你一定聽過(guò)安全廠商類似這樣的宣傳——

“我們的產(chǎn)品能夠?qū)崿F(xiàn)聯(lián)動(dòng)防御”

聯(lián)動(dòng)的好處，那真是一大堆↓

通過(guò)聯(lián)動(dòng)，從單點(diǎn)作戰(zhàn)到協(xié)同防御，縮短MTTR、提升安全運(yùn)營(yíng)效率、減少人為依賴，balalalala…

是不是很美好？我信你個(gè)鬼！

“聯(lián)動(dòng)”這個(gè)概念，流行了小二十年。

幾乎每個(gè)產(chǎn)品上規(guī)模的廠商都在談聯(lián)動(dòng)，每個(gè)業(yè)務(wù)上規(guī)模的甲方都想要聯(lián)動(dòng)。

但它，卻是安全圈最大謊言！

大部分客戶，用了之后才發(fā)現(xiàn)，聯(lián)動(dòng)的真相是這樣的↓

“不敢聯(lián)”
顧名思義，不敢隨隨便便聯(lián)動(dòng)，安全策略牽一發(fā)動(dòng)全身，萬(wàn)一誤報(bào)了、動(dòng)錯(cuò)了，還不如不動(dòng)，是為「不敢聯(lián)」。

安全運(yùn)維的現(xiàn)實(shí)是——海量告警鋪天蓋地，資深老司機(jī)都看不過(guò)來(lái)、判斷不準(zhǔn)。

真正的威脅被淹沒(méi)，運(yùn)營(yíng)團(tuán)隊(duì)被拖進(jìn)無(wú)休止的告警篩查，自然不敢輕易按下“聯(lián)動(dòng)”鍵。

哪個(gè)才是真威脅？哪個(gè)才應(yīng)該觸發(fā)聯(lián)動(dòng)？

單個(gè)設(shè)備策略都不敢隨便改，更不可能讓一整條鏈路跟著“自動(dòng)響應(yīng)”。

誤報(bào)一個(gè)點(diǎn)，聯(lián)動(dòng)一大片，下次你還敢？

“不能聯(lián)”
即便告警有效、檢測(cè)精準(zhǔn)，但在大甲方異構(gòu)安全場(chǎng)景下，不同廠商的安全產(chǎn)品各自為戰(zhàn)、防御碎片化，不具備全域、細(xì)粒度的聯(lián)動(dòng)能力，是為「不能聯(lián)」。

聯(lián)動(dòng)，需要的是上下游所有參與方：你懂我的悄悄話，我懂你的小眼神，擰成一股繩、勁往一處使。

然而，大甲方經(jīng)過(guò)多輪安全建設(shè)，早已形成了復(fù)雜的異構(gòu)產(chǎn)品格局，不同廠商的安全產(chǎn)品一起干活是這樣的↓

單打個(gè)個(gè)牛B，團(tuán)戰(zhàn)你東我西，“悄悄話”雞同鴨講（事件輸出接口不統(tǒng)一），“小眼神”貌合神離（動(dòng)作控制接口玩封閉），情報(bào)傳不暢、資產(chǎn)拉不通…

即便單一廠商組網(wǎng)，大家口音相同、步調(diào)一致。

但終端、云、網(wǎng)絡(luò)、應(yīng)用等防御手段分散孤立，匆忙走上管理崗位的“中樞平臺(tái)”們（傳統(tǒng)SoC/SIEM/SOAR/XDR/態(tài)感等），很難把隊(duì)伍帶好，無(wú)法構(gòu)建起跨場(chǎng)景協(xié)同響應(yīng)體系。

“聯(lián)不起”
即便在理想場(chǎng)景下，敢聯(lián)動(dòng)、能聯(lián)動(dòng)，卻因?yàn)閳?chǎng)景變化、威脅升級(jí)，聯(lián)動(dòng)再次失效，這種道高一尺、魔高一丈的情況，讓甲方乙方都無(wú)力持續(xù)投入，是為「聯(lián)不起」。

很多時(shí)候，有些聯(lián)動(dòng)真的成功落地了，卻太局限于特定場(chǎng)景、特定攻擊。

威脅一變形、場(chǎng)景一切換，聯(lián)動(dòng)機(jī)制立馬失效。

依賴傳統(tǒng)黑白名單聯(lián)動(dòng)的能力非常有限，既無(wú)法做到細(xì)粒度風(fēng)險(xiǎn)處置，也不具備與時(shí)俱進(jìn)的自適應(yīng)和自學(xué)習(xí)能力。

而黑客的攻擊不斷升級(jí)，安全乙方和企業(yè)需要配備專業(yè)的安全運(yùn)營(yíng)團(tuán)隊(duì)、持續(xù)能力補(bǔ)齊，才能跟得上節(jié)奏。

