你一定聽過安全廠商類似這樣的宣傳——

“我們的產(chǎn)品能夠?qū)崿F(xiàn)聯(lián)動防御”

聯(lián)動的好處，那真是一大堆↓

通過聯(lián)動，從單點(diǎn)作戰(zhàn)到協(xié)同防御，縮短MTTR、提升安全運(yùn)營效率、減少人為依賴，balalalala…

是不是很美好？我信你個鬼！

“聯(lián)動”這個概念，流行了小二十年。

幾乎每個產(chǎn)品上規(guī)模的廠商都在談聯(lián)動，每個業(yè)務(wù)上規(guī)模的甲方都想要聯(lián)動。

但它，卻是安全圈最大謊言！

大部分客戶，用了之后才發(fā)現(xiàn)，聯(lián)動的真相是這樣的↓

“不敢聯(lián)”
顧名思義，不敢隨隨便便聯(lián)動，安全策略牽一發(fā)動全身，萬一誤報了、動錯了，還不如不動，是為「不敢聯(lián)」。

安全運(yùn)維的現(xiàn)實(shí)是——海量告警鋪天蓋地，資深老司機(jī)都看不過來、判斷不準(zhǔn)。

真正的威脅被淹沒，運(yùn)營團(tuán)隊(duì)被拖進(jìn)無休止的告警篩查，自然不敢輕易按下“聯(lián)動”鍵。

哪個才是真威脅？哪個才應(yīng)該觸發(fā)聯(lián)動？

單個設(shè)備策略都不敢隨便改，更不可能讓一整條鏈路跟著“自動響應(yīng)”。

誤報一個點(diǎn)，聯(lián)動一大片，下次你還敢？

“不能聯(lián)”
即便告警有效、檢測精準(zhǔn)，但在大甲方異構(gòu)安全場景下，不同廠商的安全產(chǎn)品各自為戰(zhàn)、防御碎片化，不具備全域、細(xì)粒度的聯(lián)動能力，是為「不能聯(lián)」。

聯(lián)動，需要的是上下游所有參與方：你懂我的悄悄話，我懂你的小眼神，擰成一股繩、勁往一處使。

然而，大甲方經(jīng)過多輪安全建設(shè)，早已形成了復(fù)雜的異構(gòu)產(chǎn)品格局，不同廠商的安全產(chǎn)品一起干活是這樣的↓

單打個個牛B，團(tuán)戰(zhàn)你東我西，“悄悄話”雞同鴨講（事件輸出接口不統(tǒng)一），“小眼神”貌合神離（動作控制接口玩封閉），情報傳不暢、資產(chǎn)拉不通…

即便單一廠商組網(wǎng)，大家口音相同、步調(diào)一致。

但終端、云、網(wǎng)絡(luò)、應(yīng)用等防御手段分散孤立，匆忙走上管理崗位的“中樞平臺”們（傳統(tǒng)SoC/SIEM/SOAR/XDR/態(tài)感等），很難把隊(duì)伍帶好，無法構(gòu)建起跨場景協(xié)同響應(yīng)體系。

“聯(lián)不起”
即便在理想場景下，敢聯(lián)動、能聯(lián)動，卻因?yàn)閳鼍白兓⑼{升級，聯(lián)動再次失效，這種道高一尺、魔高一丈的情況，讓甲方乙方都無力持續(xù)投入，是為「聯(lián)不起」。

很多時候，有些聯(lián)動真的成功落地了，卻太局限于特定場景、特定攻擊。

威脅一變形、場景一切換，聯(lián)動機(jī)制立馬失效。

依賴傳統(tǒng)黑白名單聯(lián)動的能力非常有限，既無法做到細(xì)粒度風(fēng)險處置，也不具備與時俱進(jìn)的自適應(yīng)和自學(xué)習(xí)能力。

而黑客的攻擊不斷升級，安全乙方和企業(yè)需要配備專業(yè)的安全運(yùn)營團(tuán)隊(duì)、持續(xù)能力補(bǔ)齊，才能跟得上節(jié)奏。

