在人類誕生之初，全世界原本只有一種語言，這種無障礙的溝通和聯結讓人類擁有了強大的團結力量。為了避免族群散落世界各地，并有朝一日能夠通往天堂，人類決定建造一座巨大的城池以及一座能夠通天的巨塔。

然而，神明們并不愿意讓這一切發生，他們試圖阻止人類。于是“耶和華”降臨人間，將原本統一的語言變得無序、混亂。如此一來，人類便無法團結互助，也就不再通力協作建造城池和巨塔，并最終散落到世界各地。

據說在希伯來語中，無序、混亂譯為“巴別”，這便是《舊約圣經》和《創世紀》中“巴別塔”的故事。

我們拋開巴別塔后世的爭議不談，只聊聊其建造失敗的原因——語言混亂導致溝通無效，難以協作最終破裂分散。事實上，縱觀整個人類的歷史，溝通和團結一定是推動人類社會進步發展的重要因素所以，打破語言之間的隔閡，促成不同形態時間的溝通和合作，是積極且必要的，對于任何事情而言都是如此。

01 安全運營的“巴別塔之殤”

有人說“巴別塔”隱喻烏托邦工程。在我看來，人類對烏托邦的向往其實并沒有錯，從某種角度來說，這只不過表達了一種希望“付出能夠得到回報”的訴求。當然，這個過程中可能會誕生一些難以實現的想法，比如“努力就必須要成功”“做了就必須要有效果”“用一種辦法解決所有問題、一勞永逸”之類，而且這些想法在安全運營工作中特別常見。

作為企業的經營者，幾乎都認為有了安全部門就不應該在存在安全問題，希望通過安全的投資，來杜絕所有安全事件的發生；對于安全管理者來說，同樣也希望安全建設能夠得到回報，或是用某些解決方案就可以一勞永逸地幫助企業解決安全問題，避免安全事件的發生。然而同樣的，很多時候都只能事與愿違。

我不認為這些想法有什么不對，這只不過是一種非常合理的訴求。但問題出在哪？為什么難以實現？我想就和巴別塔的失敗是一樣的——語言的混亂。

許多企業的網絡安全能力由大量的安全產品堆疊而成，不同的產品負責不同的職能，對應不同的攻擊面，各自為戰；不同的產品可能來自于不同的安全廠商，產生的數據有自己的語言，彼此之間無法溝通，難以形成聯動。

面對這些混亂的語言，企業并不具備“翻譯”能力，這樣一來，不僅使得安全運營變得異常復雜，同時割裂了相互的可見性，最終限制了企業整體應對威脅的能力，讓原本期望通過多個產品累加安全能力的初衷，變成了1+1＜2。

如果說語言的混亂導致了巴別塔的失敗，那么安全產品之間的“語言孤島”就成為了安全運營的“巴別塔之殤”。

但安全運營面臨的問題遠不止于此。在內部威脅方面，據安在新媒體發布的《2022中國網絡安全產品用戶調查報告》和《2023企業網絡安全CSO發展調查報告》顯示，安全團隊人員較少、人才緊缺，對于安全運營的維持極度缺乏專業人員。而在外部威脅方面，網絡空間安全形勢越發嚴峻，APT 組織日益猖獗，高級網絡攻擊已經被廣泛投入使用，現有的“散兵游勇”式安全運營，顯然無法應對來自高級威脅的挑戰。

上述種種問題都導致了企業當前安全能力建設和威脅之間巨大的不對稱，嚴重缺乏對于威脅的智能感知、檢測、響應與處置的能力。同時，企業安全運營也希望可以將現有割裂的安全產品實現整合。

02 安全運營需要“看見威脅”

正如前文所說，企業安全運營及能力受制于產品孤島、人員緊缺、效率低下、自動化水平不足等問題，從而導致應對威脅的能力嚴重不足。而這些問題從本質而言就是“看見”能力的缺失——運營效果不清晰，安全能力不直觀，威脅識別不準確。

所以安全運營需要“看見威脅”的能力，改變這一現狀，就必須要從上述的問題入手：

首先，打破產品孤島，強化產品之間的聯動，降低安全運營的對接成本和使用成本；其次，提高安全運營的自動化、智能化水平，減輕人員的壓力和成本；最后，要形成統一的解決方案，以一種平臺化的方式改善安全運營的不足，最終增強應對威脅的能力。

