2024网络基础安全XDR扩展检测响应平台.docx

《2024网络基础安全XDR扩展检测响应平台.docx》由会员分享，可在线阅读，更多相关《2024网络基础安全XDR扩展检测响应平台.docx（106页珍藏版）》请在课桌文档上搜索。

1、网络基础安全XDR扩展检测响应平台目录序言6第一章概述91.1 安全行业发展背景91.2 XDR的概念与构成111.3 XDR的核心能力121.4 XDR的发展历程及趋势13第二章前端感应器能力142.1 终端检测与响应142.2 云工作负载防护平台232.3 网络威胁检测与响应292.4 Web安全网关372.5 5邮件安全网关392.6 身份识别与访问管理422.7 *j菖44第三章后端能力493.1 威胁情报49320523.3 Al引擎分析573.4 高级威胁分析引擎643.5 5无代码自动化编排剧本663.6 XPl，I，753.7 CICD82第四章生态现状洞察854.1 数字化评

2、价指标与可视化854.2 XDR与态势感知平台的关系954.3 XDR与SIEM平台的关系984.4 XDR生态1024.5 XDR与MSS1044.6 XDRaaS107第五章实践案例分享1085.1大型企业XDR实践案例分享108第一章概述1.1 安全行业发展背景20世纪80年代中后期，计算机病毒和网络蠕虫的出现，催生了网络安全行业，最早的商业化网络安全产品如反病毒软件、防火墙、入侵检测系统等陆续面世。将近40年的时间内，计算机网络所面临的安全威胁已经从感染或入侵单机发展成有组织地发动大规模网络攻击（如分布式拒绝服务攻击、钓鱼、勒索、挖矿等）,从单一的漏洞利用发展成采用多种组合式攻击手段进

3、行高级定向攻击（如国家级和商业级的APT等）。而与之对应的，网络安全防御的理念和技术也在不断演进，从静态、被动的传统安全架构，逐渐向动态、主动的综合防御能力体系发展。20世纪90年代，国际著名安全公司ISS提出了防护、检测和响应的安全闭环模型（PDR模型），这是最早体现动态防御思想的一种网络安全模型。该模型强调在了解和评估网络系统安全状态的基础上，通过实施安全加固和调整安全策略等手段形成快速抵御威胁的能力。图ITPDR模型然而在PDR模型中，“检测”受限于当时的技术发展水平，更多强调基于特征的已知攻击检测和基于统计的异常行为检测，威胁类型覆盖面窄，未知威胁发现能力不足，而且基于“应急响应”式的

4、安全防护框架，已经不再适用于充斥着各类高隐蔽性、高复杂度的新型威胁的环境。2014年，各大国际知名安全机构纷纷发布新的安全理念模型，旨在帮助安全行业更积极地应对新型威胁的挑战。SANS提出的网络安全滑动标尺模型着重强调基于态势感知的动态防御和基于威胁情报的主动防御能力构建。NIST发布的企业安全能力框架（IPDRR）则延续了PDR模型的概念，扩展了保护、检测和响应环节的内容，并增加了识别和恢复两个环节，形成了更全面的动态风险控制闭环。Gartner提出了集防御、检测、响应、预测于一体的自适应安全框架（ASA）,以持续监控和分析为核心，形成一个可持续自我完善的闭环，让安全防御体系能够适应环境的变

5、化而自动进行安全保护功能的提升，以有效应对未来更加隐秘、专业的高级攻击。图1-2自适应安全框架（ASA）经过两次迭代，自适应安全框架已经进化到了3.0版本，即持续自适应风险与信任评估（CARTA）。随着该框架理念的不断完善，越来越多的安全功能被加入到其中，但其所追求的目标始终未变，即构建一个整合不同安全功能、共同分享信息并更具适应性的智能安全防护体系。该框架对整个网络安全行业所带来的影响极其深远，也推动了诸多安全产品和相关技术的发展演进。以下一代防火墙的技术发展为例，早期的下一代防火墙中虽然集成了各种2-7层的检测能力，但都是基于已知的特征和事先配置好的规则进行检测和过滤，无法根据最新的安全隐

6、患或网络威胁进行实时更新，只能通过与其他检测类产品联动来阻断新发现的威胁，反应比较滞后。而机器学习、威胁情报等技术的成熟改变了这种被动防御的局面，通过在防火墙中集成Al引擎和未知威胁检测引擎，并与后端的漏洞库、威胁情报库进行同步，可准确发现各种新型威胁和异常行为并实时阻断，真正在网络边界形成了安全防御和检测的动态闭环。过去10年间，许多新的安全产品不断涌现，例如安全态势感知（SA）、终端检测与响应（EDR）、网络检测与响应（NDR）、安全编排自动化与响应（SOAR）等；一些传统安全产品的功能也发生了巨大变化，如网络流量分析（NTA）、安全信息和事件管理（SlEM）等；这些新的产品或新的功能都在

