eBPF技术如何赋能XDR？探索云原生安全CADR解决方案架构

想了解如何通过eBPF技术突破传统XDR的局限性，并为云原生环境提供更高效的检测与响应能力吗？从内核级控制到轻量化的可观测性解决方案，这或许是下一代云原生安全的关键。如果你对这些前沿技术的结合感兴趣，也欢迎到云栈社区与其他开发者交流探讨。

本文译自 XDR * eBPF = CADR - by Andrew Green - Green Abstracts[1]

在为 eBPF 基金会撰写 eBPF for the Infrastructure Platform[2]白皮书后（新的“eBPF 状态”报告探讨了现代基础设施团队如何基于内核级可编程性进行构建 – eBPF 基金会），我发现自己引用了我之前的一篇帖子：

使用 EDR：

➡️ 在终端用户设备或服务器上安装一个用户空间 Agent

➡️ 收集一些日志

➡️ 在 2024 年 7 月搞坏每个 IT 系统

➡️ 抱怨无法保护云工作负载

➡️ 将 20% 的 CPU 用于 EDR 传感器

那为什么不把它带到我的云环境中呢

引入 XDR

.

.

.

退出 XDR

XDR（Extended Detection and Response，扩展检测与响应）是一项低质量的举措，旨在将 EDR （Endpoint Detection and Response，终端检测与响应）扩展到端点之外。但使用与传统防病毒软件和EDR解决方案相同的用户空间Agent，XDR并不能做更多的事情。那么，真正的突破口在哪里呢？

因此，这些工具可以利用eBPF来实现轻量级且对内核更好的控制。这可以将EDR的端点优势扩展到网络、进程、应用程序、容器、API等领域。这种XDR与eBPF的组合，听起来很像 James Berthoty[3]（2025 年云运行时安全 | Latio 博客 （2025））提出的云应用检测与响应（CADR）。

你不仅拥有内核级别的控制，而且用户空间代理还会带来很高的性能开销。eBPF通过直接在内核空间中收集指标、日志和跟踪信息，而无需昂贵的系统调用，从而大幅降低了可观测性开销。它可以实现高效的内存管理策略、自定义垃圾回收触发器以及事件监控策略，从而最大限度地减少操作开销。一些基于eBPF的Agent和传感器相对于基线水平可能仅增加2%的CPU负载，并且几乎没有内存增长。

在他的《2025年运行时云安全》（2025 年云运行时安全 | Latio 博客 （2025））报告中，最完整的CADR（Cloud Application Detection and Response，云应用检测与响应）解决方案都大量依赖于eBPF。例如：

Spyderbat[4]

Oligo Security[5]

ARMO[6]

RAD Security[7]

Datadog[8]

Raven.io[9]

Sweet Security[10]

Upwind Security[11]

Miggo Security[12]

Skyhawk Security[13]

虽然eBPF并不是定义CADR是什么或它能做什么的唯一技术，但它提供的内核级别控制和可见性，确实是XDR厂商试图完全在用户空间中实现却缺失的一部分。

正如我之前文章的评论所指出的[14]，eBPF具有显著的优势，但和其他网络安全技术一样，它也有自身的局限性——在运行时检测的情况下，它只能监控其支持的系统调用。

引用链接

[1] XDR eBPF = CADR - by Andrew Green - Green Abstracts: https://greenabstracts.substack.com/p/xdr-ebpf-cadr*

[2] eBPF for the Infrastructure Platform: https://www.linuxfoundation.org/hubfs/eBPF/The_State_of_eBPF25_111925.pdf

[3] James Berthoty: https://www.linkedin.com/in/james-berthoty/

[4] Spyderbat: https://www.linkedin.com/company/spyderbat/

[5] Oligo Security: https://www.linkedin.com/company/oligo-security/

[6] ARMO: https://www.linkedin.com/company/armosec/

[7] RAD Security: https://www.linkedin.com/company/radsecurity/

[8] Datadog: https://www.linkedin.com/company/datadog/

[9] Raven.io: https://www.linkedin.com/company/raven-cloud/

[10] Sweet Security: https://www.linkedin.com/company/sweet-security/

[11] Upwind Security: https://www.linkedin.com/company/upwindsecurity/

[12] Miggo Security: https://www.linkedin.com/company/miggo-security/

[13] Skyhawk Security: https://www.linkedin.com/company/skyhawkcloudsecurity/

[14] 正如我之前文章的评论所指出的: https://www.armosec.io/blog/io_uring-rootkit-bypasses-linux-security/