2023新一代威胁检测与响应技术创新发展报告
AI智能总结
新一代威胁检测与响应(XDR)技术创新发展报告 关于ISC ISC成立于2013年,是国内唯一专注为数字安全行业赋能的平台。打造集会展服务、咨询服务、媒体服务、生态创投、生态联盟、产业导入“六维一体”的生态模式,全面赋能国家、政府、行业、企业、个人。过去10年,ISC秉承创新引领、智慧洞察、专业高效的宗旨,创办了亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会——互联网安全大会,树立了中国网络安全产业名片。 版权声明 本报告版权属于ISC,任何组织、个人未经授权,不得转载、更改或者以任何方式传送、复印、派发该报告内容,违者将依法追究法律责任。转载或引用本报告内容需要注明来源,同时不得进行如下活动: ·不得擅自同意他人转载、引用本报告内容。 ·不得引用本报告进行商业活动或商业炒作。 ·本报告中的信息及观点仅供参考,ISC对本报告拥有最终解释权。 专I家I寄I语 XDR是前两年非常热的名词,最近一年声音小了很多,不是XDR概念不好,是XDR产品开发的难度太大!在安全运营、平台化、服务化成为趋势的今天,XDR其实是未来安全运营平台的一部分,只是不同背景的公司优势不同,他们实现XDR目标的路径会不同。 ————赛博英杰创始人谭晓生 传统威胁检测技术的核心是流量检测,但随着云计算和远程访问的普及,终端的检测变得愈发重要起来。因此,本报告将这一变化用新一代的威胁检测与响应来表达。而实际上,较之网络流量检测,端点的检测结果往往更加准确、高效,这也是EDR之所以越来越受到关注的主要原因之一。除了端点和流量,“新一代”还意味着与日志工具(SIEM)和流程工具(SOAR)的结合,意味着云机地人的一体化协同和多维度数据的打通。更多的观点和内容,推荐阅读本报告。 ————数世咨询创始人李少鹏 一直以来网络安全行业都缺少统一的力量,不能“集中力量”就无法“办大事”,XDR技术的创新发展为改变现状增加了可能。XDR技术的与众不同就在于能够自我进化和无限扩展,新一代XDR将当前最新的大数据技术、AI技术、威胁图谱等技术兼容并蓄,提供给安全运营人员一个识别威胁检测的全局视野,一个处理威胁响应的高效工具,让安全运营人员的人力极限得到解放和突破,大幅提升组织的安全运营能力。在这一过程中,新一代XDR必须打破数据共享壁垒、打破技术协同壁垒,客观上推动了相关技术标准的统一,为行业出现真正的标准化、规模化的产品提供了想象空间。未来几年XDR产品将迎来高速增长期,希望更多的安全运营客户能够通过本报告了解新一代XDR技术,更早一步受益于技术红利和普惠安全。 ————赛迪顾问总裁助理、软件与信息服务业研究中心总经理高丹 软件行业有句名言:商业模式要么是捆绑,要么是分拆(bundle,orunbundle),新技术面世,往往先以分拆模式,作为独立的产品出现,一旦技术成熟,就走向捆绑(或者叫高度整合)形态,融合进已有产品。安全产品的发展亦然。SIEM和从SIEM发展而来的XDR,就是两种模式的代表。单看SIEM的底座大数据技术,在SIEM出现的十余年间,都尚不成熟,产品化Hadoop生态的大数据技术,需要大量的部署及运维成本。只有2010年后开始,各种NoSQL的使用成本,才慢慢降到上一代SQL数据库的成熟水准。类似的还有以EDR为核心的检测技术,SOAR代表的响应处置自动化技术等,都是在最近几年中,业界共识的安全运营核心组件。对于最终用户,一个高度整合的XDR,除了单算经济账,投入产出比更好外,更重要的是,构筑、整合这些最佳技术的XDR,是目前解决安全运营流程中各种问题的最佳平台。以平台的高速发展势头,未来几年,快速成熟中的各种新兴技术,如AI/GPT,如BAS,会陆续普遍整合进XDR,给客户提供更高的安全运营价值。 ————360本地安全大脑主架构师、瀚思科技原CTO万晓川 新一代XDR系统借助大数据分析和人工智能技术,正在向平台级网络防御体系迈进。