一、背景概述

1.1背景

网络安全是一个事关国家安全的重大战略性问题，“没有网络安全就没有国家安全”、“安全是发展的保障，发展是安全的目的”、“加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”，为网络安全工作指明了方向。关键信息基础设施“不出问题则已，一出就可能导致交通中断、金融紊乱、电力瘫痪等问题，具有很大的破坏性和杀伤力”。

从外部威胁和事件影响角度来看，随着攻防新技术的发展和应用、APT与未知威胁的增多、0day漏洞频繁爆发、护网行动等造成网络安全威胁和风险日益突出，引起的网络安全事件的影响力和破坏性正在加大，并向政治、经济、文化、社会、国防等多领域传导渗透，对网络空间安全建设提出了更高的挑战与要求。

1.2新的形势

互联网技术的飞速发展使得互联网承载的价值越来越多、网络的规模和复杂度越来越大，因此，黑客有了越来越多的动机和手段来窃取企业的机密信息和资源，甚至是对企业资产造成破坏。

1）外部威胁不断变化，网络空间对抗态势进一步加剧

安全的本质是对抗，网络空间对抗态势进一步加剧。其中，黑产对抗升级，以勒索、挖矿为代表的黑产恶意软件同比增长31%，政府和能源同比增长25%；漏洞收录递增态势，漏洞收录较去年增加14%，2019 年下半年网站攻击增长59％；APT攻击快速增长，2020年政府、能源、金融以及国家基建等APT攻击行为同比增长33%，大量0day 利用攻击同比增长49%。

2）国家重视监测预警和信息通报，合规监管趋严

从合规合法角度看，2017年6月1日，《中华人民共和国网络安全法》正式施行，其中，第五十一条，国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息；第五十二条，负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警与信息通报制度，并按照规定报送网络安全预警信息。

并且，等级保护2.0相关政策条例的修订与出台、也提出了一些新的安全要求，应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

3）网络攻防不对等，安全运营能力缺失

Verizon对安全事件进行了调查，得出的结论是：不计算前期侦察与信息获取的过程，攻击者从实施攻击到入侵得手仅需花费数小时的时间，相比之下，62%以上的企业需要花上数周甚至超过一个月的时间才能发现黑客攻击，随后还需要数天至数周的时间完成响应和补救工作；在另外一项统计调查中，Ponemon Institute从全球252个机构的1928起攻击事件的中发现，攻击事件的平均解决时间为46天，而每延迟发现和解决攻击事件一天，企业就会损失21155美元。

图1-1 攻防不对等（数据来源：Verizon 2019 数据泄露调查报告）

传统体系安全验证方法，包含标准规范、合规检查、安全基线、渗透测试和配置核查等。这些方法论，都有一个假设前提条件，IT信息系统存在的风险和威胁，是可以经过评估和充分地认知，从而被发现处置。但在如今不断发展的网络威胁和IT环境中，这些假设均不成立，0day漏洞攻击和APT高级可持续威胁攻击一直存在，漏洞永远存在而且未知。

由此可见，在网络复杂性极大、网络弱点极多的今天，想利用边界防护设备阻止黑客进入企业内网是难以做到的，出现了攻防不对等的情况。并且，0day和APT攻击的出现，传统的安全验证体系不完善，导致安全运营能力的缺失。

二、需求分析（存在的痛点、难点等）

网络安全事件层出不穷，网络安全形势也愈来愈复杂和严峻。在黑色产业链的利益驱使下，黑客的手段越来越成熟，各种基于社会工程学、0day漏洞和绕过攻击等新型手段发起的攻击不断出现，网络安全问题呈现出多元化的发展趋势。面对网络安全问题的快速变化，传统的安全解决方案发展却过于缓慢。目前主流的应对方案依然是基于大量安全产品的简单组合，存在较多的不足：

1） 安全设备孤岛式分布，无法真正协同工作

一次安全事件会同时在多个点留下痕迹，但安全设备彼此是独立的，尽管这些单独的安全设备在它们自己的范围内提供了最好的东西，但它们并没有将整个攻击面的点连接起来，无法真正协同工作。

2） 主要基于规则识别，海量告警难以处置

传统的安全设备只能发现已知威胁，对未知攻击没有有效的检测手段。

3） 安全事件处置碎片化，难以打破产品边界

传统的安全事件处置只关注单品的响应能力，未做到端网协同响应。

4） 安全运营效率低下，安管人员疲于应付重复、单一的工作

企业购买大量异构安全设备，分散在各处，产生大量日志，给日志分析和事件处理带来困难。运维人员被大量零散的信息淹没，无法做出宏观判断和有效决策，每一起重大安全事件都会被疯狂应对，导致效率低下，无法充分发挥设备的能力。

三、详细解决方案

3.1设计

3.1.1设计理念

基于原生安全数据的检测与响应在以下方面提出了更高要求：

• 简单而更有效的关联分析

• 更快地发现隐蔽威胁

• 检测高级威胁行为

• 快速调查溯源取证

• 更高效的全流程事件处置

• 更完整的攻击链可视化

• 将安全运营的经验变成自动化

SIEM（安全信息和事件管理）的数据来源是各类安全设备日志，而每个厂商的日志各式不同、告警定义不同，难以做到有效关联，为用户提供的价值更多在合规。

过往态势感知核心数据来源大多是网络流量，缺乏终端数据的关联分析，导致态势感知类产品无法定位到事件根因。

SOC（安全运营平台）产品价格高昂，需要考虑资产管理、数据采集、威胁分析与告警、响应工具、体系建设、人员能力培养等众多模块，且需要大量专业人员投入运营，更适用于超大型机构。

XDR（扩展检测响应平台）在Gartner的定义是：XDR（扩展检测响应平台）是一种SAAS化的，将多源安全遥测数据进行聚合，把原先分散的单点安全能力以原生化方式进行有机融合，以此提升威胁检测、调查、响应与狩猎能力的系统。平台化整合对接日趋成熟的NDR（高级威胁检测）等技术，与传统的SIEM形成差异化互补；威胁情报、专家托管、威胁狩猎等服务支撑安全运营；平台与服务，通过在线方式优化性能、按需交付。

3.1.2方案定位

传统的网络安全建设方案，容易导致割裂的安全防御，无法协同作战，提供有效的整体安全防护，甚至导致安全运维复杂化。基于割裂的安全防御所产生的安全现状数据也将成为一座座安全孤岛，难以协同共享，导致碎片化的安全认知，只能看见碎片化的局部安全，无法形成统一的整体可视。