勉強(qiáng)聯(lián)動(dòng)，也撐不久、跟不起。

就這樣，“聯(lián)動(dòng)”概念炒了小二十年，卻成了安全圈最大的謊言。

人人宣傳說(shuō)聯(lián)動(dòng)，人人實(shí)戰(zhàn)聯(lián)不動(dòng)。

不過(guò)這兩年，AI大模型迅猛發(fā)展，我們似乎看到了一些消滅謊言的機(jī)會(huì)。

大模型讓聯(lián)動(dòng)的基礎(chǔ)條件，發(fā)生了巨大變化↓

01、從碎片化到協(xié)同化

AI大模型的語(yǔ)義理解和推理能力，讓安全系統(tǒng)真正有機(jī)會(huì)跨越設(shè)備、平臺(tái)和廠商邊界，統(tǒng)一理解威脅意圖和行為模式。

自此，聯(lián)動(dòng)有了基本盤。

02、從規(guī)則驅(qū)動(dòng)到智能決策

傳統(tǒng)聯(lián)動(dòng)依賴黑白名單和規(guī)則驅(qū)動(dòng)，粒度粗且不具備自適應(yīng)、動(dòng)態(tài)響應(yīng)的能力。

深度思考模型的出現(xiàn)，讓聯(lián)動(dòng)系統(tǒng)擁有了像安全老司機(jī)一般會(huì)思考、智能決策的大腦，從按拳譜一招一式（靠規(guī)則驅(qū)動(dòng)）到無(wú)招勝有招（靠智能決策）。

03、從數(shù)據(jù)孤島到全域關(guān)聯(lián)

大模型模型在多模態(tài)數(shù)據(jù)理解上的突破，使日志、流量、行為、身份等不同維度的安全數(shù)據(jù)能夠被統(tǒng)一建模與推理。

這種全域關(guān)聯(lián)為復(fù)雜威脅檢測(cè)和多點(diǎn)聯(lián)動(dòng)提供了數(shù)據(jù)基礎(chǔ)。

04、從人工分析到自動(dòng)協(xié)同

大模型和Agent可以部分替代人工分析與處置，將海量告警降噪、威脅識(shí)別、事件溯源、策略處置自動(dòng)串聯(lián)。

實(shí)現(xiàn)安全運(yùn)營(yíng)的自動(dòng)化+閉環(huán)化，為聯(lián)動(dòng)提供執(zhí)行引擎。

05、從被動(dòng)填鴨到持續(xù)疊Buff

AI大模型的持續(xù)學(xué)習(xí)能力，讓防御體系能夠不斷吸收新的攻擊樣本、自動(dòng)優(yōu)化決策模型，形成越用越準(zhǔn)的動(dòng)態(tài)疊Buff的機(jī)制。

這種自我成長(zhǎng)的能力，擺脫了過(guò)去靠人海戰(zhàn)術(shù)、靠無(wú)限疊配置去“填坑”的被動(dòng)模式，你魔高一尺，我模高一丈。

理論如此，事實(shí)也正是如此↓

目前AI加持的業(yè)界新一代聯(lián)動(dòng)方案，紛紛在實(shí)戰(zhàn)中表現(xiàn)出不俗戰(zhàn)績(jī)，逐步告別不敢聯(lián)、不能聯(lián)和聯(lián)不起。

接下來(lái)，我們就以亞信安全AI XDR為例，詳細(xì)講講一套真正可落地的聯(lián)動(dòng)防御系統(tǒng)，究竟是怎么玩的——

早在2018年，亞信安全就發(fā)布了國(guó)內(nèi)首個(gè)XDR產(chǎn)品。

此后，又經(jīng)過(guò)7年持續(xù)打磨，再輔以AI大模型淬煉，終于在2025年，進(jìn)化出國(guó)內(nèi)首個(gè)AI XDR聯(lián)動(dòng)防御系統(tǒng)。

亞信安全AI XDR不僅是一個(gè)產(chǎn)品，更是一套體系。

它以XDR平臺(tái)為核心，整合了亞信安全云網(wǎng)邊端全棧安全產(chǎn)品，這些產(chǎn)品，既是聯(lián)動(dòng)的執(zhí)行組件，也是探針。

同時(shí)，內(nèi)置了安全大模型負(fù)責(zé)智能決策，輔以安全智能體聯(lián)合行動(dòng)。

我們來(lái)看一個(gè)典型的實(shí)戰(zhàn)場(chǎng)景，當(dāng)萬(wàn)惡的勒索攻擊來(lái)襲，AI XDR是如何進(jìn)行聯(lián)動(dòng)防御的↓

無(wú)論終端側(cè)、主機(jī)側(cè)還是網(wǎng)絡(luò)側(cè)，發(fā)現(xiàn)異常行為，都會(huì)被上報(bào)到平臺(tái)，由“大腦”進(jìn)行智能決策，并觸發(fā)聯(lián)動(dòng)，完成閉環(huán)處置。

