【重点报告】2023新一代威胁检测与响应技术创新发展报告.docx

新一代威胁检测与响应（XDR）技术创新发展报告

关于ISC

ISC成立于2013年，是国内唯一专注为数字安全行业赋能的平台。打造集会展服务、咨询服务、媒体服务、生态创投、生态联盟、产业导入“六维一体”的生态模式，全面赋能国家、政府、行业、企业、个人。过去10年，ISC秉承创新引领、智慧洞察、专业高效的宗旨，创办了亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会——互联网安全大会，树立了中国网络安全产业名片。

版权声明

本报告版权属于ISC，任何组织、个人未经授权，不得转载、更改或者以任何方式传送、复印、派发该报告内容，违者将依法追究法律责任。转载或引用本报告内容需要注明来源，同时不得进行如下活动：

·不得擅自同意他人转载、引用本报告内容。

·不得引用本报告进行商业活动或商业炒作。

·本报告中的信息及观点仅供参考，ISC对本报告拥有最终解释权。

专I家I寄I语

XDR是前两年非常热的名词，最近一年声音小了很多，不是XDR概念不好，是XDR产品开发的难度太大！在安全运营、平台化、服务化成为趋势的今天，XDR其实是未来安全运营平台的一部分，只是不同背景的公司优势不同，他们实现XDR目标的路径会不同。

————赛博英杰创始人谭晓生

传统威胁检测技术的核心是流量检测，但随着云计算和远程访问的普及，终端的检测变得愈发重要起来。因此，本报告将这一变化用新一代的威胁检测与响应来表达。而实际上，较之网络流量检测，端点的检测结果往往更加准确、高效，这也是EDR之所以越来越受到关注的主要原因之一。除了端点和流量，“新一代”还意味着与日志工具(SIEM)和流程工具(SOAR)的结，意味着云机地人的一体化协同和多维度数据的打通。更多的观点和内容，推荐阅读本报告。

————数世咨询创始人李少鹏

一直以来网络安全行业都缺少统一的力量，不能“集中力量”就无法“办大事”，XDR技术的创新发展为改变现状增加了可能。XDR技术的与众不同就在于能够自我进化和无限扩展，新一代XDR将当前最新的大数据技术、AI技术、威胁图谱等技术兼容并蓄，提供给安全运营人员一个识别威胁检测的全局视野，一个处理威胁响应的高效工具，让安全运营人员的人力极限得到解放和突破，大幅提升组织的安全运营能力。在这一过程中，新一代XDR必须打破数据共享壁垒、打破技术协同壁垒，客观上推动了相关技术标准的统一，为行业出现真正的标准化、规模化的产品提供了想象空间。未来几年XDR产品将迎来高速增长期，希望更多的安全运营客户能够通过本报告了解新一代XDR技术，更早一步受益于技术红利和普惠安全。

————赛迪顾问总裁助理、软件与信息服务业研究中心总经理高丹

软件行业有句名言：商业模式要么是捆绑，要么是分拆（bundle,orunbundle），新技术面世，往往先以分拆模式，作为独立的产品出现，一旦技术成熟，就走向捆绑（或者叫高度整）形态，融?进已有产品。安全产品的发展亦然。SIEM和从SIEM发展而来的XDR，就是两种模式的代表。单看SIEM的底座大数据技术，在SIEM出现的十余年间，都尚不成熟，产品化Hadoop生态的大数据技术，需要大量的部署及运维成本。只有2010年后开始，各种NoSQL的使用成本，才慢慢降到上一代SQL数据库的成熟水准。类似的还有以EDR为核心的检测技术，SOAR代表的响应处置自动化技术等，都是在最近几年中，业界共识的安全运营核心组件。对于最终用户，一个高度整的XDR，除了单算经济账，投入产出比更好外，更重要的是，构筑、整这些最佳技术的XDR，是目前解决安全运营流程中各种问题的最佳平台。以平台的高速发展势头，未来几年，快速成熟中的各种新兴技术，如AI/GPT，如BAS，会陆续普遍整进XDR，给客户提供更高的安全运营价值。

————360本地安全大脑主架构师、瀚思科技原CTO万晓川

新一代XDR系统借助大数据分析和人工智能技术，正在向平台级网络防御体系迈进。其核心优势在于两个关键性能指标：精准识别网络攻击的时延和快速反制的速度。要想进一步提升这两项指标需要三方面能力的有效协同：高效处理海量异构数据的能力、高质量威胁情报能力以及安全团队的可持续专业经验。考虑到数据监管的日益严格，以及为了应对未来更广泛的安全挑战，XDR还需要将覆盖范围将扩展到IoT等物联网设备，同时还要考虑数据隐私保护以及规性审计等。可预计，XDR将向更智能、更协同、更开放的方向升级，并成为下一代安全运营的中枢平台。

————亚信安全业数平台产品战略官魏小强

前 言

中美对抗、俄乌冲突、以哈战争…，今天，大国竞争和地缘冲突愈演愈烈导致逆全球化格局的逐渐形成，此前好不容易建立的网络空间国际作治理已经遭到严重破坏，这给了网络犯罪前所未有