XDR（扩展检测响应平台）通过原生的流量采集工具与端点采集工具将关键数据聚合在XDR平台，通过云端专家服务提供威胁分析研判及狩猎能力，提供本地化分布式部署或者SAAS化交付方式实现在线化效果，为用户带来深度检测、精准响应、持续生长的价值。

3.1.3方案设计

过去业界态势感知主流的技术路线是分析过程（网络），没有结果（终端）输入，由此才会产生海量告警、大量误报、漏报的问题。XDR实现终端+网络数据源的聚合分析，并基于attack攻击矩阵图、专家知识经验固化为关联分析模型来讲网络及终端侧的行为做关联分析，实现自动化生成完整攻击链的效果，为用户提供简单易用的安全能力。通过平台自动化响应，提高处置效率。通过SAAS化能力，降低用户使用成本，同时SAAS化可运用云端的情报、数据、算力优势，提升处理分析速度和检测效果。通过服务化能力帮助用户走出安全能力不足的困境，解决用户安全高阶人才紧缺的问题，最终实现安全工作的简单有效、省心可靠。

3.1.4方案组成

XDR平台采用“平台+组件+服务”的方式，平台包括SAAS XDR/本地版XDR，组件包括：

网络流量采集工具：防火墙/威胁检测探针/态势感知

端点行为采集工具：轻量化终端客户端（终端版/服务器版）

其余遥测点采集工具：容器数据采集工具、邮件数据采集工具……

3.1.5方案特点

1）XDR支持SAAS化/本地版XDR平台以及防火墙、威胁检测探针、态势感知、轻量化终端客户端等组件，可以方便的组合使用。

2） XDR采用业界领先的数据湖技术，有统一的安全数据可供分析和查询。

3） 网络侧，端点侧以及云端相互配合和协调，可以更快，更精准的发现高级复杂威胁及攻击， 实现对整个攻击面全面可视化。

4） 网络侧和端点侧联动处理改变单一产品的响应过程。

3.2方案架构

XDR平台采用分层的数据处理结构设计，从数据采集到最终的安全可视呈现形成完整的层次结构。如下图所示，每一层具体的职责描述如下：

3.2.1数据采集层

基于2021年MITRE的ATT&CK评估测试中对遥测的定义，它是：“经过最小化处理的数据，是为了证明特定攻击行为而产生的，可以明确表明特定行为发生了并且和特定的攻击机制相关（确实发生或者可能发生）”。也就是说，遥测数据更倾向于需要优先收集和攻击⾏为有⼀定关联性的数据，这种遥测数据和元数据最⼤的不同是它是和特定的攻击技战术⾏为相关，这个发展有多重的价值：

1. 进⼀步压缩了需要传输、存储、分析数据，⼤幅度降低了安全的成本；
2. 基于元数据的分析，有⼤量的艰苦的识别⼯作（哪些适合恶意⾏为相关

的），需要分析师具备⾮常专业的能⼒并付出⼤量的时间，⽽现在这种⾏为已经前置数据采集阶段就完成了；

3.基于遥测数据，使基于AI的模型检测成为可能（即⾃动化威胁狩猎），⽽AI模型的完善，可以使绝⼤部分时间检测环节不再需要⼤量的分析⼈员，这对于当前普遍缺乏中⾼端专业⼈员的安全⾏业，是⼀个⾮常重要的进展。

XDR遥测数据采集的类型分为三种，分别为网络侧遥测数据，终端侧遥测数据以及第三方数据。

其中网络侧遥测数据具体包含如下信息：

a.网络（态势感知）：脆弱性、服务探测、主机探测、网站攻击、后门通信、账号爆破、攻击利用、邮件攻击、DOS攻击、漏洞利用、黑客工具、异常流量。

b.网络（防火墙）：网站攻击、漏洞攻击、业务风险、DOS攻击、勒索挖矿、僵尸网络、异常流量。

c.网络（全流量探针）：协议、NetFlow、少量Payload。

d.网络（态势感知/防火墙/全流量探针）: 可疑日志。

终端侧遥测数据具体包含如下信息：

a.终端（轻量化客户端）：传统杀毒类日志和IOA类日志。

b.终端（Windows）：进程、网络、注册表、文件、服务、计划任务、账号、WMI、应用漏洞利用探针、API。

c.终端（Linux）：文件、进程、驱动、系统调用、模块事件。

第三方数据具体包含如下信息：

AD域，VPN等日志，同时 XDR平台具备广泛的第三方数据接入能力，能将用户现有的第三方设备日志接入做统一展示，保护用户原有投资。

3.2.2数据治理层（数据湖）

数据接入

XDR平台采用istio作为统一的接入网关，istio是最初由IBM，Google和Lyft开发的服务网格的开源实现。它可以透明地分层到分布式应用程序上，并提供服务网格的所有优点，例如流量管理，安全性和可观察性。

XDR平台数据传输采用gRPC双向流协议，是一个现代的、开源的远程过程调用 (RPC) 框架，基于HTTP/2协议。它使客户端和服务器应用程序能够透明地通信，并使构建连接系统变得更加容易。它帮助我们构建具有高可见性的高度可扩展的系统。

XDR平台采用pulsar作为消息队列，Apache Pulsar采用了分层的架构，解决了存储计算的耦合，同时提供了很好的扩展性和可维护性。Pulsar也通过订阅层的抽象，提供了统一的消息消费模型。特别是在Pulsar的设计之初，就注重对多租户，多机房互备等方面的需求，提供了众多完备的企业级的特性。

数据加工（归一化，富化）

在实际生产中，用户的数据形式各异，为了实现数据接入、解析、ETL的标准化过程，XDR平台提供了功能强大的解析算子、逻辑处理算子和标签算子。其中，解析算子目前支持多种格式的数据解析，包括CSV、KV、JSON、grok、正则、xml等格式，这些格式覆盖大多数企业数据分析的使用场景；数据过滤支持多字段、多条件进行组合，形成复杂的过滤条件，满足分析场景中灵活的需求；标签算子，可结合地理位置、资产信息、黑白名单和威胁情报等信息，为不同应用场景提供不同的选择。

大数据存储层

XDR平台采用ClickHouse数据库存储数据，ClickHouse是一个用于联机分析(OLAP)的列式数据库管理系统(DBMS)。

OLAP场景的关键特征：

绝大多数是读请求

数据以相当大的批次(> 1000行)更新，而不是单行更新;或者根本没有更新。

已添加到数据库的数据不能修改。

对于读取，从数据库中提取相当多的行，但只提取列的一小部分。

宽表，即每个表包含着大量的列。

结合XDR具体业务特征，ClickHouse能够提供快速查询。

大数据计算层

XDR平台基于Apache Flink分布式流式处理框架进行开发，同时支持高吞吐、低延迟、高性能特性。用于对无界和有界数据流进行有状态计算，Flink被设计在所有常见的集群环境中运行，以内存执行速度和任意规模来执行计算。同时支持海量数据的采集、融合、存储、检索、分析和展示。

