业内专家解读XDR落地实战关键技术与核心价值

7月19日，在工业和信息化部网络安全管理局指导下，中国信息通信研究院召开网络安全卓越验证示范中心2022年卓越合作伙伴大会。深信服作为卓越中心合作伙伴受邀参会，并就“XDR落地实战关键技术”做全面解读与分享。

此次大会聚焦卓越中心与合作伙伴的多项成果发布，卓越示范中心名誉主任/中国信息通信研究院副院长魏亮、卓越示范中心主任/中国信息通信研究院安全所所长谢玮、卓越示范中心执行主任/中国信息通信研究院安全所副所长孟楠等出席。

目前，深信服已经就创新技术研究、安全能力标准与验证等方面与卓越中心开展了多项合作。未来，希望在安全创新产品的标准化、规范化、智能化方面发挥双方优势，共同推进网络安全产业的发展。

深信服安全技术专家顾立明介绍，自2021年起，我国先后制定颁布多项政策法规用于规范企业网络安全建设，包括《关键信息基础设施安全保护条例》《网络产品安全漏洞管理规定》等，从多个维度制定网络产品规范，为国家和企业信息安全建设提供了规范和指引。

同时，在数字化转型日益深入的驱动下，用户大量的关键业务资产分布在越来越多的网络中。高级的、潜伏的、产业化的新型攻击伺机野蛮生长，而传统的、分散的安全设备难以招架。用户购买了一堆安全设备，却无法协同工作，安全事件依然频发。

顾立明表示，这势必对安全厂商和用户的安全建设提出新的要求，需要学习新的安全理念、升级新的安全技术，以解决威胁检测响应难题——XDR由此诞生。基于多年在威胁检测响应领域的技术钻研与积累，深信服对XDR关键技术与核心价值形成一套完整解读：

全面遥测数据采集。XDR将网端云采集的遥测数据进行聚合与分析，可以深度了解所保护或监控的对象中是否存在的安全风险与攻击，甚至可以回溯之前已经发生过的安全事件，让网络安全具备高度可见性。全面遥测数据采集是安全大数据分析上的巨大进步，通过节省带宽与数据成本，为规模化和SaaS化部署奠定了基础。

AI驱动的自动化威胁狩猎。XDR需要发现各种具备高度绕过、逃避技巧的攻击，需要发现针对性极强的定向攻击，这就意味着XDR必须提供基于攻击技战术的行为检测能力——威胁狩猎。同时，考虑到狩猎专家的稀缺性，XDR不可能依赖以人为主的狩猎，而需要基于AI或者机器学习的方式，以多维检测形成合力，应对各种复杂场景下的攻击威胁。

自动化响应。对于已经渗透到内部的攻击，XDR需要尽快阻止攻击行为，同时识别出关键风险，进行危害根除，并对被利用的薄弱点加固处理。整个过程非常注重时效性，需要抢先在攻击者之前完成，因此依赖自动化的机制，才能有效减少MTTR（Mean Time To Response, 平均响应时间）。

据介绍，深信服可扩展检测响应平台XDR是一种基于SaaS的安全威胁检测和事件响应平台，通过原生的流量采集工具与端点采集工具将关键数据聚合，通过网端聚合分析引擎、上下文关联分析，实现攻击链深度溯源。深信服Saas XDR通过攻击链还原、端网关联分析技术，基于后向和前向溯源分析，提供了自动化根因分析和攻击影响范围分析的能力。