7、不断丰富和增强现有的安全防护体系。然而，在企业安全运营和网络攻防实战过程中，人们发现“检测”和“响应”之间却仍然存在着巨大的能力鸿沟，对高级威胁的发现和防御效果并未达到预期。在这样的背景下，XDR应运而生。1.2 XDR的概念与构成根据Gartner对XDR的定义，XDR是一种基于SaaS的、特定于供应商的安全威胁检测和事件响应工具，将多个安全产品集成到统一所有许可安全组件的内聚安全操作系统中。XDR包含了前端感应处理能力和后端分析决策能力。其中前端包含了终端检测与响应、云工作负载防护平台、网络威胁检测与响应、Web安全网关、邮件安全网关、身份识别与访问管理、蜜罐与沙箱等，后端包含了威胁情报、

8、数据湖、Al引擎分析、高级威胁分析引擎、事件分析算法、无代码自动化编排剧本、APl注册与编排、持续集成和持续部署（ClCD）等。1.3 XDR的核心能力作为一类技术路径，XDR所包含的技术点众多且关系复杂。在Gartner的报告InnovationInsightforExtendedDetectionandResponse中，曾经列举了XDR可能包括的安全组件就有近10种，更勿论每个组件往往会包含多种技术。从环境讲，XDR需要考虑终端、网络、数据中心、云等不同的环境；从安全运营过程讲，XDR需要覆盖数据采采集、检测、分析、遏制、清除、加固等多个阶段，以及情报的生产和共享。但XDR的定位出发，可

9、以认为有3种技术的重要性最为突出：1.3.1 全面的遥测数据采集XDR要让安全运营人员在一个工作界面中，完成检测、分析、响应的绝大部分工作，以显著提升工作效率，需要保证工作需要的所有数据可以在这个平台上方便地获得，减少在不同设备间切换的成本；除此之外，完备、详尽的数据采集，也是威胁关联分析、精准响应与处置不可或缺的基础。1.3.2 高级威胁狩猎XDR需要发现各种具备高度绕过、逃避技巧的攻击，需要发现针对性极强的定向攻击，这就意味着XDR必须提供基于攻击技战术的行为检测能力一一威胁狩猎；进一步考虑到狩猎专家的稀缺性，XDR不可能依赖以人为主的狩猎，而更多需要基于Al或者机器学习的方式，以多维检测

10、形成合力，方能应对各种复杂场景下的攻击威胁。1.3.3 自动化响应对于已经渗透到内部的攻击，需要尽快停止攻击的发展；同时识别出关键风险，进行完整的危害清除，并对被利用的薄弱点加固处理。整个过程非常注重时效性，需要抢先在攻击者之前完成，因此必须依赖自动化的机制，才可能有效的提升MTTRo1.4 XDR的发展历程及趋势XDR发展至今，主要经过了以下四个阶段。阶段一，关注终端安全。在互联网早期，网络安全关注在端点安全上，而杀毒软件类产品是主要的应对产品。在2014年EDR入选Gartner十大技术，区别于传统的被动式防御，EDR在技术上通过记录分析终端行为与事件形成“主动防御”。EDR作为终端安全产

11、品，相对轻量、便捷。阶段二，从终端覆盖到网络。网络安全检测与响应以往依靠IDS产品等产品，其通过签名指纹匹配的检测方式，主要针对当前已知的网络攻击进行检测，同时为了平衡威胁检出率和威胁检测效率，IDS特征库往往会根据业务和资产情况进行不同程度的裁剪，这就意味着IDS产品的检测技术不仅无法检测新型变种威胁，对于一些己知威胁也可能存在漏检。NDR技术不依赖于特征库，也不基于某个特定业务或资产对象，它主要通过使用机器学习技术，基于规则的检测和高级分析来检测企业网络中的可疑活动，极大的提高了安全运维效率。阶段三，安全运营的转变和对网络的流量追踪溯源。随着信息化的发展，企业所面临的安全风险逐步和自身所具

12、备的安全资源和能力发展不足形成了巨大的落差。Gartner在2016年提出MDR（可管理的威胁检测与响应），MDR为安全工作提升了自身威胁检测、事件响应和持续监测的能力，同时又无需依靠企业自身的能力和资源。MDR通过安全运营，联动网络中其他服务供应商提供的不同层面的攻击检测设备的威胁数据进行分析，通过机器学习模型发现以往不易发现的威胁结合其他网络威胁检测技术使得问题定位和溯源得到了提高，进而提高了响应速度。阶段四，更高效的运营和更精准的检测。2018年Gartner十大安全项目中，EPP与EDR以组合形式出现，这种基于端点而获得高级威胁检测、调查和响应的能力与UEBA（用户行为分析）并列统称为