Yarn是资源调度引擎，为XDR平台提供资源调度能力，是多租户资源分配的基础。

3.2.3安全能力层

Flink（全流量检测引擎）

网络侧遥测数据检测，结合机器学习、行为分析、关联分析等技术，有效发现高级威胁与异常行为；通过算法模型迭代、灰度运营优化、流量双向检测，大幅提升检出率，并降低误报率，失陷主机准确率达到99.4%以上。

Flink（终端检测引擎）

终端侧遥测数据检测，通过文件信誉检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎以及安全云脑检测引擎检测。其中人工智能检测引擎利用深度学习技术对数亿维的原始特征进行分析和综合，结合安全专家的领域知识，最终挑选了数千维最有效的高维特征进行恶意文件的鉴定，具有超强的泛化能力，可以检测未知威胁。

五层检测引擎具有：

 高检出：多层次过滤，不同类型威胁使用最优引擎检测；

 低误报：灰度文件进一步检测，防止误报警报疲劳；

 资源消耗少：90%文件被第一层引擎过滤，不需要所有引擎并发检测。

Flink（威胁检测引擎）

高级威胁狩猎引擎是实现了一套自定义分析语言EAL( Endpoint Analyze Language,终端分析语言)，可支持用户输入基于值匹配的逻辑组合表达式，终端依据该表达式进行语义解析，检索符合该表达式的内容。

当新兴的攻击发生而未有相应的识别及防护措施时，则可通过将攻击行为特征转化为SEAL的逻辑组合表达式，通过管理平台下发到全网终端，各个终端对该SEAL表达式进行解析并检索是否符合攻击行为特征，并最终将符合信息上报到管理平台，从而运维人员可快速研判是否有终端存在受到了攻击的可能，并对威胁终端进行快速响应处理，降低损失。

SEAL的设计理念是易理解、易使用及高上限，力求以简单的方式进行类逻辑思维的检索研判。只要将攻击行为特征转化为SEAL的逻辑组合表达式，就能够进行攻击行为特征的快速检索。

3.2.4安全业务层

安全可视（态势大屏）

XDR可视化以丰富的图形表格结合和多维度的统计，展示网络安全动态，并实现统计数据的反查、钻取和对比等。同样，为了适应用户的灵活多变性，还支持用户自定义仪表盘和大屏展示。

资产管理

资产管理，可以解决资产分散、不集中等一系列管理问题。具有识别IT资产、梳理访问关系和建立责任人员组织架构的功能，实现资产的统一管理。其中，可识别的资产类型，包含服务器、终端、网络设备、物联网设备、移动设备和网络安全产品等。

脆弱性管理

在资产梳理清晰后，XDR平台能对资产进行脆弱性评估和管理，包含主动扫描、被动流量识别、以及主机Agent等发现的资产脆弱性信息进行有效的整合，实现对资产脆弱性进行统一的生命周期管理。

安全事件管理

XDR平台集中化了所有孤立的端网安全事件和威胁告警，进行统一管理。支持针对各类事件，借助平台提供的工具和流程，实现了不同事件不同处置过程规范性的跟踪管理。

3.2.5安全闭环层

威胁告警通过人工或者自动方式可以快速生成事件，按照模板流程，将其提交到不同处置人处理，同时通过内置状态机进行事件维护，保证事件状态的一致性，告警事件的节点状态同时被存储，以支持后期事件回溯。

XDR平台通过API接口，联动防火墙、轻量化客户端下发处理动作完成对告警事件的处置，提升业务系统的安全系数，及响应处置的速度与准确性。例如：

• 轻量化客户端联动：将告警与 安装轻量化客户端设备进行联动，对可能的端点恶意进程进行封禁、关闭、隔离等操作。

• 防火墙联动：将告警与防火墙设备进行联动，完成对恶意 IP 的封禁、解封操作，甚至调整安全设备其它策略。

• 多生态安全产品联动：目前已支持多款主流防火墙的联动，如深信服、网神、山石以及Fortigate等。

3.3方案技术原理

3.3.1智能遥测采集

智能遥测数据采集和过滤是XDR平台能力的基础。XDR探针建设统一遵从以下3S标准：

智能（Smart）；遥测数据类型丰富、监控范围广；同时，探针利用多种技术（AI引擎、异常检测、规则引擎），结合当前客户环境、业务状态、风险等级等，动态评估需要采集的遥测数据，做到安全效果和数据量平衡。

例如，终端会采集进程的关键API行为，识别诸如屏幕截取、键盘记录、远程桌面等行为，但整体数据量过大，且绝大多数行为和攻击无关，属于无效数据；因此探针会智能识别合法进程，并监控进程的安全状态，仅当新的未知进程启动或是合法进程被漏洞利用、内存攻击（注入等）之后，才会进行深度监控采集。

稳定（Stable）：

网络：纯旁路采集，不影响客户网络。

终端：兼容性实验室的大量、复杂环境测试；大量（数十万）客户终端稳定运行。

轻量（Slim）：

网络探针的硬件要求低，终端性能指标+0业务影响，根据终端资源消耗动态调节采集策略。

3.3.2精准深度检测

3.3.2.1 统一数据模型+多源异构数据关联

网络和终端的遥测数据结构、语义都不相同，同时不同终端操作系统的事件类型也都不同。XDR基础使命即通过深度整合端网遥测数据，更快、更准地检测、研判、溯源攻击。其中第一步，即需建立统一的数据模型，将端网多源异构数据整合，用以精准地描述网络世界发生的事件，而后续的分析、检测、溯源、展示等，都将基于此统一的数据模型。

XDR选取了Provenance Graph（溯源图）（也可以称为dependency graph，依赖图）作为数据模型的基础架构，按时间顺序记录用户环境中发生的一切行为，即将用户网络中所有的数据串成一个网（图），需要将终端和网络的数据关联起来。XDR针对不同场景，采用了强关联或弱关联，通过ATT&CK技战术因果关系、时间顺序、威胁场景等关联，发现最合理的数据关联关系。

