2022互联网安全圈的最新鄙视链，出炉罗

先看下一代防火墙

再看IDS和IPS

最后轮到杀毒软件

为什么会有这些“鄙视链”？

静态防御

单点防御

扩展的安全检测与响应

检测→Detection

响应→Response

XDR不是一个人在战斗

最后

具体该如何落地XDR方案呢？

云原生XDR方案

私有化XDR方案

大家好，我是薄荷

安全圈，历来是有鄙视链的，大家熟知的安全三大件：“ 防火墙、IDPS、杀毒软件”，个个都惨遭鄙视

先看下一代防火墙

这厮鄙视了传统防火墙/UTM好些年，如今，又被「云防火墙」给鄙视了

再看IDS和IPS

历来互相看不惯彼此。现在，双双被新出道的「NDR」吊打

最后轮到杀毒软件

作为资格最老的“安全产品”，不仅没有老而弥坚，反而成了「EDR」们的垫脚石

这都还不算啥！更流行的是整个大圈子的鄙视链

比如：「云原生安全」对「传统安全」

进行碾压式整体鄙视→_→

为什么会有这些“鄙视链”？

是因为安全建设的大趋势变了，传统的“合规驱动型”安全建设，往往是这样的

如今，这种“合规驱动型”安全建设，正在向“实战驱动型”演进

既然是实战，就必须注重攻防演练和动态防御

so，在这样的新形势下，安全市场的鄙视链，就越发清晰了

静态防御

一定会被动态、自动化防御能力鄙视

单点防御

一定会被多点立体防御能力鄙视

传统本地化防御，一定会被云化防御能力“鄙视”

今天我们隆重介绍一个

结合了以上3大“鄙视”特征

站在鄙视链顶端的产品

它就是：XDR

XDR的全称叫作

ExtendedDetection andResponse

扩展的安全检测与响应

“检测“和”响应”，但凡搞安全，都绕不开这两个词

检测→Detection

简单说就是从相关维度查找蛛丝马迹，诊断出安全威胁

响应→Response

就是发现威胁之后，进行应对和处置，该喊的喊，该堵的堵，该杀的杀

检测和响应的过程，好比大夫看病，先“望闻问切”、“查尿验血拍片”，然后再给治理方案：吃药打针动手术，不同的大夫，擅长看不同的病，比如EDR，主要看终端上的病，再比如NDR，主要查网络中的病

专科专治，固然没毛病，但安全威胁，今时不同往日，攻击全天候、立体化、无孔不入，危害性也越来越强

所以，检测和响应的方式也要立体化，就这样，更加“立体”的XDR来了，“X”代表“Extended”，是“扩展”的意思

XDR不是一个人在战斗

它是多种检测和响应能力的团队作战

从前，企业安全的各个组件，像一块块散装木板，很难形成合力，XDR像是“桶箍”，把一块块散架的木板变成了，牢不可破的安全全家桶，这才有了“能力齐射”的效果

在这个“全家桶”里，XDR与各种安全组件紧密集成，对各种日志、流量、告警、情报，进行智能分析和威胁检测，然后再指挥、协调各个安全组件，完成自动化的响应和处置

XDR之所以能“号令天下”

源于它具备5大超能力

首先

XDR是一个全局安全控制点，不像EDR只局限于终端侧，XDR统揽终端、网络、云和工作负载，把各个层面防护和控制都兼顾到，说白了，格局够大，能一杆子通到底

第二

XDR有超强的联动能力，也就是安全集成和互操作能力，不但要汇总各种数据，进行监测，还要联动各类产品快速响应，比SOAR更容易与其它产品集成，特别考验“沟通”和“协调”的本事

第三

大数据处理和AI分析

也是XDR必须要具备的本领，既然汇聚了全局的安全数据（日志、告警、流量、情报），就要依赖机器学习和AI算法，还会引入数据湖的相关能力，对海量数据进行分析处理，发现高级威胁，还原攻击杀伤链

第四

XDR还具备自动化编排能力

通过自动化技术和工具，减少安全运维人员的手动操作，降低出错概率，提高安全运营效率，可以提前编排响应策略，在威胁发生时，自动执行“预案”

最后

XDR还要具备威胁情报能力，既可以利用威胁情报产品，提升检测时效，又可以将分析结果反哺，给威胁情报提供实战加持

通过这些“超能力”，XDR统揽全局，号令天下

深度、全面地检测各类威胁

而且可以一处检测，全局响应

大大提升安全运营效率，降低安全支出成本

那么，对于广大企业来讲

具体该如何落地XDR方案呢？

接下来，我们以鹅厂为例，讲讲腾讯安全XDR是怎么干的

当前IT环境，大多以混合IT为主，既有公有云/云原生场景，也有本地化部署/传统IT场景，鹅厂XDR充分考虑了场景差异

提供两套相对独立的方案

云原生XDR方案

XDR产品的特色是“集众之智”，充分整合现有安全产品，所以，鹅厂的云上XDR，融合了腾讯云上的成熟安全产品（CWPP、云WAF、云FW、iOA SaaS等），多产品联动形成立体化的检测和响应

同时

基于云端强大算力和大数据能力，结合威胁情报、ML算法、专家知识，能够自动实现事件分析和调查，云上联动的均为鹅系自家安全产品，API接口成熟，调度便捷，轻松实现一键快速响应

对于使用腾讯云公有云/混合云的客户，这套云原生XDR方案可以说是绝配，部署成本极低，SaaS化订阅，可以得到开箱即用的安全体验

私有化XDR方案

这类客户通常经历过长期的迭代建设，本地拥有大量异构的安全组件，腾讯私有化XDR针对这种场景，支持大量第三方设备告警和日志，并进行统一的分析和检测

在整合原有老设备的同时，引入腾讯安全NDR和iOA两大利器，强化网络和终端层面的检测与响应，利用云上经验为本地化防护赋能

在两套XDR方案的底层，由天幕PaaS提供安全算力和算法支持，这是鹅厂多年云能力和云防护经验的积累，通过高性能、低代码的底层PaaS驱动，XDR可以比SOAR更轻松联动生态，强力驱动上层应用

最终，两套XDR方案，灵活应对不同的业务场景

云原生方案开箱即用，一站式防护

私有化方案开放性好，持续集成

如果面对更复杂的混合IT环境，需要分别部署不同XDR方案的时，可以部署鹅厂T-Sec安全运营中心，将多套XDR平台的结果整合起来，实现混合架构下的一体化检测与响应

看到这里，相信很多人还有顾虑，尤其是已经搞了一大堆NDR/EDR，甚至刚刚建了SIEM的客户

毕竟，XDR是新鲜事物

到底有没有坑，能不能打？

但您如果回顾一下XDR的发展史，会发现NDR/EDR/SIEM这些组件，恰恰是建设XDR的基础，XDR与这些单点能力可以相互促进，还可缓解SIEM过度告警带来的困扰，最终形成合力，登上鄙视链之巅

更重要的一点，XDR的战斗力强不强，肉眼可见，比如鹅厂的云原生XDR方案，SaaS化开箱即用，部署成本极低，好不好用，适不适用，立马见分晓

同时

鹅厂通过云上锤炼+云下赋能，已经摸索出一条稳健“爬坡”路径，帮助客户快速落地私有化XDR方案

我们也相信，在实战驱动的大背景下，XDR，作为安全防御的“重装护甲”，必将迎来大爆发！

文章转自：特大牛（侵删）
欢迎关注：薄荷是计算机学姐