13、“检测和响应项目“o这一趋势预示着更多的新兴技术将应用到威胁和检测中。在2020年XDR入选Gartner九大安全趋势，根据Gartner的定义，XDR是指特定供应商提供的威胁检测和事件响应工具，这种工具统一将多个安全产品整合在一个安全操作系统里。因此，XDR将是整合性的产品组合和并具有更精准的检测能力。未来XDR将持续发展，我们预计有以下趋势：其一、扩大安全监测和响应的范围。XDR所覆盖的范围将不仅包括云、网、边、端的流量和日志，也将涵盖威胁情报等更为全面的安全大数据。同时也可以通过XDR项目来推动不同安全产品、安全厂家之间存在的互相联动等问题。其二、分析能力和安全效率的提升。通过工人智能、

14、中台、自动化编排、及安全分析等技术，能缓解安全样本数据不充分、安全人员数量和能力不足，难以快速应对安全风险等问题，同时更好的发掘未知风险，提高安全防护能力和效率。安全技术近年来不断推陈出新，XDR将融合广泛的安全能力和新型的信息化技术，通过对安全能力的全面协同，形成一个上下联动、前后协作的整体。同时，XDR刚刚起步，要成为普适性产品还行进一步探索和发展，XDR的未来需要各个安全厂家和机构的共同参与和努力。第二章前端感应器能力2.1 终端检测与响应2.1.1 EDR的概念随着威胁攻击的专业化，APT等定向高级别攻击案例也越来越多，APT攻击具有针对性强、组织严密、持续时间长、隐蔽性高、采用技术手

15、段先进等多种特征，检测相关的攻击给安全行业带来很大的挑战。对于攻击者而言，内网终端和主机既可以作为被攻击目标，也可以作为攻击的跳板。勒索病毒和APT结合的攻击方式也开始逐渐显现，同时针对我国关键基础设施的APT攻击也开始愈演愈烈。传统的终端安全解决方案EPP是基于已知风险产出的文件特征库和规则库，无法用于检测未知风险。不同于传统的签名检测或启发式技术，EDR通过观察攻击行为将检测技术提升到新的层次，能真正解决终端安全所面临的APT、Oday和勒索病毒等各类高级威胁做到事前预防、事中检测和事后修复，是面向未来的终端安全解决方案。EDR主要通过在终端上提供安全事件的完整可视来检测和防范未知风险。通

16、常，攻击者潜入到企业网络内部后会持续很长一段时间，其攻击手法比较隐蔽，企业一般很难直接检测到其攻击行为，更难形成有效的攻击告警机制。为了更好地解决这种问题，EDR采用了记录攻击者行为和系统事件地方式，所有终端行为信息都会被完整地记录下来，整个安全事件从发生了什么、如何发生、到如何修复等所有环节信息都会被完整地记录并以图形化方式展示出来。EDR能力成熟度模型，一般包括初级、中级、高级、SaaS化和智能化四个等级。初级只有EPP,对于企业用户来说，面对高级威胁是非常脆弱的，无法防护，也无法检测到高级威胁攻击；中级拥有有限的EDR场景，终端能够将收集到的攻击行为数据，以及系统级事件上传到云端，但云端

17、大数据的处理和安全能力分析都比较缺乏；高级为标准级EDR,能够实时检测到安全攻击事件，限制终端漏洞利用，同时基于云端的数据和安全能力分析，给终端提供快速的响应，以及修复指导建议；SaaS化和智能化EDR在云端通过SaaS服务的模式提供安全大数据的存储、处理及分析能力，利用云端海量大数据、实时威胁情报以及机器学习能力，安全专家可以精准威胁狩猎，快速进行安全事件响应。2.1.2 EDR核心价值在传统的终端安全解决方案的保护下，仍有大量的安全事件起源于端点。对于企业而言，部署并成功实施EDR的核心价值在于：1、快速侦测与自动化响应对于终端威胁的快速发现并采取自动化响应是EDR的基础。对于安全运营而言

18、，时间是一个非常关键的要素。威胁在环境中存在的越久，就有可能带来越大的破坏。因此，尽早的发现威胁并进行响应是EDR带来的最核心的价值。而自动化响应能力则会进一步加快针对威胁的处置的速度，降低安全隐患。2、主动检测未知威胁传统意义上的终端防护是通过将攻击模式与已知威胁的特征库进行比对从而发现安全威胁；因此几乎不具备对于未知威胁和潜在的APT攻击的抵御能力。EDR对于终端进行了更全面的数据采集，进一步加强了可见性。通过对这些数据的的关联分析，EDR具备了一定的预判能力，从而能够主动发现未知的安全威胁甚至应对APT攻击。因此市场上的EDR解决方案通常也都具有威胁情报、机器学习以及更高级的文件分析能力