3.3.2.2 单品检测能力（离线）

XDR继承了网络侧和终端侧的检测能力。

在网络侧内置16个检测引擎，同时每个检测引擎下有多个细分检测场景，检测引擎包括AD域行为分析引擎、DNS流量分析引擎、Http流量分析引擎、邮件检测引擎、SMB协议流量分析引擎、SIEM日志关联分析引擎、 威胁情报关联分析引擎等。针对每个检测引擎下的细分场景都有对应的检测模型，有基于人工智能构建的机器学习和深度学习的模型。例如在DNS检测引擎中的DGA随机域名场景中，使用深度学习算法LSTM解决了黑客使用DGA算法生成随机域名的问题；在HTTPS检测引擎中恶意程序下载场景中，使用机器学习算法决策树识别恶意下载行为。

终端侧采用三级检测机制，呈漏斗状。

第一级是event级别的事件检测，基于单个终端的明显攻击行为检测，输出分析；

第二级是多告警关联检测，是基于大量关联数据再深度检测，抑制误报；

第三级是跨终端多源检测，基于多终端、多源数据相互关联，重现攻击场景。

通过上述三级检测引擎，XDR输出高质量的检测分析结果。

3.3.2.3 端+网检测能力（离线+云端）

离线检测能力主要体现在XDR-MGR上，使用Flink CEP（Complex Event Processing复杂事件处理引擎）技术作为底层数据处理的核心，通过结合多种关联规则模板来实现复杂的CEP语义。

CEP是一种基于动态环境中事件流的分析技术，事件在这里通常是有意义的状态变化，通过分析事件间的关系，利用过滤、关联、聚合等技术，根据事件间的时序关系和聚合关系制定检测规则，持续地从事件流中查询出符合要求的事件序列，最终分析得到更复杂的复合事件。

CEP用于分析低延迟、频繁产生的不同来源的事件流。CEP可以帮助在复杂的、不相关的时间流中找出有意义的模式和复杂的关系，以接近实时或准实时的获得通知或组织一些行为。

CEP支持在流上进行模式匹配，根据模式的条件不同，分为连续的条件或不连续的条件；模式的条件允许有时间的限制，当条件范围内没有达到满足的条件时，会导致模式匹配超时。

CEP还可以实现跨终端、跨网络的复杂攻击检测规则编写，并据此持续提供攻击检测规则，安全效果远超独立的端、网组件。

云端多AI分析引擎：将脱敏后的客户端、网安全事件上传云端，利用云端的庞大算力，持续挖掘数据中的可能威胁；针对不同的攻击类型，使用最合适的AI算法进行分析，形成云端分析流水线。

3.3.2.4 云端XTH攻击确认（incident 99.9%准确率）和主动威胁狩猎

随着攻击技术的演进，网络世界中总会有漏网之鱼。安全运维的效果保证需要人工参与，云端XTH威胁狩猎团队持续保护客户安全，对XDR产生的安全事件进行7*24小时研判，研判后的事件会打上XTH标签来确保事件达到99.9%的准确率，以方便用户及时处置威胁。

云端威胁专家会持续进行威胁狩猎，对新的IOC、IOA进行持续回扫，同时分析客户环境中异常信号，发掘客户环境中潜在的威胁。（例如，清理登录失败最多的账号、终端，判断是否为攻击等）。

同时XTH可增强未知威胁的检测能力：通过弱行为挖掘隐蔽事件，比如起了个cmd，没有规则能定义这个行为，云端专家做追踪新出来的手法，通过回溯查询是否有过去已经被攻击的事件。提升威胁的持续对抗能力。

3.3.3 全面轻松研判

3.3.3.1 端+网攻击检测结果展示

在过去，一次完整的攻击会在各个安全组件产生大量孤立的安全日志，形成信息孤岛。孤立的告警需要人工进行聚合，再结合上下文信息、历史信息、安全知识等进行研判。这个过程会花费大量的时间和精力，且安全效果无法保证。同时，组件产生的误报也会急剧增加此过程的消耗。

XDR以统一数据模型为基础，在原生关联的数据基础上进行检测，组件检测结果带有天然的关联关系。因此，XDR的安全事件检测结果都带有攻击的上下文以及一次攻击涉及的所有组件告警，在一个页面即可展示一次完整的攻击，加速用户研判过程。

3.3.3.2 检测结果富化（威胁情报、场景化自动取证）

在进行安全事件研判时，分析人员需要更多的信息输入，以进行快速精准的研判。例如，分析人员需要知道DNS、IP、文件合法性等威胁情报，这些信息以往需要分析人员导入第三方威胁情报或通过沙箱、云端查询等方式手动获取，而XDR平台会将这些信息直接展示在安全事件告警页面，节约研判时间。

同时，分析人员需要知道系统业务的历史信息、威胁流行度等，此外，根据不同的威胁类型，需要不同的额外信息以供研判。例如，在挖矿场景，被检测到的挖矿进程的CPU/GPU使用率将有助于专家研判。在发生威胁事件后，以上过程往往消耗数天甚至更久的时间，且无法保证效果（随着时间推移，一些取证信息将不可获取）。XDR平台在识别到攻击后，将根据攻击的类型、场景，自动识别并获取研判所需的额外信息，将其展示在安全事件告警页面，省时省心。

3.3.4 快速便捷响应

3.3.4.1 攻击缓解能力

响应的第一步是阻止正在进行中的攻击对客户环境造成进一步的影响，XDR通过联动组件提供各种类型的攻击缓解能力（Remediation）。

3.3.4.2 自动化根因分析和攻击影响范围评估

通过自动化根因分析，XDR平台在发现攻击后，通过溯源分析，快速发现此次攻击的可能入口，包括但不限于：钓鱼场景中，下载文件的浏览器、IP和DNS；漏洞攻击中，被漏洞利用的应用、服务器以及远程IP、DNS等等。通过自动化根因分析，可以快速发现攻击入口，经过即使修补，可以避免网络被反复打穿。

此外，攻击影响范围评估以攻击入口点为基础，评估此次攻击对用户环境造成的损失，包括遭受攻击的终端以及对终端的损害：自启动项、新建特权账号、对操作系统配置的修改等。

3.3.4.3 自动化和云端专家响应建议

XDR云端安全运营专家持续积累对常见威胁、热门威胁的响应建议，针对不同客户场景、不同威胁类型、攻击过程中使用的不同技战术（ATT&CK TTP），自动生成可行动的、即使不具备安全背景知识也能理解的处置建议。同时，针对全新的攻击类型，云端专家在分析完成后，会及时提出针对性的响应建议。

