基于原生安全数据体系构建的扩展检测响应平台

【摘要】网络安全事件层出不穷，网络安全问题呈现出多元化的发展趋势，传统的安全解决方案发展过于缓慢，目前主流的应对方案依然是基于大量安全产品的简单组合，存在较多的不足。本文非常详细的介绍了银行XDR（扩展检测响应平台）的构建：通过原生的流量采集工具与端点采集工具将关键数据聚合在XDR平台，通过云端专家服务提供威胁分析研判及狩猎能力，提供本地化分布式部署或者SAAS化交付方式实现在线化效果，为用户带来深度检测、精准响应、持续生长的价值。

一、背景概述

1.1 背景

网络安全是一个事关国家安全的重大战略性问题，“没有网络安全就没有国家安全”、“安全是发展的保障，发展是安全的目的”、“加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”，为网络安全工作指明了方向。关键信息基础设施“不出问题则已，一出就可能导致交通中断、金融紊乱、电力瘫痪等问题，具有很大的破坏性和杀伤力”。

从外部威胁和事件影响角度来看，随着攻防新技术的发展和应用、APT与未知威胁的增多、0day漏洞频繁爆发、护网行动等造成网络安全威胁和风险日益突出，引起的网络安全事件的影响力和破坏性正在加大，并向政治、经济、文化、社会、国防等多领域传导渗透，对网络空间安全建设提出了更高的挑战与要求。

1.2 新的形势

互联网技术的飞速发展使得互联网承载的价值越来越多、网络的规模和复杂度越来越大，因此，黑客有了越来越多的动机和手段来窃取企业的机密信息和资源，甚至是对企业资产造成破坏。

1）外部威胁不断变化，网络空间对抗态势进一步加剧