你一定听过安全厂商类似这样的宣传——
“我们的产品能够实现联动防御”
联动的好处,那真是一大堆↓
通过联动,从单点作战到协同防御,缩短MTTR、提升安全运营效率、减少人为依赖,balalalala…
是不是很美好?我信你个鬼!
“联动”这个概念,流行了小二十年。
几乎每个产品上规模的厂商都在谈联动,每个业务上规模的甲方都想要联动。
但它,却是安全圈最大谎言!
大部分客户,用了之后才发现,联动的真相是这样的↓
“不敢联”
顾名思义,不敢随随便便联动,安全策略牵一发动全身,万一误报了、动错了,还不如不动,是为「不敢联」。
安全运维的现实是——海量告警铺天盖地,资深老司机都看不过来、判断不准。
真正的威胁被淹没,运营团队被拖进无休止的告警筛查,自然不敢轻易按下“联动”键。
哪个才是真威胁?哪个才应该触发联动?
单个设备策略都不敢随便改,更不可能让一整条链路跟着“自动响应”。
误报一个点,联动一大片,下次你还敢?
“不能联”
即便告警有效、检测精准,但在大甲方异构安全场景下,不同厂商的安全产品各自为战、防御碎片化,不具备全域、细粒度的联动能力,是为「不能联」。
联动,需要的是上下游所有参与方:你懂我的悄悄话,我懂你的小眼神,拧成一股绳、劲往一处使。
然而,大甲方经过多轮安全建设,早已形成了复杂的异构产品格局,不同厂商的安全产品一起干活是这样的↓
单打个个牛B,团战你东我西,“悄悄话”鸡同鸭讲(事件输出接口不统一),“小眼神”貌合神离(动作控制接口玩封闭),情报传不畅、资产拉不通…
即便单一厂商组网,大家口音相同、步调一致。
但终端、云、网络、应用等防御手段分散孤立,匆忙走上管理岗位的“中枢平台”们(传统SoC/SIEM/SOAR/XDR/态感等),很难把队伍带好,无法构建起跨场景协同响应体系。
“联不起”
即便在理想场景下,敢联动、能联动,却因为场景变化、威胁升级,联动再次失效,这种道高一尺、魔高一丈的情况,让甲方乙方都无力持续投入,是为「联不起」。
而黑客的攻击不断升级,安全乙方和企业需要配备专业的安全运营团队、持续能力补齐,才能跟得上节奏。
勉强联动,也撑不久、跟不起。
……
就这样,“联动”概念炒了小二十年,却成了安全圈最大的谎言。
人人宣传说联动,人人实战联不动。
不过这两年,AI大模型迅猛发展,我们似乎看到了一些消灭谎言的机会。
大模型让联动的基础条件,发生了巨大变化↓
AI大模型的语义理解和推理能力,让安全系统真正有机会跨越设备、平台和厂商边界,统一理解威胁意图和行为模式。
自此,联动有了基本盘。
传统联动依赖黑白名单和规则驱动,粒度粗且不具备自适应、动态响应的能力。
深度思考模型的出现,让联动系统拥有了像安全老司机一般会思考、智能决策的大脑,从按拳谱一招一式(靠规则驱动)到无招胜有招(靠智能决策)。
大模型模型在多模态数据理解上的突破,使日志、流量、行为、身份等不同维度的安全数据能够被统一建模与推理。
这种全域关联为复杂威胁检测和多点联动提供了数据基础。
大模型和Agent可以部分替代人工分析与处置,将海量告警降噪、威胁识别、事件溯源、策略处置自动串联。
实现安全运营的自动化+闭环化,为联动提供执行引擎。
AI大模型的持续学习能力,让防御体系能够不断吸收新的攻击样本、自动优化决策模型,形成越用越准的动态叠Buff的机制。
这种自我成长的能力,摆脱了过去靠人海战术、靠无限叠配置去“填坑”的被动模式,你魔高一尺,我模高一丈。
理论如此,事实也正是如此↓
目前AI加持的业界新一代联动方案,纷纷在实战中表现出不俗战绩,逐步告别不敢联、不能联和联不起。
接下来,我们就以亚信安全AI XDR为例,详细讲讲一套真正可落地的联动防御系统,究竟是怎么玩的——
早在2018年,亚信安全就发布了国内首个XDR产品。
此后,又经过7年持续打磨,再辅以AI大模型淬炼,终于在2025年,进化出国内首个AI XDR联动防御系统。
为什么亚信安全的AI XDR能做到“真联动”呢?
第一,AI赋能的体系化协同防御框架,云网边端一体。
亚信安全TrustOne、DeepSecurity、TDA、AE、DDEI、NGFW等产品,在客户生产环境拥有庞大的部署量,这些产品成熟能打,原本就具备极强的单兵作战能力。
现在,亚信将AI能力嵌入整个安全链路,组成云网边端四位一体协同防御框架。
尤其像TrustOne、DeepSecurity两大端侧明星产品,驻守在安全防护的最后一道关口,作为探针可以更精细化采集,作为联动组件可以更细粒度处置。
嵌入AI能力后,对终端进程、横移访问等异常行为的分析更加智能、精准。
第二,内置安全大模型,全域数据整合和分析,驱动智能威胁研判。
在AI XDR的背后,亚信安全自研「信立方安全大模型」成为强大后盾。
可对多源安全数据(日志、流量、告警、资产、情报等)进行语义解析与威胁推理,并提供全生命周期的资产管理。
第三,提供多种建模方式+云端情报,构建安全基线和威胁感知引擎。
精准检测是敢联动的前提,复杂威胁怎么破?
AI XDR通过对终端、流量、ATT&CK技战术热点、特定攻击威胁场景进行持续建模,识别异常进程、横移、加密行为等隐蔽攻击,有效提升复杂威胁检测能力。
第四,自动化联动与闭环处置
AI XDR可基于告警事件研判结果,智能联动相关安全设备,精准匹配最优处置策略,自动执行威胁阻断操作,实现安全事件全流程准无人值守闭环处置。
在具体处置上,亚信安全的云网边端四位一体优势再次发挥出来↓
处置动作更丰富更细致,不仅支持传统边界侧IP及域名的处置,还支持端侧更细粒度如终端、IP、域名、进程、文件、启动项、服务项等的隔、阻、删、停。
处置范围更灵活,全网、某个子网、某批主机、指定单机…
接下来,AI XDR可以再派出智能体侦探,进行AI事件调查追溯、威胁狩猎,查找罪魁祸首,形成完整闭环。
第五,AI降噪与智能运营,进一步降低企业防护成本。
AI XDR调用信立方大模型的能力,实现自动过滤误报、聚合告警,告警数量可压缩至原有的3%,显著降低噪音。
同时支持自然语言问答、自动报表与智能告警解读,把安全运营从人工值守逐步转变为智能托管,解放安全牛马,提升运营效率。
目前,亚信安全AI XDR已经在政府、金融、企业、医疗、教育等大量客户场景落地,具体联动实战效果怎么样呢?
依托AI智能处置响应,安全事件处置效率平均提升4.8倍,借助AI威胁感知引擎、AI安全基线引擎,威胁检出能力平均提升7.5倍…
「不敢联、不能联、联不起」的时代,终于要渐行渐远了。
你还不赶紧“动起来”
来源:特大号
了解亚信安全,请点击“阅读原文”