談到這里，我們就不得不引出XDR（Extended Detection and Response，擴展檢測響應）。XDR的核心是攻擊鏈檢測，“X”代表著以終端為起點的安全視野持續擴展。XDR將特定供應商的多類安全產品，原生地集成到一個統一的安全運行系統中，共享安全大數據，提供一體化威脅檢測、告警管理和事件研判響應處置能力。

XDR最廣為人知的幾個優勢主要就是：1、打破孤島、串聯產品，提高威脅應對能力；2、提高運營效率，減輕人員壓力；3、結合終端安全、數據湖、自動化編排及安全分析技術，形成面向多種甚至未知安全場景的綜合性安全解決方案。這些優勢實際上就一一對應了上述安全運營所存在的問題，并為其提供了解法。

簡而言之，XDR的核心價值就是解決安全產品孤島問題，將其進行整合并把各類安全數據匯集起來，打造智能化、自動化的安全運營平臺，提升應對威脅的能力。

那么XDR當前發展到了什么階段？什么樣的XDR能夠真正符合上述所描述的這些特點？

03 Gartner：新一代XDR——面向未來的數字安全防御架構

近日，國際權威研究機構Gartner聯合360發布《新一代XDR——面向未來的數字安全防御架構》白皮書。

白皮書指出，XDR作為新興威脅檢測與響應架構，以“打破安全數據孤島，實現有效的檢測與響應”的理念為驅動力，解決數字時代新威脅格局下“看見”威脅的難題，形成面向多種甚至未知安全場景的綜合性安全解決方案。

也就是說，XDR已經發展成為了企業在安全運營以及威脅檢測和響應等方面較為成熟和有效的模式方法。

但安全問題是在變化的，威脅也是在不斷升級的，所以在白皮書中，360也給出了自己對于新時代安全運營、威脅檢測響應以及XDR的理解：打造新一代XDR數字安全防御架構，針對不同體量客戶提供一站式開箱即用解決方案，全面提升安全運營效率。

白皮書認為，一個優秀的 XDR 方案，是終端安全技術、大數據處理技術、大數據分析技術、AI人工智能技術、智能安全評估 BAS 技術、APT 基因庫和攻防知識百科、安全運營和對抗專家服務有機整合發展到高峰的自然成果。

而這恰好是360的核心優勢所在，并且已經足足積累了十七年。

首先，360新一代XDR具備獲取高質量數據的能力。通過高質量事件的捕獲、全維度數據采集，可以有效對抗APT繞過攻擊，賦予企業“看見威脅”的能力，有效提升對于威脅的檢測和響應。

其次，在應對威脅時，360通過自身十余年攻防對抗所積累的APT基因庫和攻防知識百科作為指導，關聯分析多維神經元數據，使得新一代XDR能夠精準識別攻擊行為并聚合為安全事件，將告警量降低2-3個數據級。從而減輕安全團隊符合，降低安全運營成本，并進一步提升威脅的檢測率和檢測效果。

不僅如此，通過預置超過2000個安全規則，360新一代XDR能夠自動提取信息，并進行檢測、評估和溯源，同時還能有效識別用戶異常操作、高級未知威脅并自動響應應對，提升了安全運營和威脅處置的自動化、智能化水平。

而在解決安全產品孤島問題，整合多個安全產品之后，360新一代XDR將安全數據匯聚到一套集中的大數據平臺之中，并在此基礎上搭建了一個智能化、自動化的安全運營平臺。最終真正幫助企業改善安全運營的現狀，提供自動化的威脅檢測與響應能力，進而為廣大用戶持續提升“看見”威脅的能力和對抗效率，應對數字時代安全運營挑戰，讓安全運營真正落地。

事實上，360新一代XDR已經在其自身內部安全運營系統下進行了應用并取得了非常好的效果，同時在某些用戶場景下也成功落地并收獲了不錯的口碑。但是，除了具體的技術能力、產品形態，從用戶視角出發，我們還需要關注幾個重要的問題。

04 “不打擾”客戶的新一代XDR

雖然“降本增效”本就是XDR的核心優勢之一，但作為一個需要打通企業現有安全產品，接入安全架構，并最終以平臺化方式為企業提供服務的解決方案，不可避免地需要用戶考慮XDR的成本問題。

