很久很久以前，希臘北部有一個(gè)彈丸小國(guó)在短短時(shí)間內(nèi)成長(zhǎng)為橫跨亞非歐的龐大帝國(guó)，這一切可能要?dú)w功于從這個(gè)地方誕生的一個(gè)卓越軍事領(lǐng)袖和一種當(dāng)時(shí)威力無(wú)窮的戰(zhàn)隊(duì)方陣布局，他就是亞歷山大大帝，一個(gè)常在你的撲克牌上出現(xiàn)的男子，它，就是馬其頓方陣。

【 圖片來(lái)源：dy.163.com  所有者：dy.163.com 】

馬其頓方陣在亞歷山大軍隊(duì)中占據(jù)絕對(duì)數(shù)量?jī)?yōu)勢(shì)，成了亞歷山大軍隊(duì)的主力。在亞歷山大的天才指揮下，龐大的帝國(guó)被區(qū)區(qū)4萬(wàn)軍隊(duì)打得分崩離析。

【 圖片來(lái)源：喵說(shuō)歷史  所有者：喵說(shuō)歷史 】

正經(jīng)來(lái)說(shuō)，馬其頓方陣并不是亞歷山大創(chuàng)建的，而是他爸“發(fā)明”的。

在荷馬時(shí)代以前，步兵打起仗來(lái)像一窩蜂似地雜亂無(wú)章，亞歷山大的老爹腓力二世在當(dāng)馬其頓的國(guó)王時(shí)，對(duì)馬其頓的軍務(wù)進(jìn)行了全面改革，把多兵種混合成了一支完整的作戰(zhàn)部隊(duì)，還為步兵方陣配備了薩利沙長(zhǎng)矛，結(jié)束了混亂的步兵作戰(zhàn)模式。

前人栽樹，后人爭(zhēng)氣，亞歷山大大帝后來(lái)將這種方陣運(yùn)用得十分出色。

后來(lái)的戰(zhàn)爭(zhēng)就比這種馬其頓方陣更“先進(jìn)”了，經(jīng)過(guò)一代代進(jìn)化，不僅有多兵種作戰(zhàn)，還有多武器裝備作戰(zhàn)。不得不說(shuō)，將多個(gè)兵種有效融合，以少勝多打敗強(qiáng)大的對(duì)手，是一種牛逼的進(jìn)步。

在看不見硝煙的賽博世界，各種“武器裝備”如同線下戰(zhàn)爭(zhēng)裝備發(fā)展一般蓬勃，核心目的是如何在網(wǎng)絡(luò)叢林里，面對(duì)危機(jī)四伏的嗜血攻擊者，守衛(wèi)自身的安全。不過(guò)，花了很多錢囤積裝備的一些企業(yè)依然很苦惱，他們往往面臨這些關(guān)鍵問(wèn)題：辛辛苦苦花金幣攢裝備，這些裝備到底怎么一起好好用，如何用，誰(shuí)來(lái)用，誰(shuí)會(huì)用？

也就是說(shuō)，他們也面臨著初期混亂的“步兵”打法。

“千機(jī)傘”

要用裝備的企業(yè)著急了，提供裝備的安全企業(yè)也著急。

亞信安全的掌門人，亞信安全總裁陸光明在今年5月宣布，亞信安全的公司戰(zhàn)略是“兩翼齊飛，四輪驅(qū)動(dòng)”，現(xiàn)在， “XDR全景”是對(duì)亞信安全戰(zhàn)略的傳承。

簡(jiǎn)而言之，亞信安全一直在研究，如何把混亂的“步兵”變成牛逼的方陣。

所謂“兩翼”，一為威脅防護(hù)視角的產(chǎn)品，二為針策略管理的產(chǎn)品，前者專注攻防，后者力求管控。“四輪驅(qū)動(dòng)”則包括準(zhǔn)化的威脅防護(hù)類產(chǎn)品、定制化的策略遵從產(chǎn)品、以威脅情報(bào)為核心的安全數(shù)據(jù)湖和以態(tài)勢(shì)感知為核心的安全運(yùn)營(yíng)管理中心。

可能是覺(jué)得這樣把武器明明白白地列出來(lái)還不夠，亞信安全首席研發(fā)官吳湘寧表示，升級(jí)后的“XDR戰(zhàn)略”強(qiáng)調(diào)了“威脅可感知、安全可運(yùn)維”，核心其實(shí)只有一點(diǎn)——“實(shí)現(xiàn)多產(chǎn)品間的智能安全聯(lián)動(dòng)”。

知道誰(shuí)在盯著你，誰(shuí)在攻擊你，就知道怎么還手。

XDR 實(shí)際是運(yùn)用“精密編排策略”，通過(guò)網(wǎng)絡(luò)深度威脅發(fā)現(xiàn)、未知威脅分析、終端響應(yīng)及阻斷、網(wǎng)絡(luò)威脅阻斷和威脅情報(bào)平臺(tái)，實(shí)現(xiàn)多智能安全聯(lián)動(dòng)。