19、。云化的EDR则拥有了更广阔的视野和更强大的头脑，对未知威胁的侦测能力也就更加强大。3、简化管理普遍认为传统的EDR方案中，R的能力稍有不足。这实际上是在指在自动化响应策略（编排剧本）层面由于缺少足够的信息支撑而在实践中有所不足。EDR本身具备对终端完整的控制能力。通过集中化的管理平台，安全人员能够远程的进行针对终端的威胁处置，溯源取证，灾害恢复等工作。为企业IT运维和安全管理都提供了便利。由于XDR具有更为全面的视野和更强大的后端能力，在XDR解决方案中，EDR专注于终端层面的数据采集和操作的执行。EDR是XDR方案中检测与响应能力在终端层面的重要组成，为XDR在终端层面提供了可见性与可控性

20、。作为XDR在终端层面的感应器与执行器，EDR能够协助XDR方案进行终端资产理清，攻击面梳理，以及风险管理。2.1.3 EDR核心能力1、数据采集EDR需具有全面的终端数据采集能力，涵盖系统层、应用层行为数据，包括系统操作、进程、文件、网络、注册表等多个类别数据，为攻击全面分析提供丰富数据源，提升威胁研判的精准度，减少误报，也为未知威胁的检测和发现提供数据基础。对于SaaSEDR来说，这些数据存储在中央数据库或数据湖中，通常托管在云端。EDR的数据能力体现在数据采集和分析能力上。只有采集足够完整的数据，才能实现对未知威胁的检测，以及对安全事件的溯源等，否则就无法进行有效的分析。因此，EDR必然

21、需要强大的数据采集能力，能采集到端点上的各类关键数据。不同厂商会对采集数据有不同的分类方式，在采集数据的种类上也会有一定区别。EDR数据采集的价值在于分析，能否有效地关联各个端点采集到的数据，并且分析后检测出威胁非常重要。在数据采集过程中，即使数据采集得足够多，在分析阶段一旦无法被合理使用，也是没有价值的。因此，EDR的数据采集不是采集所有数据，而是围绕终端威胁检测和分析所需要的数据尽可能完整的采集。基于ATT&CK矩阵的技战术是数据采集标准的重要参考。EDR的数据采集能力对XDR来说，一方面通过网络数据、云上数据等其他数据,与终端数据进行关联分析，发现真实的攻击事件，还原完整的攻击路径，另一

22、方面为终端攻击溯源提供数据支持。XDR解决方案下要求数据格式“统一”，但现状是各家产品接口均不一致，也给XDR整体解决方案提出了挑战。企业在选择EDR厂商的时候，对于单点能力突出的厂商，还需要考虑其数据输出能力。这需要EDR产品能够和多个不同安全厂商进行数据对接，同时输出的数据也应该尽可能是更为有效、有价值、经过处理的数据，而不是将大量的原始数据直接进行输出。不同部署形态对数据采集能力上也略有差异。本地化部署的XDR平台相对SaaS-EDR来说，前者对数据传输带宽小，传输安全性相对较低，后者则相反。2、入侵检测EDR的入侵检测能力，旨在根据动态行为进行异常登录检测、口令暴力破解、恶意行为检测等

23、入侵检测行为。业内一般根据ATT&CK矩阵实现对各类入侵、攻击及新型未知攻击的持续检测。众所周知ATT&CK(全称AdversarialTactics,Techniques,andCommonKnowledge)是一个攻防战术框架，反映攻击者攻击生命周期中各个阶段的攻击行为模型和知识库，主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎、日常监测与检测、攻击模拟及分析与缓解与防御差距评估等场景和领域，站在攻击者的视角来描述攻击过程中用到的战术技术的模型。站在攻击者视角，通过不断地攻防演练测试和评估，学习攻击者的技术和方法，就可以提升安全检测与分析系统的检测能力，不断扩大技术覆盖范围，丰富技术

24、知识库，不断缩小与攻击者的技术和知识差距，其目标是以攻促防，以防验攻。正如孙子兵法.谋攻篇书中所述“知己知彼，百战不殆，在网络作战中也是同样道理，只有更了解攻击者，才能更好地发现自身薄弱环节，从而弥补自身缺陷和优化防御方式，保护企业网络安全。ATT&CK已成为安全业界通用语言，其框架已成为安全业界标准。-ATT&CK3=Adversarial Tactics, Techniques & Common Knowledge-攻击行为知IH落图1如图1所示，ATT&CK改变了我们对IP、域名、哈希和静态特征码等低级威胁指标(IoC,IndiCatOrOfCOmPromiSe)的认知，让安全业界从行为

