從近年安全行業(yè)的發(fā)展趨勢(shì)來(lái)看，當(dāng)前不少客戶已經(jīng)完成基礎(chǔ)安全能力的搭建，采買(mǎi)了不少安全產(chǎn)品。但由此帶來(lái)的一個(gè)問(wèn)題是，當(dāng)各種安全產(chǎn)品帶來(lái)的告警過(guò)于繁雜且碎片化，就會(huì)讓企業(yè)內(nèi)部的安全、運(yùn)維人員難以高效工作。在此前提之下，XDR類(lèi)產(chǎn)品被視為解決此類(lèi)問(wèn)題的一種方法。

簡(jiǎn)單來(lái)說(shuō)，XDR會(huì)將終端、網(wǎng)絡(luò)、云和工作負(fù)載、威脅情報(bào)等層面的安全數(shù)據(jù)和安全產(chǎn)品集中整合，通過(guò)數(shù)據(jù)接入和分析，提供統(tǒng)一的告警處置界面，希望降低無(wú)效告警，提升運(yùn)維效率。在具體實(shí)踐上，XDR可以結(jié)合安全信息和事件管理（SIEM）、安全編排自動(dòng)化和響應(yīng)（SOAR）、端點(diǎn)檢測(cè)與響應(yīng)（EDR）以及網(wǎng)絡(luò)威脅檢測(cè)及響應(yīng)（NDR），實(shí)現(xiàn)聯(lián)動(dòng)，達(dá)成預(yù)期效果。

從行業(yè)來(lái)看，2018年后，國(guó)外的一些安全廠商提出了XDR的概念，并在2019年實(shí)際進(jìn)行了產(chǎn)品落地，Gartner也連續(xù)兩年將其列為十大安全項(xiàng)目之一。而自2020年起，我們觀察到國(guó)內(nèi)的一些創(chuàng)業(yè)公司也愈發(fā)關(guān)注XDR。具體而言，大家的路線主要分為兩類(lèi)，一類(lèi)是通過(guò)整合既有產(chǎn)品（主要包括EDR、NDR等）打造XDR能力，另一種則是從一開(kāi)始就專(zhuān)注XDR，同時(shí)通過(guò)自研和協(xié)作等方式補(bǔ)齊EDR和NDR產(chǎn)品。

36氪日前接觸到的一家公司「華清信安」，成立于2013年，一直專(zhuān)注網(wǎng)絡(luò)安全行業(yè)。公司創(chuàng)始人田新遠(yuǎn)介紹，其在網(wǎng)絡(luò)安全領(lǐng)域從業(yè)20年，先后在O2Micro、華為、山石、綠盟等網(wǎng)絡(luò)安全公司從事產(chǎn)品研發(fā)、專(zhuān)業(yè)咨詢和高級(jí)管理工作。華清信安的發(fā)展過(guò)程也可以從其經(jīng)驗(yàn)積累和產(chǎn)品迭代角度展開(kāi)。

早期，即田新遠(yuǎn)2013年開(kāi)始創(chuàng)業(yè)時(shí)，網(wǎng)絡(luò)安全行業(yè)主流市場(chǎng)需求依然是硬件產(chǎn)品。于是華清信安從下一代防火墻產(chǎn)品起家，后基于客戶方迭代的產(chǎn)品需求，推出了USP統(tǒng)一安全平臺(tái)，即給予USP融合架構(gòu)的平臺(tái)化、模塊化產(chǎn)品，客戶可根據(jù)實(shí)際需求，選擇不同功能模塊來(lái)靈活構(gòu)筑安全平臺(tái)，實(shí)現(xiàn)“一機(jī)多用”。

2017年底，華清信安提出“新安全”概念——TDR(Threat Detection and Response)威脅檢測(cè)與響應(yīng)，并將TDR定義為：以平臺(tái)化的方式整合縱深防御技術(shù)、大數(shù)據(jù)和機(jī)器學(xué)習(xí)等新型安全檢測(cè)技術(shù)以及自動(dòng)化、智能化安全響應(yīng)技術(shù)，以服務(wù)的模式交付安全能力，從而實(shí)現(xiàn)威脅的閉環(huán)管理。田新遠(yuǎn)表示，雖然TDR和XDR叫法不同，但是二者的內(nèi)涵其實(shí)并沒(méi)有太大差別。當(dāng)前，華清信安在和客戶交流時(shí)也不會(huì)過(guò)于強(qiáng)調(diào)不同概念之間的差別。