3.3.4.4 单品响应能力和端网协同响应

通过联动防御设备来实现一键封堵威胁攻击源，或阻断与病毒木马通信。具体方式包括：

网络侧-联动封锁：需联动防火墙完成。以IP+端口+封锁时长形式进行所有协议/流量的封锁。

网络侧-ACL策略封锁：需联动防火墙完成。提供基于ACL规则策略配置方式，执行精细化的防御，可细化到五元组 + 具体应用等。

端点侧-端点查杀：需联动端点安全产品。对威胁主机进行联动轻量化终端查杀来形成闭环，对未知的可疑行为通过轻量化终端的终端日志、进程信息采集结合进行威胁追捕和进程文件定位。

3.4 方案核心功能

3.4.1攻击面管理（资产、漏洞）

从攻击者视角看来，能够被攻击者利用以发起攻击，进而对业务造成安全风险的所有攻击点，都是攻击面管理的内容。

传统自下而上的设计受限于采集能力，只能根据采集到的内容被动分析和响应；XDR平台采用自上而下的设计思路，深度洞察攻击面，并根据洞察结果主动提升检测和分析能力，使攻击面管理更主动、更全面、更准确。

深度资产威胁建模，以攻击视角发现易受攻击点，进行精准有效加固；以攻击视角进行深度资产威胁建模，通过动态运营，收缩暴露面威胁建模，找出攻击关键路径，组件延伸出可能的攻击和利用点，对应出我们可以如何解决。

3.4.1.1资产识别

XDR平台通过网络侧，端点侧和第三方API获取以及手动数据接入来识别资产。利用主动扫描识别、被动流量识别和用户手动导入资产列表，结合用户页面操作资产信息，对资产进行关联、合并、去重和除错等处理，补充更新资产数据信息。

3.4.1.2漏洞管理

随着资产数量的增多，系统和应用漏洞频繁爆发，对资产漏洞进行识别与管理是保障业务安全的重要一环。XDR平台结合网络侧以及端点侧识别漏洞检测，能够全面的了解客户设备的真实漏洞情况。

结合漏洞全生命周期机制，对漏洞全生命周期进行管理，包括：漏洞发现、漏洞验证、漏洞处置、漏洞复测，实现漏洞全生命周期状态闭环跟踪，确保重要的漏洞及时处置。具体过程定义如下：

漏洞发现：能够主动地对系统、应用层、中间件、数据库等漏洞检测。

漏洞验证：能够对紧急漏洞进行排查，主动检测、网络安全设备、主机网络安全管理软件、网络安全漏洞发现算;法等来源的漏洞信息进行自动化的或手工的验证，确定漏洞的有效性。

漏洞处置：对发现的漏洞提供处置建议，提供可落地的漏洞修复方案，包括：漏洞修复步骤、补丁下载链接等，漏洞处置方案支持自定义。

漏洞复测：当漏洞修复后，对漏洞进行复测，确定漏洞是否已被成功修复。

3.4.2网端聚合分析

XDR基于多源数据采集，即丰富的E（端点侧）+N（网络侧）关键数据全量采集，深度关联再研判，按照安全语义融合告警、深度挖掘、自动决策，全景研判incident视角下的全生命周期，分钟级根因定位、受害评估，精准处置，傻瓜式解读威胁攻击。E+N深度结合的检测效果、失陷事件能快速发现、告警动态聚合、全局风险可视（数据中心/云内东西向）。

网端关联分析：网络和终端的遥测数据联合分析，且展示在同一个事件界面中：

1、资产漏补、攻击预测

(1) 网络侧资产识别和攻击面评估，终端侧业务影响修复和加固；

(2) 资产、漏洞等信息结合正在发生的事件，进行攻击路径预测和威胁评估

2、更精准的攻击检测，更全面的攻击路径分析

(1) 端网协同检测、举证，提升检测能力；

(2) 端网溯源分析，RCA+攻击影响范围评估

3、自动远程取证能力

(1) 根据攻击类型，自动获取相关举证信息；

(2) 交互式远程举证能力。

4、威胁狩猎能力：记录网络和终端发生的任何事件，随时回溯，发现潜在攻击。

3.4.3攻击入口还原

XDR平台通过端网溯源分析，RCA（根因分析）和攻击影响范围评估，做到更精准的攻击检测，更全面的攻击路径分析。

RCA在成熟的安全运营中⼼是骨干⼈员最主要的⼯作，但在以往的运营中⼼却缺少与此⼯作对应的完善⼯具。因此这个本就对专业能⼒有较⾼要求的⼯作越发的有挑战性，可以较好完成⼯作的⼈越发的缺少，同时这些缺乏的核⼼骨干⼈员的工作效率并不⾼，⼤部分的时间花在了根因分析所需要的数据收集上，这种相对明确、简单、重复、可以⾃动化完成的⼯作却消耗了分析⼈员的⼤部分精⼒、时间，⽽最重要的综合分析⼯作却会⼤量积压，进⼀步让这个关键岗位的职业满⾜度也变得很低。

⾃动化根因分析，就是针对以上痛点提供的⼀套完整的根因分析⼯具，可以⾃动化的完成下⾯这些⼯作：

1. 本地数据的收集：根因分析过程中需要多种不同类型的数据，包括遥测类

数据、终端和⽹络的元数据、系统⽇志、报警⽇志和取证分析数据（PCAP、进程&⽹络状态表、进程树等），通过针对不同类型的事件，将分析所需要的所有数据⾃动化收集、汇聚，将⼤幅度降低分析⼈员的重复劳动。

2. 数据富化：根因分析同时需要丰富的上下⽂数据，这⾥⾯典型的包括威胁

情报、组织架构等信息，通过提供⼀个IP的地理位置或者使⽤场景等标签信息，分析师可以更快速的判断相关会话数据是否需要进⼀步分析，通过了解⼀个账号对应⼈员在组织的⻆⾊，也更容易了解相关事件可能的性质。

3. 可视化交互：根因分析中涉及的数据种类、来源众多，那么如何有效呈现

给分析⼈员，需要通过有组织的⽅式呈现给分析师，基于分析过程中的⼦场景不同，会涉及到不同的可视化呈现⽅式，为了呈现攻击在⼀台主机上的过程，进程树可能是最直接、有效的⽅式；为了了解攻击中横向移动的整个范围，适合的可视化⽅式应该是⽹络图；⽽为了呈现完整的攻击过程，时间线是⼀种更普遍的⽅式。

4.⼯作协同：⼀个复杂事件的分析，可能设计到的⼈员不⽌⼀个，因此需要 多个⼈员的协同⼯作；同样的根因分析的结果是为了⽀撑事件处置，⽽响应过程往往不是分析⼈员完成的，即根因分析的结果需要和其它的运营流程进⾏对接，这些都是相对完善的⾃动化根因分析提供的功能。