25、视角来看待攻击者和防御措施，即攻击指标(IC)A,IndicatorofAttack),旨在描述攻击者所使用的攻击战术、技术和过程(TTP,TaCtiCS,TechniquesandProcedures)的方法。企业ATT&CK(VIo)将安全事件划分为14个阶段，即14种战术指导思想(从v9开始增加了PRE-ATT&CK：侦查、资源开发)，在同一次实战攻击场景中不太会同时覆盖部的战术，以减少被发现的机率，但其顺序和方向是固定的，理论上通过攻击者的TTP分析，攻击者行为方向和目标是可以预测的。高级可持续性威胁的手段和方法越来越贴近用户日常操作，如信息收集、分析工具使用等，具有潜伏性、隐蔽性、持

26、续性、针对性及多样化等特点，攻击力量分散和无明显攻击特征，这也给传统检测方法带来了挑战，威胁分析检测己不能通过常规的单一风险告警和攻击活动来判定，通过ATT&CK模型可提升网络攻击感知能力，增加未知威胁检测能力，同时防御方也可以通过该矩阵继续细化未覆盖技术检测点。EDR使用高级分析和机器学习算法，在己知威胁或可疑活动发生之前实时识别指示这些活动的模式。一般来讲，EDR会查找两种类型的迹象：感染迹象（IoC）（即与潜在攻击或违规行为一致的操作或事件）以及攻击迹象（IoA）（即与已知网络威胁或网络犯罪分子相关的行动或事件）。为了识别这些迹象，EDR会将自己的终端数据与来自威胁情报服务的数据实时关联

27、，而威胁情报服务会提供关于最新网络威胁的持续更新信息-它们使用的策略、它们利用的终端或IT基础架构漏洞等等。威胁情报服务可以是专有服务（由EDR提供商运营）、第三方服务或基于社区的服务。此外，许多EDR解决方案还将数据映射到MitreATT&CK。EDR分析和算法还可以自行执行侦查，将实时数据与历史数据和已建立的基线进行比较，确定出可疑的活动、异常的最终用户活动以及任何可能指示网络安全事件或威胁的内容。这些算法还可以将信号“或合法威胁与误报的”噪音“区分开来，以便安全分析师可以专注于重要的事件。EDR对于XDR来说，提供终端威胁检测能力，补齐XDR在终端上的威胁检测能力不全问题，为后续的事件分

28、析、溯源取证提供分析线头等。3、脆弱性检测在信息安全技术信息安全风险评估规范GB/T20984-2018标准中对于脆弱性的解释是“可能被威胁所利用的资产或若干资产的薄弱环节”。脆弱性一旦被威胁成功利用就可能对资产造成损害。脆弱性依附在资产上，资产具有的脆弱性越多则其风险越大，脆弱性是未被满足的安全需求，威胁者可利用脆弱性从而危害资产。EDR需要具备对资产脆弱性检测能力，资产脆弱性包含漏洞、弱口令、配置风险等。EDR检测终端的全部漏洞及未修复漏洞，避免因漏洞利用被攻击。EDR脆弱性检测为XDR资产风险管理提供数据支持。4、威胁响应端点检测与响应，除了检测，自然需要响应能力。EDR能力需要提供一系

29、列响应能力，包括查杀、隔离、告警。从当前的情况来看，隔离能力最为重要，EDR更需要能尽可能将威胁控制在受攻击端点。微隔离技术能够和EDR结合，更好地实现威胁控制。因为对于企业而言，最需要保护的资产是主机；因此，防止威胁在网络中扩散到主机最为关键。当安全事故发生的时候，需要将威胁因素限制在相关端点之中，避免其扩散到其他端点，甚至主机，将危害限制到最低。另一方面，将威胁限制在少数有限的端点上，也更利于企业在事后进行追踪溯源。响应策略是否可以做到自动化？在理想状态下，我们会期望响应行为能够自动化进行。但是在实际环境中，会遇到各种问题，包括异常行为难以判定是否属于攻击行为、某些响应行为是否会影响业务等

30、情况。因此，现在的响应机制依然需要靠自动化与人工协同，通过安全策略设置，将大部分安全事件自动化处理，将一些难以区分或者处理的事件交由安全专家手动处理。但是，安全策略的设置对EDR的分析能力与策略配置能力也提出了一定的要求。EDR通过自动化技术引入“响应”机制（实际上是“快速响应。根据安全团队设置的预定义规则（或机器学习算法随时间推移”学习”的规则），EDR解决方案可以自动提醒安全分析人员注意特定威胁或可疑活动根据严重性对警报进行分类或划分优先级生成”追溯“报告，以跟踪事件或威胁在网络上的完整轨迹，一直追溯到其根本原因断开终端设备的连接，或从网络注销最终用户停止系统或终端进程阻止端点执行恶意/可

