随着云计算、物联网、大数据和人工智能等新技术引领的新一代数字化革命，将IT资产不断向数字化迁移，资产暴露面的增加为攻击者提供了更多的攻击方式，安全的边界变得越发模糊，资产的快速变化，业务访问关系的复杂化让安全管理人员难以及时管控系统风险。攻击者突破边界后，往往可以利用合法用户身份渗透至其它业务系统，窃取核心数据，给组织带来无法挽回的损失。在这样的背景下，组织通常存在以下主要问题：

资产模糊，存在未知风险暴露面
当前，较多组织对内网资产的管理存在资产模糊、监控不到位等情况，对于资产运行现状、是否存在漏洞、是否被攻陷等监测不到位，往往要到出现安全风险事件后才去逐个排查被攻陷资产，导致组织内存在大量潜在风险暴露面，业务安全无法得到保障。

海量事件，真实威胁隐藏在海量的误报中，难以分析
组织内各类安全设备每天会发出大量告警、日志等信息，传统安全运维人员依赖各类设备的单体告警信息作为处置依据，注重设备本身对于流量的分析判断，缺乏对流量全流程视角的分析处理，容易造成大量误判及漏判，难以发现如APT攻击类的高级攻击手段。且随着安全设备的持续堆加，各类告警信息数量激增，单纯依靠运维人员手工处理的方法难以为继。

安全设备相对独立，对威胁事件的追踪依靠人工跟踪处理，效率不高
安全体系建设往往不会一蹴而就，大量组织都是随着资金、能力等方面的提升不断增加安全防护建设投入，导致组织内安全建设不够体系化，设备之间相互独立，难以形成联动配合。对于威胁事件的预防、处置，往往依赖于组织内有经验的运维人员人工处置，对人员要求较高，且存在误判、错判、应急响应效率低下等情况。当威胁发生后，也缺乏证据收集和溯源能力，难以为综合研判提供有效信息。

安全策略分散，效果不佳，安全管理压力大
由于各类安全设备相对独立，策略配置也相互独立，安全运维人员的策略配置和维护工作量巨大，在网络有改动需要调整策略配置或有威胁事件发生需要排查策略正确性时，需要安全运维人员花费大量时间进行分析，效率低下且存在配置错误风险。
基于以上提到的客户可能遇到的问题，山石网科从用户日常安全运营面临的实际情况出发，提供了针对性的XDR安全运营解决方案。