有一種“武器”與 XDR 有點(diǎn)類似——榮耀大神葉修的“千機(jī)傘”，亞信安全 XDR 全景也是各種武器的組合、變化，包括終端檢測(cè)及響應(yīng) EDR、網(wǎng)絡(luò)檢測(cè)及響應(yīng) NDR、高級(jí)威脅情報(bào)平臺(tái) TIP 等專業(yè)的調(diào)查工具，應(yīng)對(duì)各類高級(jí)威脅的標(biāo)準(zhǔn)化預(yù)案工作手冊(cè)，以及由安全響應(yīng)專家團(tuán)隊(duì)組成的托管檢測(cè)及響應(yīng) MDR 。

詳解核心技術(shù)

我們從 EDR 開始說(shuō)起。

Gartner 于 2013 年 7 月首次創(chuàng)造了端點(diǎn)威脅檢測(cè)和響應(yīng) (ETDR) 這一術(shù)語(yǔ)，用來(lái)定義一種 “檢測(cè)和調(diào)查主機(jī) / 端點(diǎn)上可疑活動(dòng)（及其痕跡）” 的工具，后來(lái)通常稱為端點(diǎn)檢測(cè)和響應(yīng) (EDR)，這是一種相對(duì)較新的終端安全解決方案。

第一，企業(yè)有沒(méi)有可以被攻擊的點(diǎn)，第二，如果被攻擊了，這次攻擊效果是否嚴(yán)重。第三，攻擊之后如何恢復(fù)。

亞信安全產(chǎn)品管理總經(jīng)理汪晨認(rèn)為，要達(dá)到上述目標(biāo)，先要采集數(shù)據(jù)，再對(duì)數(shù)據(jù)進(jìn)行檢測(cè)。

在很多城市，如果汽車沒(méi)有禮讓過(guò)斑馬線的行人，司機(jī)就會(huì)被扣分。但是，如何判斷司機(jī)到底是否應(yīng)該被扣分呢？這也是一種收集數(shù)據(jù)的過(guò)程——比如后臺(tái)要基于攝像頭數(shù)據(jù)，判斷行人是否在斑馬線上，車輛是否停下來(lái)，通過(guò)特征點(diǎn)判斷司機(jī)有沒(méi)有違章。

同樣的是，EDR 有兩個(gè)檢測(cè)點(diǎn)：行為規(guī)則 IOA 和外部特征 IOC，IOC 主要檢測(cè)的是靜態(tài)特征，比如文件的一些哈希值，你可以把它理解為文件的“身份證”。檢測(cè)難度更大的是 IOA，也就是惡意行為的威脅情報(bào)。難點(diǎn)在于，要在攻擊行為發(fā)生之前就對(duì) IOA 的情報(bào)進(jìn)行檢測(cè)，發(fā)現(xiàn)其意圖。

檢測(cè)出“問(wèn)題”的同時(shí)，要讓人真的能看到問(wèn)題。就像病人去醫(yī)院看病，感覺(jué)胃部不舒服，到底是因?yàn)槭裁丛虿皇娣?，醫(yī)生要給病人開出一些檢查單，通過(guò)“調(diào)查”，形成“檢測(cè)報(bào)告”，而且這些“檢測(cè)報(bào)告”要讓人看得懂，把相關(guān)的參數(shù)翻譯成直觀可讀懂的語(yǔ)言報(bào)告，第一時(shí)間判斷有沒(méi)有生病，病情嚴(yán)不嚴(yán)重，這就強(qiáng)調(diào)了 EDR 必須有很強(qiáng)的可視化能力。

知道了問(wèn)題，就要遏制和修復(fù)，可能在調(diào)查之前，“醫(yī)生”就在做遏制這件事。比如你發(fā)高燒了，需要先做物理降溫再做“修復(fù)”。這一切的前提是必須有數(shù)據(jù)，要知道黑客怎么攻擊進(jìn)來(lái)的，做了哪些事情，是修改了注冊(cè)表還是在啟動(dòng)項(xiàng)生成了文件，才能形成精準(zhǔn)的處置建議，通過(guò)這個(gè)過(guò)程形成 EDR 檢測(cè)、調(diào)查、遏制、修復(fù)的功能。

當(dāng)然，這是 EDR 最基本的功能，怎么判斷是不是一個(gè)優(yōu)秀的 EDR？

汪晨對(duì)雷鋒網(wǎng)提到了三個(gè)“考核指標(biāo)”：第一，它需要具備操作系統(tǒng)行為內(nèi)核態(tài)高清記錄能力——是不是認(rèn)真記住了行為。第二，告警行為日志長(zhǎng)期存儲(chǔ)三個(gè)月以上，因?yàn)楹诳蜐B透進(jìn)來(lái)需要花一定時(shí)間，如果沒(méi)有相應(yīng)的歷史數(shù)據(jù)，很難回溯。第三，攻擊可視化，讓用戶能明明白白地看到問(wèn)題。