在具體落地方面，2018年華清信安推出了TDR 1.0版本，正式進(jìn)入XDR（Extended Detection and Response）擴(kuò)展的威脅檢測(cè)與響應(yīng)領(lǐng)域。2021年2月，華清TDR智能安全運(yùn)營(yíng)平臺(tái)4.0版本正式發(fā)布——這也是如今公司重點(diǎn)發(fā)展的方向。

田新遠(yuǎn)介紹，打造TDR產(chǎn)品時(shí)有兩個(gè)難點(diǎn)需要跨越，首先是以威脅為核心的智能檢測(cè)、分析和防護(hù)技術(shù)的長(zhǎng)期積累、迭代。其表示，華清信安核心研發(fā)團(tuán)隊(duì)成員大都具備十年以上的下一代防火墻、IPS、WAF和網(wǎng)絡(luò)行為管控等領(lǐng)域的研發(fā)經(jīng)驗(yàn)。同時(shí)，公司也基于攻擊鏈模型構(gòu)建威脅全生命周期行為分析機(jī)器學(xué)習(xí)算法，經(jīng)過(guò)企業(yè)客戶實(shí)際流量的運(yùn)營(yíng)驗(yàn)證和不斷升級(jí)迭代，形成智能化威脅檢測(cè)與響應(yīng)的閉環(huán)技術(shù)路線。

更具體地解釋?zhuān)缙诘膫鹘y(tǒng)防火墻產(chǎn)品主要依賴特征庫(kù)的進(jìn)行檢測(cè)，但這種方式并不適合新型的攻擊情況，所以華清信安的技術(shù)路線并不以特征庫(kù)為基礎(chǔ)，而是以行為分析為底層能力，還加入NTA、機(jī)器學(xué)習(xí)等技術(shù)，以此打造產(chǎn)品貫穿威脅的全生命周期。第二個(gè)難點(diǎn)則是實(shí)現(xiàn)統(tǒng)一運(yùn)營(yíng)，這是由于XDR的核心理念即是擴(kuò)展的檢測(cè)與響應(yīng)，所以將各個(gè)渠道的威脅整合檢測(cè)與響應(yīng)也成為重點(diǎn)。據(jù)介紹，TDR實(shí)現(xiàn)了“網(wǎng)絡(luò)—主機(jī)—應(yīng)用—云—第三方”多源數(shù)據(jù)的統(tǒng)一分析和“防御—檢測(cè)—感知—預(yù)警—響應(yīng)”的閉環(huán)統(tǒng)一管控。

當(dāng)前，公司已經(jīng)階段性跨過(guò)產(chǎn)品打磨的門(mén)檻。在客戶畫(huà)像上，目前公司目標(biāo)客戶主要包括政府、金融、教育、醫(yī)療和大中型企業(yè)。標(biāo)桿案例包括國(guó)家工商行政管理總局、中國(guó)電信、中鐵集團(tuán)、中金、中證金融、清華大學(xué)、國(guó)藥集團(tuán)、三星集團(tuán)、寶馬中國(guó)等，累計(jì)服務(wù)客戶超過(guò)一千多家?，F(xiàn)在華清信安也可以根據(jù)客戶需求，提供訂閱制或項(xiàng)目制兩種收費(fèi)模式。

談及行業(yè)情況和公司未來(lái)發(fā)展計(jì)劃，田新遠(yuǎn)表示，威脅檢測(cè)與響應(yīng)的概念很大，從目前的全球市場(chǎng)來(lái)看，還沒(méi)有一家企業(yè)能夠把威脅檢測(cè)與響應(yīng)做得既全面又精悍。華清信安在研發(fā)TDR智能安全運(yùn)營(yíng)平臺(tái)時(shí)，更關(guān)注來(lái)自外部的威脅，所以以T（Threat）為核心，聚焦T來(lái)做好檢測(cè)、防護(hù)、響應(yīng)、處置的閉環(huán)管理，并將其以平臺(tái)和運(yùn)營(yíng)服務(wù)的方式交付給客戶。在2022年，華清信安也計(jì)劃持續(xù)打磨TDR等產(chǎn)品，同時(shí)加快市場(chǎng)拓展。

關(guān)鍵詞： 專(zhuān)注 華清 成本