从近年安全行业的发展趋势来看,当前不少客户已经完成基础安全能力的搭建,采买了不少安全产品。但由此带来的一个问题是,当各种安全产品带来的告警过于繁杂且碎片化,就会让企业内部的安全、运维人员难以高效工作。在此前提之下,XDR类产品被视为解决此类问题的一种方法。
简单来说,XDR会将终端、网络、云和工作负载、威胁情报等层面的安全数据和安全产品集中整合,通过数据接入和分析,提供统一的告警处置界面,希望降低无效告警,提升运维效率。在具体实践上,XDR可以结合安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测与响应(EDR)以及网络威胁检测及响应(NDR),实现联动,达成预期效果。
从行业来看,2018年后,国外的一些安全厂商提出了XDR的概念,并在2019年实际进行了产品落地,Gartner也连续两年将其列为十大安全项目之一。而自2020年起,我们观察到国内的一些创业公司也愈发关注XDR。具体而言,大家的路线主要分为两类,一类是通过整合既有产品(主要包括EDR、NDR等)打造XDR能力,另一种则是从一开始就专注XDR,同时通过自研和协作等方式补齐EDR和NDR产品。
36氪日前接触到的一家公司「华清信安」,成立于2013年,一直专注网络安全行业。公司创始人田新远介绍,其在网络安全领域从业20年,先后在O2Micro、华为、山石、绿盟等网络安全公司从事产品研发、专业咨询和高级管理工作。华清信安的发展过程也可以从其经验积累和产品迭代角度展开。
早期,即田新远2013年开始创业时,网络安全行业主流市场需求依然是硬件产品。于是华清信安从下一代防火墙产品起家,后基于客户方迭代的产品需求,推出了USP统一安全平台,即给予USP融合架构的平台化、模块化产品,客户可根据实际需求,选择不同功能模块来灵活构筑安全平台,实现“一机多用”。
2017年底,华清信安提出“新安全”概念——TDR(Threat Detection and Response)威胁检测与响应,并将TDR定义为:以平台化的方式整合纵深防御技术、大数据和机器学习等新型安全检测技术以及自动化、智能化安全响应技术,以服务的模式交付安全能力,从而实现威胁的闭环管理。田新远表示,虽然TDR和XDR叫法不同,但是二者的内涵其实并没有太大差别。当前,华清信安在和客户交流时也不会过于强调不同概念之间的差别。
在具体落地方面,2018年华清信安推出了TDR 1.0版本,正式进入XDR(Extended Detection and Response)扩展的威胁检测与响应领域。2021年2月,华清TDR智能安全运营平台4.0版本正式发布——这也是如今公司重点发展的方向。
田新远介绍,打造TDR产品时有两个难点需要跨越,首先是以威胁为核心的智能检测、分析和防护技术的长期积累、迭代。其表示,华清信安核心研发团队成员大都具备十年以上的下一代防火墙、IPS、WAF和网络行为管控等领域的研发经验。同时,公司也基于攻击链模型构建威胁全生命周期行为分析机器学习算法,经过企业客户实际流量的运营验证和不断升级迭代,形成智能化威胁检测与响应的闭环技术路线。
更具体地解释,早期的传统防火墙产品主要依赖特征库的进行检测,但这种方式并不适合新型的攻击情况,所以华清信安的技术路线并不以特征库为基础,而是以行为分析为底层能力,还加入NTA、机器学习等技术,以此打造产品贯穿威胁的全生命周期。第二个难点则是实现统一运营,这是由于XDR的核心理念即是扩展的检测与响应,所以将各个渠道的威胁整合检测与响应也成为重点。据介绍,TDR实现了“网络—主机—应用—云—第三方”多源数据的统一分析和“防御—检测—感知—预警—响应”的闭环统一管控。
当前,公司已经阶段性跨过产品打磨的门槛。在客户画像上,目前公司目标客户主要包括政府、金融、教育、医疗和大中型企业。标杆案例包括国家工商行政管理总局、中国电信、中铁集团、中金、中证金融、清华大学、国药集团、三星集团、宝马中国等,累计服务客户超过一千多家。现在华清信安也可以根据客户需求,提供订阅制或项目制两种收费模式。
谈及行业情况和公司未来发展计划,田新远表示,威胁检测与响应的概念很大,从目前的全球市场来看,还没有一家企业能够把威胁检测与响应做得既全面又精悍。华清信安在研发TDR智能安全运营平台时,更关注来自外部的威胁,所以以T(Threat)为核心,聚焦T来做好检测、防护、响应、处置的闭环管理,并将其以平台和运营服务的方式交付给客户。(来源:36氪)
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。