新一代 XDR — 面向未来的数字安全防御架构 2 1. 数字化转型正在重塑未来世界 全球爆发的新冠疫情倒逼各组织 （指企业、 政府等各个机构） 进行数字化转型， 如 远程办公、 混合工作模式， 以及云服务等的广泛采用正在成为常态， 并且已经永久 性地改变着人们的工作、 生活和经营方式。 对组织而言， 数字化转型不仅是简单 的业务上云， 而是一个推动跨业务、 人员、 技术等的数字供应链变革的整体解决方案 。 这种变革正在重塑组织的商业模式， 加速业务或商业的数字化进程， 增强业务 弹性， 同时在推动着网络和安全的变革， 重塑着未来的世界。 1.1. 数字化转型之业务变革 所谓业务变革， 是指随着全球数字化进程的不断推进， 在任何地点、 任何时间 ， 访问任何应用已经成为数字化业务的基本特征。 业务变革的本质是寻求现代 IT技 术重塑其应用及服务模式， 增强业务弹性， 持续保持组织在行业中的竞争优势。 采用数据中心 +云的方式已经成为众多组织 IT架 构 的 战 略 选 择 ，组 织 的 IT领导者正 在努力从传统技术堆栈、 复杂的 IT架 构 和 冗 余 的 供 应 商 中 解 脱 出 来 ，以 尽 可 能 低 的成本提供即插即用、 运营高效的 IT服务。 比如广泛的利用云计算、 大数据、 人工 智能和自动化等技术不断提升用户体验， 逐步减少传统 IT系 统 的 投 入 ，加 大 业 务 创新， 利用和依托数据来做出更加合理和科学的数字化决策， 保持业务的可持续 性发展， 增强业务的敏捷性、 弹性和创新性， 快速适应各种数字化变革所带来的 挑战等。 1.2. 数字化转型之网络变革 网络的本质是提供快速的用户接入体验， 缩短用户网络访问的路径， 降低网络 延迟， 简化管理， 提升效率。 随着组织的业务实现数字化转型， 其所带来的最直接 的变化是组织的数据不再唯一驻留在本地的数据中心， 而是分散在不同的地点，新一代 XDR — 面向未来的数字安全防御架构 新一代 XDR — 面向未来的数字安全 防御架构 2 Gartner 的研究： 2022 年预测： 整合式安全平台将是 未来的发展趋势 16 关于360 数字安全集团 23 新一代 XDR ： 这一面向未来的数字安全防御架构由奇虎发布。 由奇虎提供的编辑内容与 Gartner 的分析结果相互独立。 Gartner 的所有调研报告的版权均为 Gartner, Inc. 所有。 © 2022 Gartner, Inc. 保留所有权利。 所有 Gartner 资料在本出 版物中的使用均已获得授权。 使用或者发布 Gartner 调研报告并不表示 Gartner 认可奇虎的产品和 /或 战 略 。未 经 Gartner 事先书面许可， 不得以任何形式复制或分发本出版物。 本出版物中包含的信息均取自公认的可靠来源。 Gartner 不对此 类信息的准确性、 完整性或适当性做出任何保证。 并且不对此类信息中的错误、 遗漏或不适当承担任何责任， 也不对此类信息的任何解读承担任何责任。 此处表明的观点随时可能更改， 恕不另行通知。 虽然 Gartner 研究可能会讨论相关的法 律 问 题 ，但 Gartner 并不提供法律建议或法律服务， 不应将其研究解释为或用作法律建议或法律服务。 Gartner 是一家上市公司， 其股东拥有的公司或基金可能与 Gartner 调研报告中涉及的实体有财务利益关系。 Gartner 的董事会成员可能 包括这些公司或基金的高级管理人员。 Gartner 调研报告是由其调研机构独立完成的， 并没有受到这些公司、 基金或其管理人员的介入或影响。 如需了解 Gartner 调研报告的独立性和完整性的详细信息， 请参阅其网站上的 “独立性和目标的 指导原则 ”。3 3 如 公 有 云 、私 有 云 、数 据 中 心 、合 作 渠 道 、终 端 、物 联 网等等。 这种复杂的网络直接带来了访问延迟、 数据 出 口 成 本 高 昂 ，用 户 访 问 体 验 差 、系 统 管 理 复 杂 、网 络成本上升、 安全攻击面扩大等众多问题。 随着网络 不断复杂化， 导致大量的数据孤岛出现， 进一步加重 了组织的 IT负 担 ，阻 碍 了 组 织 的 数 字 化 进 程 。 越来越多 的企业把业务迁移到云上， 通过互联网直接访问， 而不是采用昂贵的专线进行中转。 利用互联网， 极大 的缩短了访问路径， 改善了用户体验。 另 外 ，大 量 的 边缘计算网络的出现， 让网络的算力更加高效、 合理、 优化， 正在改变着传统网络的格局。 1.3. 数字化转型之安全变革 数字化转型正在颠覆传统网络和安全服务的设计模 式。 