XDR在工业场景应用发展研究及政策建议

摘自：《网络安全技术和产业动态》2023年第4期，总第34期。

XDR是一种新型安全解决方案，全称为“扩展检测与响应”（Extended Detection and Response）。它通过聚合多个安全产品和数据源的信息，提供深度可视化、自动化响应和威胁分析等功能，从而有效检测和响应网络安全威胁。在工业场景中，XDR可集成多个传感器和设备，通过对跨安全系统、多源数据的聚合和关联分析，改进检测和响应能力，并实现安全系统的协同联动。因此，工业场景下XDR的应用、研究和发展备受关注。

01

技术发展情况

XDR概念最早在2018年由美国网络安全公司Palo Alto Networks提出，Gartner在2020年发布的《Top Security and Risk Management Trends》报告中重点推荐了XDR，并在后续的多个报告中介绍了XDR的技术架构、核心能力、市场趋势。

XDR是伴随着技术及产品的进步和安全应用需求提升而发展的，安全检测防护历经了从安全产品独立检测走向多个产品综合检测防护的过程。2013年出现的EDR（端点检测与响应），重点关注终端设备的威胁检测与响应。2016年开始兴起的NDR（网络检测及响应），主要关注网络环境中的威胁检测与响应。综合性的安全检测防护解决方案XDR通过融合EDR、NDR和其他安全产品功能，将针对终端、网络、云平台的安全检测和防护能力进行有机整合，从而更全面、更准确地发现和感知风险，以及更有效地应对安全威胁。

随着安全运营的发展，以及SIEM（安全信息与事件管理）、SOC（安全运营中心）和SOAR（安全编排与自动化响应）等产品的技术进步，XDR方案得到了进一步的发展，在多源安全数据融合的基础上，提升了综合威胁分析和自动化联动响应能力。因此，XDR方案要求有机整合不同安全产品的检测和响应等功能，并覆盖跨端点、跨网络、跨平台的安全场景，具备全面、高效的安全威胁管理和自动化分析、响应及处置能力。

XDR方案的技术框架可以分为前端和后端两部分。其中，前端集成EDR、NDR、防火墙等安全“感应器”，主要作用是采集更全面的安全数据；后端则以分析处置组件为主，包括威胁情报、事件分析、自动化响应等，实现综合分析、编排及响应处置等功能。

近年来，工业互联网技术发展迅速，推动了经济高速发展，提升了产业现代化水平。但同时，工业互联网也因为复杂性和连通性而带来了新的安全风险。考虑到XDR高效的威胁检测和响应处置能力，结合工业互联网的网络流量特点，应用XDR方案对工业控制系统和设备进行全方面、全流程的安全监测、检测和响应处置，构建多维度数据分析能力，能够进一步提升工业领域的网络安全防御能力和安全风险管控水平。

02

技术发展难点

为实现XDR方案在工业场景中的应用，提高工业网络威胁检测和响应的效率，需要解决XDR方案面临的工业设备日志采集难度大、环境硬件资源有限和兼容扩展性等问题。

1．工业设备日志采集难度大

在工业场景中，部分既有工控设备未充分考虑到日志输出功能，导致XDR难以完整采集运行过程日志信息。此外，目前与工控系统控制器PLC适配的终端安全软件比较少，这也会给XDR的全面日志采集带来一定的挑战。

2．工业环境硬件资源有限

通常工控设备资源有限，若XDR方案采集响应功能占用工控系统过多CPU、内存等资源，可能导致工控设备宕机，甚至引发停产事故。因此，降低XDR方案的资源需求，是确保XDR方案在工业场景开展应用的关键。

3．兼容扩展性要求高

工业系统通常由多种设备和网络组成，网络拓扑结构较为复杂，工控协议种类多样，设备类型和系统版本也差异较大。XDR方案需要具备良好的兼容性和可扩展性，才能适用常见的工业网络和满足工业系统平稳运行的要求。

03

技术产业落地情况

自XDR方案推出以来，国内外包括360、Palo Alto Networks、奇安信、深信服等各安全厂商纷纷开始布局，各自提出了不同的XDR落地方案。其中具有代表性的包括：360提出了基于“感知、分析、响应”的技术框架；Palo Alto Networks公司则基于SaaS推出了云原生的XDR技术框架。这些XDR方案目前也在金融、医药、零售各行业中进行了应用验证。

目前XDR在国内外工业场景还未有成熟应用，但随着工业互联网提高安全运营效率、增强检测和响应能力等需求的不断增强，不少企业已经开始结合工业场景探索XDR应用方案。由于工业网络一般数据流量小、协议结构简单，适于全流量的采集分析，可借鉴XDR在传统网络的应用经验，采集工业网络中的各种工控设备、工业防火墙、工业审计、工业网闸等的日志数据和流量数据，进行多维度数据关联分析及深度挖掘，有助于显著减少警报数量，并构建全场景的威胁视角，为提升工业综合威胁检测和自动化响应能力提供有力的支撑。

04

意见和建议

建议从以下三方面推动XDR方案在工业领域的发展，提升工业互联网安全水平。

1．鼓励厂商推出创新XDR方案

通过组织开展安全大赛、创新评比等活动，鼓励、引导厂商结合工业场景开展XDR技术和应用创新，并积极宣传、推广优秀的XDR方案。

2．推动产学研用联合探索XDR方案

推动国家科技支撑计划设立工业XDR课题，提供必要的经费支撑。鼓励产学研用联合，开展XDR工业场景关键技术攻关，探索实用落地技术，并进行应用示范。

3．积极开展XDR标准规范研究

积极开展XDR标准规范研究工作，包括数据格式、架构、分析展现能力和性能指标等，加快实现安全产品互通互用，加强对工业场景XDR的技术指导。

中国网络安全产业联盟（CCIA）主办，长扬科技（北京）股份有限公司供稿。

声明：本文来自CCIA网安产业联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。