，形成基于XDR和安全中台的智能化联动安全平台，未来XDR还将提升安全服务价值。智能化联动安全平台将以XDR产品套件、安全中台解决方案或综合服务的方式交付给客户，具有三大特点：1）全云化，全线产品SaaS服务化交付，实现云XDR和云态势驱动的SaaS安全中心；2）全连接，产品之间数据接口联通、数据情报共享，实现管理平台联动编排、客户本地威胁分析中心情报共享、云端威胁情报联动全网免疫；3）全智能，通过威胁情报和机器学习分析，实现安全可视化、自动化、智能化，从而显著降低安全配置和事件响应的复杂性。亚信安全未来还将XDR与安全服务相结合。传统的安全服务往往重人力投入，在成本端压力较大。亚信安全在建立成规模的安全专家团队的同时，将服务结合XDR平台、优势产品的能力，助力客户切实解决安全问题，为客户提供更多战略价值，也保证了自身安全服务业务未来的毛利率企稳。以XDR产品套件为核心工具平台的托管安全服务，以风险管理为中心，提供暴露面管理、高级威胁分析、安全事件管理、本地威胁情报管理、威胁猎捕等服务内容，驱动客户网络安全建设、攻防对抗能力整体提升。深信服发布SaaSXDR，提升安全事件处置效率。基于网络安全领域多年积累的检测、响应等能力，深信服面向攻防实战设计了深度关联分析和联动响应机制，有效打通了跨品类安全产品能力的融合。在数据采集方面，公司SaaSXDR将端、网、云等遥测数据构建为完整的攻击链，把海量告警转换为安全事件，实现告警削减近90%；在安全检测方面，结合IOA、IOC检测技术，叠加云端专家提供的XTH威胁鉴定能力，实现事件检测精准度达到99%。此外，开放性让深信服XDR不仅可以集成自家的安全产品，也可以和产业内的产品融合，帮助用户复用现有投资，将各类产品有效联动应对攻击威胁。未来，深信服将开放SASE3.0能力对接XDR，提供一站式安全服务。以SASE、MSS、XDR思想在云端构建安全防护体系，未来，SASE、XDR、零信任、开发安全有望成为深信服四大安全平台。SASE3.0最核心的技术升级体现为在SASE节点上实现全安全栈，通过编排的方式实现按需使用和分类防护，包括上网流量接入审计、管控和防火墙能力，内网流量接入零信任、内网WAF等能力。SASE3.0通过平台方式把安全工具化、服务化，深信服将开放SASE3.0能力对接MSS、XDR平台以及广大安全生态伙伴，以便给用户提供更高阶的和一站式的安全服务。奇安信

XDR解决方案以天眼系统为主，全线产品联动，突出实战攻防，打造“云管端”一体化安全防护能力。奇安信天眼系统以攻防渗透和数据分析为核心竞争力，聚焦威胁检测和响应，为安全服务和分析人员提供一套在监测预警、威胁检测、溯源分析和响应处置上得心应手的威胁检测平台。2018年开始，天眼系统与奇安信安服体系整合，顺利进入政企客户攻防对抗一线，实战化水平、防守效果得到验证。凭借天眼系统的优势，奇安信在国内威胁检测与响应市场领先，根据数世咨询2020年发布的威胁检测与响应

（TDR）市场指南报告，奇安信在应用创新力和市场执行力两个维度，均位列15家入围厂商第一名。通过天眼系统与终端管理系统（天擎）、下一代智慧防火墙（NGFW）、服务器安全管理系统（椒图云锁）、攻击诱捕系统（蜜罐）等产品的协同联动，奇安信能够帮助客户更好更快地发现攻击方的攻击行为。2021年，奇安信还发布天眼MDR安全托管服务，助力提升企业安全运营效率。启明星辰

XDR安全运营服务“远程+本地”协同联动，相较于传统安全运营服务更加轻量化。启明星辰XDR方案是以紧耦合方式实现快速威胁检测和响应的工具集，完整覆盖EDR、加密隧道检测、全流量取证分析、沙箱样本分析、攻击链还原等核心能力。XDR安全运营服务的优势体现在：1）轻量化，运营所需的平台、技术工具均可以租赁的形式提供，减少客户的一次性建设投入；2）基于实战演练视角，将服务划分为脆弱性闭环管理和持续性威胁管理，前者侧重于对客户资产的安全监测和漏洞发现，后者侧重于对客户网络安全事件的监测和响应处置，通过对两类服务的组合，为客户的网络安全监测与防御技术堆栈提供有效性验证机制，帮助客户构建起基于实战视角的网络安全监测、分析、响应和防御体系。启明星辰坚持“第三方独立安全运营”的理念，已在全国各地30多个城市开展安全运营业务，XDR安全运营服务有望迎来持续发展。安恒信息新发布AXDR高级威胁检测与分析系统，作为态势感知方案组成，全方位覆盖日常运维、重保、攻防演练等场景。AXDR是基于安恒信息的威胁检测和数据分析能力，构建的一种跨多个安全层收集并自动关联信息以实现快速威胁检测和事件响应的解决方案。AXDR结合网络、终端告警，自动化提取安全事件，具备威胁检测、攻击溯源、场景感知、威胁响应和威胁狩猎等功能。在日常安全运维中，AXDR提供丰富的检测手段，如规则引擎检测、语义分析检测、机器学习检测、情报库碰撞、异常行为检测等，支持与其他安全设备联动。在重大场景保障中，AXDR提供多视角检测方案以及态势感知大屏，通过安全事件聚合、关联分析等手段进行分析，帮助安全分析人员及时捕捉重要威胁来源，同时对危险来源进行追踪溯源，保障网络环境安全。在实战化攻防演练中