数 字 时 代 软 件 在 重 新 定 义 世 界 ，一 切 皆 可 编 程 、 万物均要互联、 数据驱动业务三大特征， 给数字技术 带来不可避免的安全脆弱性。 远程办公、 移动办公、 自 带 设 备（ BYOD ） 、 广泛的第三方 SaaS 应用访问、 第三方影子 IT、 合作伙伴网络、 IT/OT 网 络 融 合 、开 源 软件的广泛采用等等业务的变革驱动了网络的变革。 太多的攻击载体可以利用， 使得攻击者可以轻松的从 任何端点、 网络到云的任何位置发起。 对手可以采用 的攻击向量比以往更多、 范围更广、 烈度更大， 从而造 成的破坏性更大。 随着数字化转型的深入， 互联网成 为新的企业网络， 云成为新的数据中心， 传统安全防 御的空域、 对象、 攻击方式等均发生了根本性变化。 因此， 企业迫切需要新型的数字安全防御思路和手段 来应对数字安全新威胁。2. 数字时代的安全挑战倒逼网络安全 行业涅槃 数字时代面临着外部和内部双重安全压力： 外部威胁 持续升级， 造成告警风暴无法应对、 高级威胁无法看 见、 安全事件难以处置等三大困境； 内在固有脆弱性 难以解决， 存在安全人才奇缺、 安全技术碎片化、 运 营流程无法量化改进等三大瓶颈。 所有这些都催化 网络安全行业即将发生涅槃式变革。 2.1. 传统安全的局限和需求 挑战的背后根因是攻防对抗不可能止于边界。 没有 攻 不 破 的 网 络 ，假 定 失 陷（ Assume Breach ），敌 已在我是不得不接受的现实， 在这种情况下， 安全的 核心是要做到快速看见、 快速处置， 在攻击做出破坏 之前及时斩断 “杀伤链 ”。 传统安全建设模式， 以安全 事 件 为 驱 动 ，通 过 “堆盒子 ”来解决问题， 当出现某个 隐患或热点时， 就增加一种设备来应对， 尽管传统单 点 安 全 产 品 工 具 众 多 ，但 是 集 成 难 度 增 大 ，日 志 难 收 集， 只能依靠进行孤立的数据分析和碎片化安全管 理来应对现代系统化的网络攻击。 2.1.1. 无法应对告警风暴 告警风暴， 是降低安全运营效率的元凶。 一方面 ， 企业数据中心缺乏完善的安全大数据基建。 数据中 蕴藏着企业风险指标等重要的安全信息。 防火墙、 IDS 、IPS、NDR 等各个端类设备上的日志数据格式 迥异， 语义不统一， 难以建立统一的接入方式进行 数据采集和规范化处理以挖掘其中的高价值信息。 同时调研显示， 安全设备日常产生的海量告警数据 中，70% 以上都是由于业务系统缺乏安全性设计或 安全设备检测规则不严谨所产生的误报数据。 企业 安全人员必需从海量告警中剔除这些误报信息， 寻 找具有分析价值的攻击告警。 利用人工智能和大数 据 分 析 技 术 ，实 现 高 精 准 度 的 自 动 化 降 噪 能 力 ，是 企业安全 运营人员的主要诉求之一。 2.1.2. 无法看见高级威胁 随 着 高 级 别 专 业 力 量 入 场 ，国 家 背 景 的 APT 组织日益 猖獗。 我国关键基础设施已全面接入互联网和工业 互联网， 城市、 政府部门和能源、 金融、 电力、 交通 等重点行业的数字资产成为首选攻击目标。 APT （Advanced Persistent Threat ，高 级 持 续 性 威胁） 是一种针对性、 隐蔽性、 持续性极强的攻击行 为， 通常会使用加密、 混淆或代码重写等高级恶意 软件技术来隐藏自身活动， 实现长期潜伏的目的。 此外， APT 攻击组织在识别出核心敏感数据后， 会择 机将数据转移到外部， 窃取数据， 更甚者直接瘫痪 关键基础设施或接管网站、 数据中心等关键资产。 现实中的普遍现象是， 传统安全产品貌似布防严密 却“看不见 ”APT ，导 致 谁 进 来 了 不 知 道 、是 敌 是 友 不知道、 干了什么不知道。 2022 年9月，360 公司协 助国家有关监管部门发布了关于西北工业大学遭受 境外APT 攻 击 的 调 查 报 告 ，是 印 证 上 述 特 点 的 最 佳 案 例 。数 字 时 代 亟 需 构 建 “看见”高级威胁的能力。4 2.1.3. 无法高效处置威胁 威胁处置是安全事件运营的最后一公里， 威胁处置 的速度与质量是成功应对安全事件的关键。 威胁处 置的过程包括研判溯源、 影响面评估、 建立优先级处 置手段等。 而目前的普遍现象是， 安全运营人员大多 使用人工方式处置威胁： 操作多台设备切换不同界面 来完成一个威胁处置， 如登录平台 A看 告 警 ，查 看 服 务器B详 细 数 据 ，封 禁 防 火 墙 C的IP…… 威胁处置过 程中， 受限于多种设备、 多种系统， 多个安全设备之间 的碎片化数据、 非标准化技术导致分析研判难、 联动 与协调难， 不