其核心优势在于两个关键性能指标:精准识别网络攻击的时延和快速反制的速度。要想进一步提升这两项指标需要三方面能力的有效协同:高效处理海量异构数据的能力、高质量威胁情报能力以及安全团队的可持续专业经验。考虑到数据监管的日益严格,以及为了应对未来更广泛的安全挑战,XDR还需要将覆盖范围将扩展到IoT等物联网设备,同时还要考虑数据隐私保护以及合规性审计等。可预计,XDR将向更智能、更协同、更开放的方向升级,并成为下一代安全运营的中枢平台。 ————亚信安全业数平台产品战略官魏小强 前言 中美对抗、俄乌冲突、以哈战争…,今天,大国竞争和地缘冲突愈演愈烈导致逆全球化格局的逐渐形成,此前好不容易建立的网络空间国际合作治理已经遭到严重破坏,这给了网络犯罪前所未有的发展空间。有关机构预计2023年网络犯罪将给全世界造成8万亿美元的损失,这相当于全球网络安全收入的40倍。我之砒霜,汝之蜜糖。巨大的经济利益激发了黑客无比的创新热情,在层出不穷的安全事件中,我们可以看到大语言模型、AI深度伪造、CaaS平台等前沿技术的身影,平台化服务已经使得网络犯罪不再有技术门槛,向分工化、分散化、规模化的方向狂奔。既有精准狙击,也有无差别扫射,政府和企业的数字化转型和生存真正成为了一个塔防游戏,安全底座不牢,开局就是终局。 至暗时刻也许就要到来,而被寄予守护世界厚望的网络安全行业则处于发展的寒冬。2023年国内26家上市网络安全企业有3/4处于亏损状态,前3季度的融资率同比下降超过 50%,“供给质量不高,需求释放不够,产融合作不深,人才队伍不足”四大痛点未见好转,就像痛风,在大环境的寒气下,让整个行业更加疼痛了。何时能够在合规产品的同质化红海里停止厮杀?何时能够共同直面和解决强大对手不断制造的新问题?只有创新才能对抗创新!这是ISC平台上下求索和苦苦等待的。勿以善小而不为,行业在创新上迈出的每一小步都是ISC平台不会错过的。我们会通过技术创新系列报告的形式,告诉同行们,这个方向有人还在攀登。本期《2023新一代威胁检测与响应(XDR)技术创新发展报告》主要介绍了XDR技术的基本概念和最新发展,基于目前的浅见,我们认为“打破安全数据孤岛,全方位数据关联分析”、“利用多项先进技术提高威胁检测和响应效率”和“云地一体化运营推动普惠安全服务”是新一代XDR技术创新取得的主要进展。此外,最有价值的是报告详细收录了5个落地实施的最佳实践,相信这些实践经验会对行业同类项目的实施有所裨益。 梅花香自苦寒来,没有“知其不可而为之”的精神,今天的世界谁还会坚守网络安全?而今天世界的“为之”是为了交给明天一个更好的世界。 ISC平台与你同行 2023.12 目录 一、XDR概述 1.宏观背景02 1.1数智时代网络空间安全面临越来越严峻的问题和挑战02 1.2网络安全顶层设计为XDR等网络安全技术的创新和快速发展提供机遇02 CONTENTS 2.安全运营需求背景03 2.1数字化转型给安全运营带来空前挑战03 2.2数字时代的安全挑战驱动网络安全行业变革04 2.2.1外部威胁升级04 2.2.2内在固有的脆弱性05 2.3数字时代安全运营需要技术创新实现专家和技术高效协同06 3.XDR的概念演进07 3.1XDR概念的提出07 3.2新一代XDR的发展08 3.3XDR的市场前景09 二、新一代XDR的关键创新优势 1.新一代XDR保持XDR原有的核心技术架构12 1.1XDR的核心是EDR12 1.2XDR集成NDR获得更深入和广泛的安全视野12 1.3XDR集成SIEM增强其在检测和响应领域的执行能力13 1.4XDR集成SOAR提升其工作的精准性和效率13 1.5XDR是SOC现代化改造的重要组成部分13 2.