為什么亞信安全的AI XDR能做到“真聯(lián)動(dòng)”呢？

第一，AI賦能的體系化協(xié)同防御框架，云網(wǎng)邊端一體。

亞信安全TrustOne、DeepSecurity、TDA、AE、DDEI、NGFW等產(chǎn)品，在客戶生產(chǎn)環(huán)境擁有龐大的部署量，這些產(chǎn)品成熟能打，原本就具備極強(qiáng)的單兵作戰(zhàn)能力。

現(xiàn)在，亞信將AI能力嵌入整個(gè)安全鏈路，組成云網(wǎng)邊端四位一體協(xié)同防御框架。

尤其像TrustOne、DeepSecurity兩大端側(cè)明星產(chǎn)品，駐守在安全防護(hù)的最后一道關(guān)口，作為探針可以更精細(xì)化采集，作為聯(lián)動(dòng)組件可以更細(xì)粒度處置。

嵌入AI能力后，對(duì)終端進(jìn)程、橫移訪問(wèn)等異常行為的分析更加智能、精準(zhǔn)。

第二，內(nèi)置安全大模型，全域數(shù)據(jù)整合和分析，驅(qū)動(dòng)智能威脅研判。

在AI XDR的背后，亞信安全自研「信立方安全大模型」成為強(qiáng)大后盾。

可對(duì)多源安全數(shù)據(jù)（日志、流量、告警、資產(chǎn)、情報(bào)等）進(jìn)行語(yǔ)義解析與威脅推理，并提供全生命周期的資產(chǎn)管理。

第三，提供多種建模方式+云端情報(bào)，構(gòu)建安全基線和威脅感知引擎。

精準(zhǔn)檢測(cè)是敢聯(lián)動(dòng)的前提，復(fù)雜威脅怎么破？

AI XDR通過(guò)對(duì)終端、流量、ATT&CK技戰(zhàn)術(shù)熱點(diǎn)、特定攻擊威脅場(chǎng)景進(jìn)行持續(xù)建模，識(shí)別異常進(jìn)程、橫移、加密行為等隱蔽攻擊，有效提升復(fù)雜威脅檢測(cè)能力。

第四，自動(dòng)化聯(lián)動(dòng)與閉環(huán)處置

AI XDR可基于告警事件研判結(jié)果，智能聯(lián)動(dòng)相關(guān)安全設(shè)備，精準(zhǔn)匹配最優(yōu)處置策略，自動(dòng)執(zhí)行威脅阻斷操作，實(shí)現(xiàn)安全事件全流程準(zhǔn)無(wú)人值守閉環(huán)處置。

在具體處置上，亞信安全的云網(wǎng)邊端四位一體優(yōu)勢(shì)再次發(fā)揮出來(lái)↓

處置動(dòng)作更豐富更細(xì)致，不僅支持傳統(tǒng)邊界側(cè)IP及域名的處置，還支持端側(cè)更細(xì)粒度如終端、IP、域名、進(jìn)程、文件、啟動(dòng)項(xiàng)、服務(wù)項(xiàng)等的隔、阻、刪、停。

處置范圍更靈活，全網(wǎng)、某個(gè)子網(wǎng)、某批主機(jī)、指定單機(jī)…

接下來(lái)，AI XDR可以再派出智能體偵探，進(jìn)行AI事件調(diào)查追溯、威脅狩獵，查找罪魁禍?zhǔn)祝纬赏暾]環(huán)。

第五，AI降噪與智能運(yùn)營(yíng)，進(jìn)一步降低企業(yè)防護(hù)成本。

AI XDR調(diào)用信立方大模型的能力，實(shí)現(xiàn)自動(dòng)過(guò)濾誤報(bào)、聚合告警，告警數(shù)量可壓縮至原有的3%，顯著降低噪音。

同時(shí)支持自然語(yǔ)言問(wèn)答、自動(dòng)報(bào)表與智能告警解讀，把安全運(yùn)營(yíng)從人工值守逐步轉(zhuǎn)變?yōu)橹悄芡泄埽夥虐踩ｑR，提升運(yùn)營(yíng)效率。

目前，亞信安全AI XDR已經(jīng)在政府、金融、企業(yè)、醫(yī)療、教育等大量客戶場(chǎng)景落地，具體聯(lián)動(dòng)實(shí)戰(zhàn)效果怎么樣呢？

依托AI智能處置響應(yīng)，安全事件處置效率平均提升4.8倍，借助AI威脅感知引擎、AI安全基線引擎，威脅檢出能力平均提升7.5倍…

「不敢聯(lián)、不能聯(lián)、聯(lián)不起」的時(shí)代，終于要漸行漸遠(yuǎn)了。

你還不趕緊“動(dòng)起來(lái)”