31、疑文件或电子邮件附件触发防病毒软件或反恶意软件，以扫描网络上的其他终端来查找相同的威胁EDR可以与SOAR（安全编排与自动化响应）系统集成在一起，以自动执行涉及其他安全工具的安全响应运行剧本。这整个自动化流程有助于安全团队更快地响应事件和威胁，最大限度地减小它们对网络造成的损害。EDR的响应能力对于XDR来说非常重要，XDR通过调用EDR提供的响应能力实现快速的进程查杀、文件隔离、IP封禁等处置动作。5、威胁狩猎威胁狩猎是一项主动式安全活动，安全分析师可通过这种活动在网络中搜索未知威胁或者组织自动网络安全工具尚未检测或修复的已知威胁。高级威胁可能会在被检测到之前潜伏数个月，收集系统信息和用户凭

32、证，为大规模入侵做准备。有效且及时的威胁狩猎可以缩短检测和修复这些威胁所需的时间，并减小或防止攻击造成的损害。威胁狩猎者可以使用各种策略和方法，其中大多数策略和方法都依赖于EDR在威胁检测、响应和调查时使用的相同数据源、分析和自动化功能。例如，威胁狩猎分析人员可能希望根据取证分析来搜索特定文件、配置更改或其他工件，或者搜索用于描述特定攻击者方法的MlTREATT&CK数据。为了支持威胁狩猎，EDR可通过Ul驱动的方法或编程方式向安全分析人员提供这些功能，以便他们可以执行临时搜索数据查询、与威胁情报进行关联以及进行其他调查。专用于威胁狩猎的EDR工具包括从简单脚本语言（用于自动执行常见任务）到自

33、然语言查询工具的所有工具。EDR的威胁狩猎是XDR威胁狩猎能力的基础，为XDR的威胁狩猎提供数据支持和能力支持。2.1.4 EDR应用场景1、安全风险态势管理场景通过对网络空间的有计算能力的终端、服务器等部署EDR,对终端资源进行风险检测，将检测的数据上送到态势感知模块，实现对网络空间中的计算资源进行风险评估和风险趋势分析。2、零信任防护方案场景在零信任防护方案中，需要感知零信任终端的风险，根据风险动态调整用户的权限。EDR是其中不可或缺的重要组件。EDR具备连续和实时数据采集能力，为应对高级威胁提供了更强的可见性；对终端持续评估能力，满足了零信任的环境感知要求，通过对终端的全量信息采集，为判

34、定终端安全状况和安全可信任程度提供更准确的数据。3、虚拟化、云场景下的安全防护场景随着智慧服务的不断建设，云端运行业务成为常态化，虚拟机则成为安全的重灾区。EDR可以对虚拟化终端、云场景下的终端进行风险检测，不受复杂的虚拟化环境限制，同时通过响应策络控制具备微隔离功能，能够解决云端特有的东西流量访问控制问题。EDR可以对云主机连入、连出数据的进行采集、分析和展示,可以实现云主机流量的可视化，阻断非法访问、隔离失陷云主机。4、工业互联网安全防护场景在工业互联网安全场景下，通过为智能工业设备、智能工业终端部署EDR,对智能工业设备进行安全检测，风险评估，在产生风险告警同时可以根据风险事件或风险级别

35、，对智能设备下发动态工业控制指令，保证工业生产安全。5、车联网安全防护场景通过在车联网终端上部署EDR,可以对车联网终端进行安全风险检测、安全风险预警及安全风险的及时响应，实现对车联网终端的安全管控。2.2 云工作负载防护平台2.2.1 CWPP定义云工作负载保护平台(CloudWorkloadProtectionPlatform)简称CWPP,其概念由Gartner在2016年首次提出，CWPP是以工作负载为中心的安全产品，保护私有云、公有云，及混合、多云数据中心环境中的服务器工作负载，为物理机、虚拟机(VM),容器以及无服务工作负载提供统一的可视化和管理能力。CWPP通常会结合系统完整性保

36、护、网络控制、应用控制、行为监控、入侵防御和运行时恶意软件检测等能力，保护工作负载安全。2.2.2 部署与架构部署模式CWPP产品一般采用“轻量级探针+统一安全中心+Web控制台”的架构，为用户提供事前风险发现、事中入侵检测、事后追踪溯源的能力。探针：一般安装在主机或容器上，能自动适配物理机、虚拟机以及云环境，在威胁检测方面，其功能主要是收集主机操作系统、进程、端口、账号、应用等信息；统一安全中心：即服务端，其通过收集、分析探针采集的信息和行为，来发现主机侧的漏洞、弱口令等风险，以及Webshell,反弹SheII,异常进程以及病毒木马等入侵行为；Web控制台：以可视化的管理界面和用户进行交互