新一代XDR的关键创新优势14 2.1打破安全数据孤岛,全方位数据关联分析14 2.2融合应用多项先进技术提高威胁检测和响应效率15 2.2.1基于ATT&CK攻防知识百科形成高质高效的安全数据采集和分析规则16 2.2.2基于安全遥测数据获得全局视野17 2.2.3结合人工智能和威胁图谱技术实现自动化威胁狩猎18 2.2.4SOAR技术提供快速响应和处理安全事件的能力19 2.2.5BAS技术为XDR提供及时的量化评测21 2.3与MDR紧密结合通过云地一体化运营来提供普惠安全服务22 2.4XDR技术的常见优势22 3.新一代XDR技术的核心价值23 3.1新一代XDR技术的核心价值23 3.2新一代XDR与传统安全工具的对比优势25 三、新一代XDR技术的发展问题及建议 1.平衡效率与隐私,逐步接受SaaS化普惠安全服务27 2.聚焦提升AI能力,同时关注AI+安全27 3.发展生态建设推动标准互通28 四、新一代XDR技术的最佳实践 1.360数字安全:某头部国有股份制银行智能化安全风险研判平台建设项目31 2.金睛云华:某省互联网骨干直联点安全监测项目35 3.电信安全:某金融机构网络空间威胁监测与响应平台建设项目41 4.星阑科技:某金融机构API安全保障项目44 5.中睿天下:国家电网威胁检测与攻击溯源项目46 01 XDR概述 1I宏观背景 1.1数智时代网络空间安全面临越来越严峻的问题和挑战 从蒸汽机的发明开始,每一次工业革命都永远改变了世界的运作方式。在工业4.0这场新时代的革命中,全球向数字化、网络化、智能化的数智时代加速转变,数字技术与经济、政务、文化、社会和生态文明建设等领域深入融合,发挥着基础设施和赋能提效的关键作用。在这场变革中,数据是基石,人工智能驱动的分析和自动化是科技竞争的焦点,智能技术成为一种全新的劳动力,释放出极大的数据价值,创新和改变企业的业务模式。企业需要充分发挥数据和人工智能的力量,才能有机会在技术更新周期不断缩小的数字革命中生存和发展。 数智时代,我国亦不可避免的入局数字化转型的“大争之世”,这个“大争”体现在两个方面:一方面,数字经济正在成为大国竞争的制高点,国家、区域乃至行业都需要不断在网络空间开疆拓土,推动数字化转型和数字经济的发展;另一方面,数字化是一把“双刃剑”,世界在获得网络发展之利的同时,也深受网络威胁之害,网络空间正在成为大国博弈的新战场。 网络空间作为与“陆海空天”并列的第五空间,正在高速与前四空间深化结合,新的应用场景不断产生,体现出一切皆可编程、万物均要互联、数据驱动业务三大特征。随之而来的,网络空间威胁也在深刻的演变。APT成为主要手段,针对业务关键数据的勒索攻击呈爆发式增长,城市关键基础设施和工业互联网成为主要攻击目标,网络攻击的发起者正在从“白开心”的技术极客,迈向“淘黑金”的网络黑灰产业和“大玩家”的国家专业力量,使整个攻击力量谱系呈现出丰富、复杂的分布。网络攻击从网络空间向经济、社会、国防、外交等全域交织渗透,影响巨大。新的安全威胁呈现出了攻击面几何倍数急剧扩大、新技术新场景引入新风险、国家关键基础设施面临严重威胁、以及网络空间博弈加剧等特点,网络安全工作面临越来越严峻的问题和挑战。 1.2网络安全顶层设计为XDR等网络安全技术的创新和快速发展提供机遇 我国自党的十八大以来,在党中央的高度重视下,网络安全工作取得了举世瞩目的成就:一是法律法规体系建设进一步完善,《网络安全法》、《数据安全法》、《个人信息保护法(草案)》、《密码法》、 《网络安全审查办法》等多项法律法规的发布,为我国网络安全工作的推进提供了规矩和准绳;二是网络安全产业蓬勃发展,根据中国信息通信研究院的统计测算,2020年我国网络安全产业规模达到1729.3亿元,未 来5年将持续保持10%以上的增速;三是网络安全威胁治理取得显著成效,DDos攻击、僵尸网络控制等传统网络安全事件呈稳步下降的趋势。 为应对数智化转型不断深入以及大国网络空间博弈不断加剧给网络安全工作带来的新形势新变化,我国在《网络安全法》中着重提出了“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施
