近日，由博智安全科技股份有限公司（以下简称“博智安全”）协办的江苏省第一届工控安全高层论坛上，博智安全重磅发布最新解决方案——工业网络协同联动安全解决方案（AD-XDR），成为全场焦点。 

9月27日，博智安全工业网络协同联动安全解决方案（AD-XDR）负责人王力受邀参与由国内知名数字产业第三方调研咨询机构数世咨询举办的网安三人行「把酒话网安」系列活动，某汽车安全负责人共同参与。

Q1：XDR是什么含义，是如何演变过来的，AD是什么含义，与XDR有何区别？

XDR含义：Extended Detection and Response，缩写是XDR，意思是可拓展威胁检测与响应。是一个基于SaaS化模式，将多源安全遥测数据进行聚合，把原先分散的单点安全能力以原生化方式进行有机融合，以此提升威胁检测、调查、响应与狩猎能力的系统。

AD：Active Defense  (主动防御)。AD-XDR在XDR方案基础上提供了新的防护“增量”，现有的XDR方案重点强调的是网络、终端的检测能力，我们提出的AD-XDR解决方案在此基础上利用虚实结合方式在工控网络中构建分布式工业蜜网场景，捕获未知攻击，还原攻击路径，达到对整个攻击面的全面可视，同时可以扩大虚假攻击面，降低真正资产被攻击的可能性，起到主动防御的效果，是现有运用到传统网络的XDR方案的补充，并且更符合工业场景。

Q2：其他厂商在XDR方面是关注什么方向，有什么优势？

其他厂商XDR方案主要还是运用在传统信息网络，关注点：多元化的检测能力、体系化的响应处置能力、各类环境的广泛适配、不断强化的订阅能力。相较于端点安全产品 EDR，XDR 的告警更加完整，安全调查更加高效，同时，XDR 关注的不仅仅是技术问题，还有运营需求。XDR 可大幅降低安全人员低价值的重复工作，自动将告警汇集成安全事件，使得安全人员聚焦到应对真正具备威胁的风险上。

相对其他厂商的XDR的优势：

第一：应用场景的创新，传统的XDR方案更多应用在传统网络中，工控网络对业务可靠性及实时性要求高且资产类型复杂繁多，工业企业几乎都没配备工控网络安全运维人员，企业更需要安全自动化运营，而不依赖于能力不均的运维人员。

第二：增强的安全检测能力，现有XDR方案主要采集终端、网络、边界等安全检测类产品产生的日志信息、流量数据进行分析，缺乏对未知威胁的捕获能力，或者基于一些威胁情报库，未知威胁捕获能力有限。AD-XDR方案建设有工控协议指纹库、工业威胁情报库、工控安全漏洞库、工业资产库等工业安全知识库，为未知工业威胁的分析提供明确指导。

第三：覆盖面广，可推广性强。方案类各类检测设备覆盖了主流工控协议、主流厂商设备，方案适用于任何关键基础设施行业工业场景，可推广性强。

Q3：AD-XDR解决客户的什么痛点、带来什么核心价值，应用场景？

痛点：

①全面的安全检测能力不足：工业场景设备种类数量多，且设备广泛互联，导致漏洞后门资源多，攻击路径多，对于增强检测和响应的能力的需求不断增强。

②安全威胁处置能力有限：安全防护设备种类繁多，安全策略配置、运维管理难度较大，当面对众多分散的信息时，安全人员无法快速、全面、直观地了解系统安全脆弱点、整体攻击状况以及安全防护效果；日常产生的重复、无效的告警过多，加大了运营和信息安全监测处置的难度，不能快速定位真正的运行和网络安全威胁，当前的安全手段只能在一定范围内发挥特定的作用，且企业缺乏专业的智慧运维工具，重复性工作占用现有人员大量精力，缺乏有效的数据融合和协同联动机制。

③未知威胁防御能力缺失：传统的网络安全技术，无论是防火墙、入侵检测技术，还是防病毒技术，都是基于已知安全威胁、恶意行为、病毒样本下制定安全策略、规则、特征码等，是在发生安全事件后，再对其数据进行分析直到解决，属于被动防御思想，对未知网络威胁和0-day漏洞难以做出及时响应。

核心价值：针对工业企业面临的更多APT攻击，当更多的0 day 漏洞和未知威

胁穿透当前的安全防御体系后，如何从海量工业安全数据中快速捕获未知的攻击，联动安全设备尽快地做出响应，锁定攻击范围，最大程度地减少损失，将成为最有价值的创新。

创新性：从传统网络到工控网络的安全运营模式应用创新、从单点检测到全面检测的工控威胁检测能力增强、从救火式运维到安全编排自动响应的运营效率提升

应用场景：电力、轨交、石油石化、智能制造等关键基础设施行业工业网络。

博智安全“工业网络协同联动安全解决方案（AD-XDR）”（点击链接，获取产品信息）集成工控主机卫士、工控安全审计系统、工控入侵检测系统、工控防火墙、工控安全隔离网闸、工业网络蜜罐系统等安全设备，整合形成工业企业终端侧、网络流量侧、网络边界侧安全数据资源池，为企业高级威胁检测及安全事件快速响应提供基础安全数据。同时搭建AD-XDR 统一威胁运营平台，将上述安全设备产生的日志数据、流量数据进行数据归一化处理、数据关联分析，通过工业蜜网生成的威胁情报进行赋能，有效联动各类安全设备，实现精准的威胁识别，降低告警误报率，提升安全事件处理效率，化“被动防御”为“主动运营”，实现工业企业安全可视化、自动化、智能化。