37、，通过数据分析以及图形化展示等方式为用户提供实时的风险态势以及集中管理的能力。适用场景CWPP为用户提供资产清点、风险识别、入侵检测、实时防护、安全处置以及攻击溯源等能力，覆盖私有云、公有云、混合云、多云统一管理的场景，为用户提供针对服务侧各种工作负载全生命周期的防护以及安全管理能力。CWPP与XDR的对接XDR通过统一的交互框架、数据标准数据存储方式，进行安全数据采集、安全威胁集中分析、安全事件处置及响应编排能力。因此，CWPP与XDR的对接，需要从数据采集、检测与响应方面保持一致性，主要包含如下三个方面。采集：CWPP采集工作负载侧的主机信息、日志以及威胁等信息，上报到XDR平台的统一安全

38、分析中心。检测：XDR后端平台组件进行内部（资产、漏洞等）、外部（流量、日志）等多源安全告警进行关联分析、规则分析以及情报分析，发现潜在的威胁。响应：XDR控制台通过可视化剧本编排，对接联动CWPP,在安全事件发生时下发通知告警，并在必要时自动下发阻断策略，及时完成安全闭环。2.2.3 风险感知能力CWPP能够感知服务器工作负载上的多种安全风险包括资产、威胁、脆弱性和合规基线。资产一般包括组织在工作负载上的主机、应用、数据资产；威胁包含对资产造成损害的某种安全事件发生的潜在原因；脆弱性包括系统或应用弱密码和漏洞；合规基线包含系统、应用和用户在最小安全需求下的配置和策略。从Gartner提供的C

39、WPP能力金字塔（如图2-X所示）来看，从最基础的加固、配置与漏洞管理，以及高阶的漏洞利用预防，都离不开CWPP的风险感知能力。.HG三sewnBeva图2-2CWPP能力金字塔加固、配置与漏洞管理是安全运营的重要工作，系统加固是指关闭非必要功能、端口和服务，及时进行系统补丁更新维护，和对已验证的漏洞进行补丁修复或升级。CWPP能够通过资产发现和探测，收集工作负载的基本系统信息，从而在平台侧进行监测和管理。配置即为服务器的配置优化，针对应用和业务系统进行配置，保障系统以及应用的安全，避免因为错配和漏配导致产生安全问题，以提升安全防护能力。漏洞管理是针对操作系统漏洞和应用程序漏洞的生命周期管理，

40、包括但不限于漏洞发现、验证、处置、闭环等跟踪过程。在网络安全事件中，基于漏洞的攻击数量一直居高不下，而最常见的最严重的漏洞就是系统漏洞和Web应用漏洞。因为Web应用一般对外提供服务，所以必须暴露于互联网之中，因此安全要求极为重要。基于上述的能力要求，CWPP需要支持基于资产扫描和脆弱性发现，操作系统漏洞管理和应用漏洞管理，能提供标准化、同时支持制定自定义的漏洞防护策略。在第一层的“加固、配置和漏洞管理”阶段，漏洞修复主要是针对NDayS洞，但除此之外，漏洞防护还应包含对ODay漏洞的防护。ODay漏洞从利用方式可以分为两类：系统漏洞、应用漏洞。针对系统漏洞，CWPP可以通过内存防护进行检测，

41、内存防护是内存运行时自我保护技术，因为在工作负载上执行的数据都需要经过内存进行储，所以通过对内存行为的监控可以识别无文件攻击、内存型WebShell等基于文件监测无法识别的新型攻击手段。对抗应用漏洞的思路是应用运行时自我保护技术(RASP)oRASP是从应用内部对关键函数操作的数据进行分析，即使原始请求经过加密和混淆，但是它在应用内传播到最终的底层函数时将会以明文方式被RASP截获，因此相比应用防火墙WAF能减少大量的误报和漏报问题。基于此特性，RASP还能为安全人员和开发人员提供更为详尽的攻击链路，包括攻击原始Payload.代码调用堆栈等信息，方便他们进行漏洞定位、复现以及修复，可以有效发

42、现和阻断ODay漏洞的利用。CWPP能够通过主动资产扫描对主机上资产、脆弱性进行持续扫描和评估，包括漏洞、弱口令、合规基线等等，从而发现实时威胁以及隐藏的未知安全隐患，化被动为主动，提前预防和防御安全问题的出现，将风险消除在最前沿，从而提高攻击门槛，降低入侵风险。2.2.4 威胁检测能力CWPP是XDR关键的部分之一，针对服务端的裸金属服务器、虚拟机、容器及应用，CWPP既可以在本地完成威胁检测与响应，也可以与XDR配合，通过XDR来进行大数据分析，然后在CWPP本地做出响应。服务端资产为用户业务的核心资产，拥有高价值的敏感数据，黑客攻击的最终目标就是用户服务端的业务与数据，一旦被攻击成功，核