勉強(qiáng)聯(lián)動，也撐不久、跟不起。

就這樣，“聯(lián)動”概念炒了小二十年，卻成了安全圈最大的謊言。

人人宣傳說聯(lián)動，人人實(shí)戰(zhàn)聯(lián)不動。

不過這兩年，AI大模型迅猛發(fā)展，我們似乎看到了一些消滅謊言的機(jī)會。

大模型讓聯(lián)動的基礎(chǔ)條件，發(fā)生了巨大變化↓

01、從碎片化到協(xié)同化

AI大模型的語義理解和推理能力，讓安全系統(tǒng)真正有機(jī)會跨越設(shè)備、平臺和廠商邊界，統(tǒng)一理解威脅意圖和行為模式。

自此，聯(lián)動有了基本盤。

02、從規(guī)則驅(qū)動到智能決策

傳統(tǒng)聯(lián)動依賴黑白名單和規(guī)則驅(qū)動，粒度粗且不具備自適應(yīng)、動態(tài)響應(yīng)的能力。

深度思考模型的出現(xiàn)，讓聯(lián)動系統(tǒng)擁有了像安全老司機(jī)一般會思考、智能決策的大腦，從按拳譜一招一式（靠規(guī)則驅(qū)動）到無招勝有招（靠智能決策）。

03、從數(shù)據(jù)孤島到全域關(guān)聯(lián)

大模型模型在多模態(tài)數(shù)據(jù)理解上的突破，使日志、流量、行為、身份等不同維度的安全數(shù)據(jù)能夠被統(tǒng)一建模與推理。

這種全域關(guān)聯(lián)為復(fù)雜威脅檢測和多點(diǎn)聯(lián)動提供了數(shù)據(jù)基礎(chǔ)。

04、從人工分析到自動協(xié)同

大模型和Agent可以部分替代人工分析與處置，將海量告警降噪、威脅識別、事件溯源、策略處置自動串聯(lián)。

實(shí)現(xiàn)安全運(yùn)營的自動化+閉環(huán)化，為聯(lián)動提供執(zhí)行引擎。

05、從被動填鴨到持續(xù)疊Buff

AI大模型的持續(xù)學(xué)習(xí)能力，讓防御體系能夠不斷吸收新的攻擊樣本、自動優(yōu)化決策模型，形成越用越準(zhǔn)的動態(tài)疊Buff的機(jī)制。

這種自我成長的能力，擺脫了過去靠人海戰(zhàn)術(shù)、靠無限疊配置去“填坑”的被動模式，你魔高一尺，我模高一丈。

理論如此，事實(shí)也正是如此↓

目前AI加持的業(yè)界新一代聯(lián)動方案，紛紛在實(shí)戰(zhàn)中表現(xiàn)出不俗戰(zhàn)績，逐步告別不敢聯(lián)、不能聯(lián)和聯(lián)不起。

接下來，我們就以亞信安全AI XDR為例，詳細(xì)講講一套真正可落地的聯(lián)動防御系統(tǒng)，究竟是怎么玩的——

早在2018年，亞信安全就發(fā)布了國內(nèi)首個XDR產(chǎn)品。

此后，又經(jīng)過7年持續(xù)打磨，再輔以AI大模型淬煉，終于在2025年，進(jìn)化出國內(nèi)首個AI XDR聯(lián)動防御系統(tǒng)。

亞信安全AI XDR不僅是一個產(chǎn)品，更是一套體系。

它以XDR平臺為核心，整合了亞信安全云網(wǎng)邊端全棧安全產(chǎn)品，這些產(chǎn)品，既是聯(lián)動的執(zhí)行組件，也是探針。

同時，內(nèi)置了安全大模型負(fù)責(zé)智能決策，輔以安全智能體聯(lián)合行動。

我們來看一個典型的實(shí)戰(zhàn)場景，當(dāng)萬惡的勒索攻擊來襲，AI XDR是如何進(jìn)行聯(lián)動防御的↓

無論終端側(cè)、主機(jī)側(cè)還是網(wǎng)絡(luò)側(cè)，發(fā)現(xiàn)異常行為，都會被上報到平臺，由“大腦”進(jìn)行智能決策，并觸發(fā)聯(lián)動，完成閉環(huán)處置。

