网络基础安全之XDR扩展检测与响应平台

@2023云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人、信息获取、非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 致谢 《网络基础安全之XDR扩展检测响应平台》由CSA大中华区XDR(扩展检测与响应系统)项目组专家撰写，感谢以下专家的贡献： 项目组组长: 吴湘宁顾立明 主要贡献者： 谢琴计东马权严冬毛备曾永红崔崟罗川邢海韬赵锐岳炳词张睿 参与贡献者: 车洵陈昊闻程碧淳丁俊贤董天宇顾伟何维兵胡钢伟刘斌刘国强刘涛欧建军潘海洋舒庆孙亚东谢泳余滔郑亚东周海生 研究协调员： 蔺鹏飞 贡献单位: 北京天融信网络安全技术有限公司中移(苏州)软件技术有限公司杭州安恒信息技术股份有限公司杭州极盾数字科技有限公司奇安信网神信息技术(北京)股份有限公司上海物盾信息科技有限公司 (以上排名不分先后) 关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。 在此感谢以上专家及单位。如此文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号 序言 当前全球正在快速踏入数字化世界，无论是国家、政府、企业还是个人，都身处数字化的洪流之中。数字化手段正在有力地提升国家与政府的施政效率，并持续推动科技和企业的快速更新。 正如光影的两面性，数字化也蕴含着利弊并存的风险。不断涌现的网络安全挑战启示我们，网络威胁的严重程度日益加剧。随着黑灰产业服务化、武器化、组织化的兴起，以及AI技术的突破，网络攻击的门槛将大幅降低，黑客的攻击能力也将得到大幅度提升。而数字化程度的提高，使得网络资产的价值不断攀升，同时也加大了网络的风险暴露面，从而导致网络攻击的数量呈现增长趋势。如何应对日益猖獗的网络攻击，XDR（扩展检测响应）平台无疑成为当前不可多得的选择之一。 XDR平台内建各类关键的网络安全检测功能，并将终端、网络、云/容器、网关、邮件、Web、蜜罐、沙箱等产品的核心能力标准化。平台通过开放的标准，构建了一个即插即用，灵活拓展的检测响应平台。全方位的攻击面风险洞察、高清的遥感数据与平台威胁感知模型相结合，使智能辅助、自动化运营成为现实，有效降低安全管理难度，提高日常运营效率。相较于传统的产品加平台集成方案，XDR方案避免了平台与产品之间的能力断层，以及后期集成维护的困难。但XDR方案并非完美无瑕，在超大规模解决方案中，XDR可以作为统一集成单元，降低整体集成与维护成本。 期望《网络基础安全之XDR扩展检测响应平台》能为大家提供参考，亦能启迪相关领域的发展。 李雨航YaleLi CSA大中华区主席兼研究院长 目录 致谢...............................................................................................................................4 1.1安全行业发展背景.........................................................................................9 第二章前端感应器能力...........................................................................................14 2.1终端检测与响应...........................................................................................142.2云工作负载防护平台....................................................................................232.3网络威胁检测与响应....................................................................................292.4Web安全网关................................................................................................372.5邮件安全网关...............................................................................................392.6身份识别与访问管理....................................................................................422.7蜜罐与沙箱....................................................................................................44 第三章后端能力.......................................................................................................49 3.1威胁情报........................................................................................................493.2数据湖............................................................................................................523.3AI引擎分析....................................................................................................573.4高级威胁分析引擎........................................................................................64 3.5无代码自动化编排剧本...............................................................................663.6API中心..........................................................................................................753.7CICD.................................................................................................................82 第四章生态现状洞察...............................................................................................85 4.1数字化评价指标与可视化............................................................................854.2XDR与态势感知平台的关系.........................................................................954.3XDR与SIEM平台的关系...............................................................................984.4XDR生态.......................................................................................................1024.5XDR与MSS...................................................................................................1044.6XDRaaS..........................................................................................................107 第五章实践案例分享.............................................................................................108 5.1大型企业XDR实践案例分享.....................................................................108 第一章概述 1.1安全行业发展背景 20世纪80年代中后期，计算机病毒和网络蠕虫的出现，催生了网络安全行业，最早的商业化网络安全产品如反病毒软件、防火墙、入侵检测系统等陆续面世。将近40年的时间内，计算机网络所面临的安全威胁已经从感染或入侵单机发展成有组织地发动大规模网络攻击（如分布式拒绝服务攻击、钓鱼、勒索、挖矿等），从单一的漏洞利用发展成采用多种组合式攻击手段进行高级定向攻击（如国家级和商业级的APT等）。而与之对应的，网络安全防御的理念和技术也在不断演进，从静态、被动的传统安全架构，逐渐向动态、主动的综合防御能力体系发展。 20世纪90年代，国际著名安全公司ISS提出了防护、检测和响应的安全闭环模型（PDR模型），这是最早体现动态防御思想的一种网络安全模型。该模型强调在了解和评估网络系统安全状态的基础上，通过实施安全加固和调整安全策略等手段形成快速抵御威胁的能力。 然而在PDR模型中，“检测”受限于当时的技术发展水平，更多强调基于特征的已知攻击检测和基于统计的异常行为检测，威胁类型覆盖面窄，未知威胁 发现能力不足，而且基于“应急响应”式的安全防护框架，已经不再适用于充斥着各类高隐蔽性、高复杂度的新型威胁的环境。 2014年，各大国际知名安全机构纷纷发布新的安全理念模型，旨在帮助安全行业更积极地应对新型威胁的挑战。SANS提出的网络安全滑动标尺模型着重强调基于态势感知的动态防御和基于威胁情报的主动防御能力构建。NIST发布的企业安全能力框架（IPDRR）则延续了PDR模型的概念，扩展了保护、检测和响应环节的内容，并增加了识别和恢复两个环节，形成了更全面的动态风险控制闭环。Gartner提出了集防御、检测、响应、预测于一体的自适应安全框架（ASA），以持续监控和分析为核心，形成一个可持续自我完善的闭环，让安全防御体系能够适应环境的变化而自动进行安全保护功能的提升，以有效应对未来更加隐秘、专业的高级攻击。 经过两次迭代，