同時，XDR可能會導致用戶對單一的安全廠商過度依賴，如果廠商的XDR已經集成了比較全面的安全組件和能力，或是只提供自己的產品，那么用戶就無法自由選擇某個品類中最好的廠商，甚至犧牲部分組件的能力。所以用戶還需要考慮XDR與自身安全架構的適配性，是否會帶來一定的負面影響。

實際上白皮書中已經對這幾個問題進行了回答。在部署方面，360新一代XDR采用的是“小時級”的部署方式，配置僅需同類平臺的1/6，能夠有效幫助用戶降低安裝和維護成本；同時提供500+開箱即用規則，配合云端安全專家服務，避免運營門檻，降低學習使用成本；此外，360新一代XDR還落地了MDR安全托管服務，自動化覆蓋安全運營的全周期，進一步降低運營成本，提升效率。

用戶在具備“運營商”級別數據處理能力的同時，也不會在成本上承受過多的負擔。

而基于數字安全大腦統一標準API開發聯動接口，360新一代XDR可以針對不同安全場景進行模塊化的靈活組合，實現與各個廠商、各種型號的安全設備的協同聯動，共同防御。通過數字安全大腦，可以助力網絡安全產品的信息共享、大數據集中分析研判、高級威脅情報賦能、網絡安全產品體系化聯動、安全策略協同等全方面提升。

最終在不打擾用戶現有安全體系的前提下，實現與各個產品之間的完美整合聯通，并形成自動化運營平臺，達到威脅檢測與響應能力的提升。

360數字安全集團副總裁余凱在接受媒體采訪時表示，從技術視角來看，所有的企業都需要以XDR為架構的整合型安全平臺（Consolidated Security Platform）。對于中小企業來說，一體化的XDR方案、SaaS化的XDR產品都可以滿足其安全需求，開箱即用，符合高性價比、一體化的目標。對于大型企業，由于安全運營更加規模化、自動化、整合化，更強調安全運營中心的建設，XDR則有機會發揮更大的價值。

總的來說，無論企業規模大小，領域劃分，360新一代XDR所具備的簡單易用、降本增效等特點，并搭配安全服務體系，日常安全合規、告警處置，重大事件專家快速響應等能力，可以真正從用戶視角出發，在規避各種部署問題的前提下，全面提升安全運營效率。

事實上，360新一代XDR的價值不僅僅體現在用戶層面，在社會、國家的安全層面，360XDR也起到了舉足輕重的作用。

基于XDR架構向城市企業提供基于“看見”為核心的一站式城市安全運營平臺，通過幫助城市、政府、企業客戶打造的集態勢感知、指揮控制、通報預警、信息共享、應急響應為一體的安全運營體系，構建“摸清家底、感知風險、看見威脅、處置攻擊、提升能力”5大安全能力，形成面向數字安全復雜威脅的完整應對能力。目前，這套體系已落地重慶、天津、青島、蘇州、上海等地。

05 寫在最后

360創始人周鴻祎常說“沒有攻不破的網絡”，這和國外的主流共識“假定失陷”（Assume breach）觀點是一致的。這意味著安全運營最本質的問題和挑戰，就是如何去做積極的防御。

隨著數字中國戰略的實施落地，數據中心基礎設施及業務系統的復雜程度不斷升高，安全設備異構化、安全日志多源化、安全數據海量化、攻擊團伙高智化等問題，都將成為企業安全運營面臨的主要挑戰，這也就要求了企業要進一步提升應對威脅的檢測與響應能力。

如何實現這一目標，我想答案并不難找，至少從技術發展的現狀來看，XDR憑借其出眾的特質依然會是用戶的首要選擇。仔細想想，為什么安全運營會遇到問題，為什么XDR能夠很好地解決這些問題，或許就是因為它消除了“語言”之間的隔閡吧。

如果巴別塔真的通向了天上，可能人類發現那里并不是天堂，但至少通力協作實現目標的過程并不太差。就像XDR和安全運營一樣，也許它無法成為安全最終的“烏托邦”，但至少當下提出的每一個問題，XDR都可以給出回答。

詳情請關注安在新媒體，一家信息安全領域媒體，以“做有內涵的泛黑客媒體”為方向，線上通過自媒體，采訪網絡安全領域人物梳理行業脈絡，通過介紹他們的經歷、感悟、對行業的看法等來剖析網絡安全發展的脈絡；致力于建立完整的信息發布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

官網：http://anzerclub.com/

市場部聯系（廠商）：徐倩（微信：Madeline_Sue）

市場部聯系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）