為什么亞信安全的AI XDR能做到“真聯(lián)動”呢？

第一，AI賦能的體系化協(xié)同防御框架，云網(wǎng)邊端一體。

亞信安全TrustOne、DeepSecurity、TDA、AE、DDEI、NGFW等產(chǎn)品，在客戶生產(chǎn)環(huán)境擁有龐大的部署量，這些產(chǎn)品成熟能打，原本就具備極強(qiáng)的單兵作戰(zhàn)能力。

現(xiàn)在，亞信將AI能力嵌入整個安全鏈路，組成云網(wǎng)邊端四位一體協(xié)同防御框架。

尤其像TrustOne、DeepSecurity兩大端側(cè)明星產(chǎn)品，駐守在安全防護(hù)的最后一道關(guān)口，作為探針可以更精細(xì)化采集，作為聯(lián)動組件可以更細(xì)粒度處置。

嵌入AI能力后，對終端進(jìn)程、橫移訪問等異常行為的分析更加智能、精準(zhǔn)。

第二，內(nèi)置安全大模型，全域數(shù)據(jù)整合和分析，驅(qū)動智能威脅研判。

在AI XDR的背后，亞信安全自研「信立方安全大模型」成為強(qiáng)大后盾。

可對多源安全數(shù)據(jù)（日志、流量、告警、資產(chǎn)、情報等）進(jìn)行語義解析與威脅推理，并提供全生命周期的資產(chǎn)管理。

第三，提供多種建模方式+云端情報，構(gòu)建安全基線和威脅感知引擎。

精準(zhǔn)檢測是敢聯(lián)動的前提，復(fù)雜威脅怎么破？

AI XDR通過對終端、流量、ATT&CK技戰(zhàn)術(shù)熱點(diǎn)、特定攻擊威脅場景進(jìn)行持續(xù)建模，識別異常進(jìn)程、橫移、加密行為等隱蔽攻擊，有效提升復(fù)雜威脅檢測能力。

第四，自動化聯(lián)動與閉環(huán)處置

AI XDR可基于告警事件研判結(jié)果，智能聯(lián)動相關(guān)安全設(shè)備，精準(zhǔn)匹配最優(yōu)處置策略，自動執(zhí)行威脅阻斷操作，實(shí)現(xiàn)安全事件全流程準(zhǔn)無人值守閉環(huán)處置。

在具體處置上，亞信安全的云網(wǎng)邊端四位一體優(yōu)勢再次發(fā)揮出來↓

處置動作更豐富更細(xì)致，不僅支持傳統(tǒng)邊界側(cè)IP及域名的處置，還支持端側(cè)更細(xì)粒度如終端、IP、域名、進(jìn)程、文件、啟動項(xiàng)、服務(wù)項(xiàng)等的隔、阻、刪、停。

處置范圍更靈活，全網(wǎng)、某個子網(wǎng)、某批主機(jī)、指定單機(jī)…

接下來，AI XDR可以再派出智能體偵探，進(jìn)行AI事件調(diào)查追溯、威脅狩獵，查找罪魁禍?zhǔn)祝纬赏暾]環(huán)。

第五，AI降噪與智能運(yùn)營，進(jìn)一步降低企業(yè)防護(hù)成本。

AI XDR調(diào)用信立方大模型的能力，實(shí)現(xiàn)自動過濾誤報、聚合告警，告警數(shù)量可壓縮至原有的3%，顯著降低噪音。

同時支持自然語言問答、自動報表與智能告警解讀，把安全運(yùn)營從人工值守逐步轉(zhuǎn)變?yōu)橹悄芡泄?，解放安全牛馬，提升運(yùn)營效率。

目前，亞信安全AI XDR已經(jīng)在政府、金融、企業(yè)、醫(yī)療、教育等大量客戶場景落地，具體聯(lián)動實(shí)戰(zhàn)效果怎么樣呢？

依托AI智能處置響應(yīng)，安全事件處置效率平均提升4.8倍，借助AI威脅感知引擎、AI安全基線引擎，威脅檢出能力平均提升7.5倍…

「不敢聯(lián)、不能聯(lián)、聯(lián)不起」的時代，終于要漸行漸遠(yuǎn)了。

你還不趕緊“動起來”