通过RCA支撑攻击入口还原，并能够查看同类脆弱性影响面和受影响资产脆弱性详情，勾勒出完整的故事线，以事件驱动做好响应和预防。

3.4.4威胁狩猎及响应

强大的云端专家团队根据客户需求，分析业务场景，狩猎潜在的安全威胁，并产出高质量的狩猎报告，定制对应规则，保证安全威胁无所遁形。

云端充分了解客户需求和实际环境，提供具有业务、行业特点的狩猎服务。

以往只能通过采购新设备才能满足的特定场景需求，现在可以通过威胁狩猎专家服务直接解决。基于大量的云端历史数据并结合当前历史数据，经过长期不断的运营，持续建立和优化规划，精准捕捉威胁。

和通过建立正常的基线来发现异常行为，并据此发现攻击或者内部越权行为的传统异常检测不同，XDR平台威胁猎捕具备几个显著特点：

1、依赖威胁知识：威胁猎捕依赖威胁相关的知识，即对攻击者技战术的掌握。威胁狩猎本质上也是一种异常检测，但它关注的异常是以发现特定攻击技战术的表征为目的，因此具备较强的可解释性（虽然这种可解释性往往也需要具备一定专业能力才能理解）；

2、以分析师为中心：狩猎是以分析师为中心，而不是工具为中心的。虽然成熟的狩猎机制会具备自动化能力，但就整个过程而言，还不能摆脱对分析师的依赖，尤其是在根因分析（怎么进入内部网络）的环节。

3、假设失陷：狩猎假设攻击者已经存在于您的IT环境中，进而不断的寻找相关的证据，因此威胁狩猎发现的更多是攻击中、后起的行为。

从具体实现层面，威胁狩猎存在几个不同的层次：

1. 被动威胁狩猎：又称结构化威胁狩猎，往往由IoC情报为代表的触发器启动，具体的触发机制可以是基于实时的匹配检测，也可以是对历史数据的回溯。例如在前阶段的Log4j2漏洞爆发期间，大多数安全产品早期都不具备有检测能力，通过对漏洞利用情报的分析，可以找到典型的漏洞利用之后的攻击特征（如：“$jndi:ldap://”），对近期的日志进行回溯匹配，发现是否有攻击者已经利用相关漏洞进入组织内部。被动狩猎在触发器启动后，主要是通过收集的数据，尝试寻找触发前后的相关行为线索，以掌握攻击者的完整攻击过程和影响面，以支撑后续的清除和加固动作。

2.主动威胁狩猎：也被称为结构化狩猎，它是以安全专家为主，基于攻击者的技战术行为进行的主动搜寻，往往可以在攻击者对环境造成破环之前识别相对应的攻击。仍然以Log4j2漏洞为例，如果建立针对相应攻击战术的监测机制，如对Java进程启动的白名单之外的异常进程进行监控，那么即使在漏洞发布之前有人据此进行攻击，也可能发现并及时止损。这种方式无疑对不同攻击的适应性更强，但对分析人员的要求也会更高，Java进程启动的进程是一个并不少见的情况，如何进一步的定义异常以及对异常如何分析确认，这需要的较高的专业同时还需要大量的时间投入，对专家资源的依赖使它很难成为一种普遍性的方案。相对被动威胁狩猎，主动威胁狩猎在理念和技术上都有了较大的发展。

3. 自动化威胁狩猎：未来解决主动威胁狩猎的人员的高要求，这个时候AI登场了，它将在一定程度上解决了对专家的强依赖，或者说大幅减少狩猎过程中人力的投入。延续上面的案例，可以通过AI对Jave启动的进程在检测片段内的频度、范围和历史做分析，判定这个启动的进程是否是攻击信号或者是由业务调整造成的；同时对进程启动前后的其它行为（往往包含是后续的攻击行为）做综合评估，形成整体的风险评分，最终将确定性最高的事件提供给分析师。通过这种方法就可以节省大量的分析师时间投入，让其把更多精力放到当前使用AI和自动化还方法很好解决的根因分析（攻击链分析和影响面分析）上。

四、方案创新点

4.1动态行为分析检测能力IOA

IOA之所以引人注目，是因为它们提供了针对无文件攻击的独特的主动预防能力。IOA寻找攻击可能正在进行的迹象，而不是关心攻击的步骤是如何执行的。这些迹象可以包括代码执行、试图隐身、横向移动等等。如何启动或执行这些步骤对IOAs来说并不重要。例如，对于IOA来说，一个活动是从驱动器上复制的文件启动的，还是从无文件技术启动的，都无关紧要。IOA关注的是所执行的行为、它们之间的关系、它们的顺序、它们的依赖性，将它们视为揭示一系列事件背后真实意图和目的的指标。IOA不关注攻击者使用的特定工具和恶意软件。

传统主防以规则为检测手段，通过规则发现攻击威胁，难以覆盖高级威胁，例如无文件攻击、模仿攻击（Mimicry）以及跨重启跨长时间窗口的APT攻击。 IOA行为检测基于多事件复杂关联规则匹配算法，依靠IOA泛化行为规则提高已知和未知高级威胁攻击检测能力，补充复杂行为关联检测领域空白，构建行为检测防御层级，增强多层次纵深防御检测能力，帮忙用户有效抵御已知和未知高级威胁攻击。

IOA引擎不仅检测恶意事件、分析难以区分的灰色事件，还通过合法事件对攻击事件进行关联，最终构造攻击场景，实现对已知、未知攻击的精确检测。

4.2自动化溯源和影响面评估能力

XDR在多种安全事件类型上持续摄取、关联、富化端点遥测，将终端的系统事件和网络的流量数据按照关联关系连接起来，并将用户IT环境中发生的所有事件绘制成一张威胁图（Threat Graph）。

在检测到攻击后，通过在威胁图上进行自动化的溯源分析，可以定位到攻击的入口点。为避免攻击者利⽤之前的攻击⽅式再次进⼊组织内部，以及内部多个设备依然被控制的情况。因此需要根因分析，即通过影响⾯分析，全⾯掌握攻击者已经控制的主机范围（除了检测发现的主机外，有时可以连带发现10数台甚⾄更多），以保障可以全⾯根除攻击者对内⽹造成的影响；同时通过攻击链分析了解攻击者是通过何种漏洞、配置错误或者社交⼯程⽅式进⼊的，对相关的脆弱点进⾏及时的加固处理，防⽌通过同样的攻击⽅式持续不断的渗⼊到内⽹。