43、心资料被窃取，带来的影响不可估量。近年来针对服务端的攻击层出不穷，既有传统病毒、基于漏洞的攻击、暴力破解、反弹shell.恶意提权等已知攻击，也有勒索、APT等未知攻击，还有利用拿下正常权限账号而发起的恶意业务攻击或拖库行为等。这导致服务端威胁检测变得越来越重要且充满挑战。为了应对这些安全挑战，作为与XDR配合的CWPP在威胁检测方面需要具备以下关键能力。第一，信息采集能力。任何针对服务端主机的攻击都会留下踪迹，通过完整的信息采集，记录行为信息和攻击事件的上下文，为深度的持续监控、威胁分析、调查取证、追踪溯源打下基础。需要采集的信息有：账号行为、进程行为、网络行为、文件操作、内存访问行为、容器

44、运行行为等，尤其是要把有异常的行为、事件和信息完整地监控并记录下来。第二，已知威胁检测能力。纵然未知威胁越来越多，但已知威胁的检测能力依然是基础，如果已知威胁检测都做不好，就谈不上难度更大的未知威胁了。在已知威胁检测上，要具备常见病毒检测、恶意文件检测、异常登录、暴力破解、恶意提权、反弹shell、应用后门、内存安全等检测等，同样这些检测要能覆盖物理机、虚机、容器等各种工作负载。第三，未知威胁与APT检测能力。技术的不断演进，导致攻防双方都受益，攻击者采用新技术，制造新型恶意软件越来越多，如ODay及这几年泛滥的各种勒索病毒，针对未知威胁与APT攻击，单靠人工进行恶意样本分析并提取新规则或特征

45、码后再进行防御，一方面其难度越来越大，另一方面其时效性越来越难以满足用户的安全需求，新技术的出现，以及XDR的发展正是需要解决这个问题，帮助用户从被动防御转化为主动防御。此外，在威胁检测上，还可以通过ATT&CK模型框架中的攻击阶段与攻击技术进行比较和验证，进一步提升威胁检测的准确率，降低误报率。2.2.5 事件响应能力事件响应的目标是消除其产生的影响。这依赖于将威胁检测阶段生成的结果转换成可执行的行动方案，并将行动方案拆解成可供响应设备执行的命令准确下达到安全组织中。事件响应在组织安全运营中往往体现为系统性的流程，包括“准备-识别-遏制-根除-恢复-重建”等过程。图2-3事件响应流程事件全流

46、程处理威胁告警通过人工或者自动方式可以快速生成事件，按照模板流程，将其提交到不同处置人处理，同时通过内置状态机进行事件维护，保证事件状态的一致性，告警事件的节点状态同时被存储，以支持后期事件回溯。安全剧本编排安全编排，是指将客户不同系统或者一个系统内部不同组件的安全能力通过可编程接口(API)和人工检查点，按照一定的逻辑关系组合到一起，用以完成某个特定安全操作的过程。不论是自动化编排，还是人工编排，都可以通过剧本(PIaybook)来进行表述，为了方便管理人员维护剧本，XDR平台还提供一套可视化的剧本编辑器，大多数XDR平台支持拖放操作，有些还支持直接编写代码来实现复杂流程编排，剧本面向编排管

47、理员，让其聚焦于编排安全操作的逻辑本身，而隐藏了具体的编程接口及其指令实现。A联动响应这种方式通过与CWPP联动，对应不同告警事件调用不同的预置处置流程，给CWPP下发处理动作完成对告警事件的处置，提升业务系统的安全系数，及响应处置的速度与准确性。XDR平台基于多源数据分析技术，能够极大降低检测误报率，平台持续进行检测分析，基于平台分析结果，将告警与CWPP进行联动，针对发现的威胁时间进行响应，这些响应方式包括：隔离主机或容器、删除恶意文件、隔离恶意文件、阻断恶意进程、封堵攻击源IP等。通过CWPP与XDR在事件响应上的配合，实现服务端威胁检测与响应的闭环。23网络威胁检测与响应2.3.1 NDR的概念NDR（NetworkDetectionandResponse）网络威胁检测与响应，是一种基于流量的网络侧安全解决方案，其集多种检测技术与一体，不仅能够实现基于签名指纹匹配的传统网络威胁检测技术，而且能对原始网络流量进行学习、训练和优化，形成相对准确且能动态调整的网络流量行为模型，以行为模型作为网络风险和异常判定的标准基线，配合其他网络威胁检测模块（如：动态沙箱、静态AV、人工智能、威胁情报等）关联分析，进行精细化溯源定位。不仅仅是检测威胁，还可以通过本地控制实时响应威胁，或者支持与其他网络安全工具或解决方案（如安全编排、自动化和响应（SOAR）的广泛集成。NDR与EDR的不同之处