无论是自动化溯源和影响面评估都依赖：

丰富的遥测：跨端点、工作负载和身份捕获数万亿个安全事件，并利用威胁情报、上下文和相关标记进行丰富；

深度分析：揭示数据元素之间的上下文关系，通过应用图形分析和机器学习算法实时识别和响应新的和不寻常的威胁；

强大的搜索：强大的查询和搜索引擎为响应者提供当前和历史取证详细信息以进行威胁调查；

数据可用性：通过强大的可视化仪表板按需访问丰富的数据，帮助调查人员了解对任何受影响主机的攻击的完整背景，无论位于何处；

4.3全网威胁狩猎能力

威胁狩猎是人为驱使的行动，需要主动并反复的在组织环境内（网络、终端、应用系统等）进行分析查找被入侵的痕迹，从而缩短攻击者在组织环境内的驻留时间，最大程度的减少攻击者对组织环境造成的危害。

通过云端的多AI引擎快速分析每日海量事件，同时云端专家挖掘狩猎新式攻击，在发现攻击的蛛丝马迹（IOA）或是全新的威胁情报（IOC）时，基于XDR平台的分布式、边缘计算架构，在全网范围内对客户过去的和正在发生的事件进行回扫，发现相似的、潜在的攻击，并在云端由安全专家进行研判，保证检测的准确性。

威胁狩猎的过程：

威胁假设：

威胁猎人可以依赖于对自身资产的了解结合全网威胁情报对可能出现的高风险资产遭受的攻击进行假设。

攻击工具/技术调查取证：

利用已收集的数据结合威胁情报，使用可视化、数据统计分析等方法对数据集进行挖掘与分析，获取攻击者的已知的或未知的攻击工具和攻击技术。

发现新的模式和TTP：

狩猎的关键部分，结合威胁模型对已发现攻击者的攻击工具和攻击技术进一步挖掘，发现攻击者的TTP。

持续改进与自动化处置：

上述步骤基本上都是由威胁猎人发起并参与的，发现已知或未知威胁的过程可以通过自动化处理，并改进狩猎过程。最终将整个狩猎过程标准化、程序化，形成完整的自动化TTP情报发现机制。

诱捕与监控：

在全球范围内部署威胁诱捕系统，对攻击者/组织进行全方位的诱捕和监控。诱捕数据结合知识库通过威胁研判和分析，对已知攻击者进行实时监控，对未知攻击者进行及时发现。

4.4静态文件检测能力

SAVE引擎，是一款本地轻量的AI杀毒引擎和国内第一个基于AI的静态文件扫描引擎，且是国内唯一获得AV-test评测满分的引擎。该引擎利用深度学习技术对数亿维的原始特征进行分析和综合，结合安全专家的领域知识，最终挑选了数千维最有效的高维特征进行恶意文件的鉴定。

相比基于病毒特征库的传统检测引擎，SAVE 的主要优势有：

强大的泛化能力，甚至能够做到在不更新模型的情况下识别新出现的未知病毒；

对勒索病毒检测达到业界领先的检出率，包括影响广泛的 WannaCry、BadRabbit 等病毒；

云+端联动，依托于安全厂商安全云脑基于海量大数据的运营分析，SAVE 能够持续进化，不断更新模型并提升检测能力，从而形成本地传统引擎、人工智能检测引擎和云端查杀引擎的完美结合。

在现实世界，不同病毒变种间的底层二进制代码片段在不断变换。为了识别未知病毒威胁，SAVE不再依赖于前述传统方法依赖的字节级特征，而是使用AI技术提取稳定、可靠的高层次特征。当病毒变种间为了实现相似乃至相同的病毒功能，他们代码的高层次语义特征往往是相似的。正是基于对病毒演化本质的深入理解，SAVE 通过神经网络等多种机器学习算法自动提取高层次特征。

深度神经网络是由多层的非线性神经元构成的网络计算模型，它模拟了生物神经系统的链接方式，能够在系统中有效、快速的传递有效信息（如上图所示）。深度神经网络的强大之处在于：通过学习海量的正常文件样本和病毒文件样本，它能自动地、逐层地凝练更高层次的特征。比如说，信息在网络传递的过程中，其表征的含义从最开始输入的文件字节特征（识别一个字节），逐渐进化到语句特征(识别一个指令)，函数特征（识别一个函数）和语义特征（识别一个操作/行为，比如勒索病毒通常具有的加密操作），最后完全自动化的构建出稳定可靠的高层次病毒特征。实中，取决于网络结构和深度的不同，信息演化的路径不尽相同，但大体上是沿着这样的方式。比起只利用字节特征的传统方案形成明显优势，SAVE具有很强的泛化能力。能够更好的识别未曾见过的病毒样本，抵御抗病毒变种和新病毒家族等未知威胁。

4.5威胁情报分析能力

威胁情报系统通过内外部威胁情报采集，并将采集信息上报至云端威胁情报平台，经智能多引擎和情报分析专家鉴定，再实时网端云协同完成下发闭环。

XDR平台通过网端云遥测数据采集，提供丰富的情报上下文信息，威胁检出更准确、更全面，并基于已发生事件IOC（如hash、域名、url、ip），已发生事件TTP或攻击者信息关联挖掘新威胁，通过威胁狩猎模块能够快速验证新威胁的准确性。

结合NLP和CV等技术，实现对多源异质数据的内容分析和分级分类，高效精准定位受害主体和数据中的敏感信息，利用云端开放性及情报广度，赋能规则、算法、事件的实时更新，提升安全威胁的响应速度，和提升安全效果。

4.6 0day漏洞利用检测能力

近年来互联网加密流量的比例持续增加达到90%以上，网络流量特征检测需要依赖Online的SSL解密，旁路方式的流量解密在越来越多的场景下变得难以实行，因此基于网络特征的检测技术有效性逐步降低。

基于UserMode API hook, kernel callBack等多种高端内存安全技术，针对Windows终端(PC端/云服务器等)二进制漏洞利用全生命周期阶段(事前，事中，事后)各类常见手法进行高效、精准、广谱行为检测，完善ATT&CK中漏洞利用相关细化场景，发现已知的nDay漏洞利用行为和未知的0day漏洞利用行为，包括但不限于常见的ROP、StackPivot、HeapSpray、SEHOP、DEPBypass、UACBypass、possbile exploit detection、本地提权等。

针对在野0day hunting，采用业界先进的轻量级的pcap机器学习技术，针对漏洞利用载荷中异常指标(包括但不限于混淆加密、payload特征、常见exploit API函数、参数等)发现流量中最可疑的流量session，并基于pcap流量沙箱 capture & replay行为检测，从而可以自动化高效hunt在野0day攻击。

4.7多源异构数据分级分析能力

多源：指的是E（端点侧）+N（网络侧）+X（扩展）

异构：数据类型/字段不一致

分级：探针侧分析/XDR平台关联/云端分析

传统基于本地数据做报警分级的思路，难以掌握攻击者的意图、对专业分析的依赖较高，有一定的限制；基于情报上下文，可以对攻击者意图、危害有更直接的了解，提供自动化程度更高、更精准的分级能力。

针对异构的多元数据，采用威胁图谱（Threat Graph）统一归化，高保真安全语义模型，弹性支撑各类格式的安全数据。提取跟安全语义相关的字段，统一建模抽象包括但不限于实体节点类型的进程、文件、注册表、用户、网络端口、定时任务、WMI、COM、业务资源、蜜饵资源等，以及告警举证、创建关系、引用关系、删除关系等安全语义边结构。通过统一的ThreatGraph图模型描述语言可以弹性支撑异质多元的数据集合，包括但不限于终端侧IOA、IOA、内存扫描、文件扫描、威胁情报、流量侧告警、云原生docker、业务UEBA、零信任日志等，为后续深度关联、研判分析提供高保真的语义模型。

基于告警统计、时序、语义、情报、关联等维度上下文，结合攻击成功检测，精准判断是否中招。对告警进行自动化分类，并评估其威胁等级，降低误报对运营者的干扰。

4.8动态风险评估与主动防御能力

Gartner 将 CAASM （网络资产攻击面管理）定义为一种新兴技术，专注于使安全团队能够解决持续存在的资产可见性和漏洞挑战。通过聚合、规范化和关联资产数据，CAASM 能够：

为多个团队提供所有公司跨越 IT 和基础架构、安全性、风险等资产的综合视图；

全面了解公司攻击面；

了解安全控制覆盖范围和功效；

简化审计准备和合规报告；

了解缺乏治理和控制的影子 IT 和资产；

XDR组件CAASM通过网络侧评估风险（影子资产、性能问题、成本）、终端侧修补风险。结合资产攻击模型的弱密码、漏洞等风险评估与多层次闭环，针对客户业务层实施基于RASP和API劫持等技术实现零摩擦的弱密码审计-双因子强化等自动化方案，常见Web中间件(struts, webLogic等)漏洞实现热修复，插件式即插即用，不重启目标进程。针对系统层实施智能热补丁、虚拟补丁、实体补丁推送， 并引入Windows RPC防火墙技术有效管控90%以上的内网横向移动。

4.9自动化攻击结果研判及路径预测能力

传统的告警优化往往基于关键字段(e.g.cmdline, processName)文本相似性、发生频率统计等简单粗暴的方式消除告警疲劳，防止真正的安全威胁淹没在海量的告警中，但是因为没有考虑攻防安全语义，导致告警举证困难、因果关联性弱、易读性差。

实现了按照安全语义告警的无缝融合，结合客户网络拓扑、资产、漏洞、补丁、弱配、白业务访问关系等，引入了几百种的细粒度告警融合策略，且融合过程中层层因果举证，弹性聚合，突出真正高危攻击，便于真正的风险能够及时处置闭环，从而消除告警疲劳，大幅降低事件处置工作量，提高其处置效率，提高安全威胁决策指挥能力。

自动发现并动态更新若干张客户ThreatGraph并动态研判，包括但不限于资产拓扑图谱、攻击路径图谱(基于角色、用户、权限、资源、操作、状态等)，数据访问图谱多重投影深度关联，可以高效自动识别骨干攻击节点、因果推断、发现攻击链路、多弱信号强化，结合资产攻击模型的弱密码、漏洞等风险项自动化渗入根因分析、渗出受害影响评估，贴合客户业务视角的态势评估，攻防预警，全景无死角。

通过深入分析威胁图谱中全种类实体节点聚合、威胁告警聚合、因果推断、AI自动聚类、子图相似性比较等技术，快速自动识别图谱中若干重要节点的主机内、跨主机、跨租户数据流、执行流、时序流等关联，自动推导出高质量的IOC、IOA客户临场情报。相比传统的情报（可疑数据采集、多引擎扫描系统、沙箱动态评估系统、人工专家确认等），无论从生成流程时效性、还是客户实际关联程度均能提升N个数量级。

利用临场威胁情报自动发现，并结合客户资产拓扑和攻击图谱可以对入侵攻击路径做出精准预测。

4.10基于诱饵检测能力

通过对大量勒索软件样本进行动态行为分析，总结出其在文件遍历与加密方面的行为模式，并基于勒索软件的文件遍历模式，系统地研究了诱饵文件的设计与部署方法。勒索病毒在入侵主机会进行横向传播扩散，影响范围十分广泛，一台终端重病，全网业务瘫痪。通过在系统关键目录，放置诱饵文件，并且保证这些诱饵文件会被优先枚举到。当有勒索程序对诱饵文件进行修改或删除时，将触发驱动拦截该进程行为，并将该进程信息上报给应用层进行病毒文件查杀。

在客户环境中的关键位置放置不会影响正常业务，但会迷惑攻击者的诱饵。例如，当攻击者尝试窃取敏感信息时，会发现用户不可见的“敏感数据文件”；当攻击者尝试窃取系统账号密码时，会导出错误的账号和密码；当攻击者尝试收集网络信息时，会获得错误的IP信息。同时，XDR-agent监控着上述行为，当这些诱饵被触发后，其上下文信息将被收集起来，以判定这是一次误触、正常业务，还是攻击。错误的信息将使得攻击者花费更多地时间在错误的尝试上（例如，通过错误的账号密码登录；通过错误的IP进行横向探测），从而消耗其更多时间，给防守方更多的时间进行分析和处置。

针对性的勒索诱捕方案，主动进行勒索病毒的防御，及时阻止勒索病毒的大范围传播，全面阻止业务不可逆终端，保护主机安全。

五、实施绩效（社会效益、经济效益等）

通过构建完善的信息安全纵深防御体系，可以为嘉兴银行带来以下社会和经济效益：

1. 完善的纵深防御安全体系建设满足网络安全法、等级保护2.0以及金融行业监管单位的政策法规要求，从政策合规性层面符合银行生产系统网络安全的规范要求；
2. 完善的纵深防御安全体，能够为本单位提供有效安全防护与支撑，极大减少数据安全事件的同时也能提升企业竞争力和企业形象，为金融行业其他金融单位的安全建设提供宝贵的经验；
3. 通过完善的纵深防御安全体系，能够对安全事件作出紧急响应与闭环处置，提高企业应对突发安全事件的应对能力，避免造成更大的经济和社会利益损失；
4. XDR平台对比SOC自动化运维平台投入成本降低，同时对比传统的安全体系，能够降低运维人员的投入，方案的整体性价比得到极大的提升。