最后，EDR 還有一個(gè)關(guān)鍵組成部分：Threat Hunting的服務(wù)，安全可運(yùn)維，根據(jù)行為準(zhǔn)則判斷信息觸發(fā)事件，相當(dāng)于專業(yè)的安全運(yùn)維人員 24 小時(shí)根據(jù)提交采集的數(shù)據(jù)匹配信息，來(lái)判斷是否被攻擊。

前面說(shuō)到，確認(rèn)被攻擊后，EDR 要想遏制和修復(fù)問(wèn)題，需要技術(shù)能力和相應(yīng)的工具，這就要用到 XDR 使用的另一個(gè)技術(shù)：精密編排。

交響樂(lè)團(tuán)要想演奏一首樂(lè)曲，首先要配置好演員和完整的樂(lè)器。第二，要有樂(lè)譜，第三，要聽指揮。

能被精密編排的前提與交響樂(lè)團(tuán)正常工作的原理類似，首先，產(chǎn)品線要是整齊的，除了終端安全產(chǎn)品EDR，還要有 NDR（網(wǎng)絡(luò)檢測(cè)及響應(yīng)）和（TIP）高級(jí)威脅情報(bào)平臺(tái)，除了有外部的威脅情報(bào)之外，還要有以沙盒為中心的本地威脅情報(bào)，這樣才能提供足夠?qū)I(yè)的調(diào)查工具。

第二，要有標(biāo)準(zhǔn)的工作手冊(cè)應(yīng)對(duì)各種威脅的預(yù)案。第三，所有產(chǎn)品必須具備聯(lián)動(dòng)性，能被“編排”。

為了做到這一點(diǎn)，雷鋒網(wǎng)注意到，亞信安全在 XDR 里布置了一款負(fù)責(zé)托管檢測(cè)和響應(yīng)的 MDR，來(lái)完成安全協(xié)同自動(dòng)化和預(yù)先編排。

XDR 全景圖下的產(chǎn)品線

支撐上述核心技術(shù)的是亞信安全四大類產(chǎn)品：

檢測(cè)類：深度威脅發(fā)現(xiàn)設(shè)備TDA、深度威脅回溯設(shè)備TRA、高級(jí)威脅終端檢測(cè)及響應(yīng)系統(tǒng)CTDI；

分析類：深度威脅分析設(shè)備DDAN、高級(jí)威脅終端檢測(cè)及響應(yīng)系統(tǒng)CTDI、深度威脅回溯設(shè)備TRA；

響應(yīng)類：網(wǎng)絡(luò)防護(hù)網(wǎng)關(guān)AE、終端防護(hù)系統(tǒng)OfficeScan、服務(wù)器深度安全防護(hù)系統(tǒng) Deep Security、深度威脅郵件網(wǎng)關(guān) DDEI；

集中管控類：威脅運(yùn)維平臺(tái)（UAP）、控制管理中心TMCM。

 “第一，產(chǎn)品線各個(gè)產(chǎn)品端都要有對(duì)應(yīng)的的產(chǎn)品，比如網(wǎng)絡(luò)側(cè)有TDA，檢測(cè)設(shè)備，DDAN是網(wǎng)絡(luò)側(cè)的沙盒，是本地情報(bào)中心的核心，網(wǎng)關(guān)側(cè)的AE，防火墻和防毒墻。郵件這一塊是DDEI，應(yīng)對(duì)郵件安全問(wèn)題，端點(diǎn)側(cè)有OSCE&CTDI，OSCE是終端防護(hù)類產(chǎn)品，CTDI是EDR的產(chǎn)品。云主機(jī)側(cè)有Deep Security，所以整個(gè)云管端都具備這個(gè)能力，就像一個(gè)交響樂(lè)團(tuán)，每一個(gè)演奏單元都具備?！蓖舫空f(shuō)。

OSCE是終端安全的產(chǎn)品，CTDI 是 EDR 重要的模塊，TDA 是網(wǎng)絡(luò)檢測(cè)設(shè)備，這些聯(lián)動(dòng)起來(lái)就不一樣了，OSCE+CTDI形成了完整的 EDR，TDA+CTDI是形成完整的 NDR，TDA可以直接調(diào)用 CTDI 形成驗(yàn)測(cè)報(bào)告。這個(gè)報(bào)告可以直接被用戶讀懂：黑客怎么攻進(jìn)來(lái)的，你需要做什么樣的處置，通過(guò)這些割裂產(chǎn)品，按照精密編排的方式提供了完整的對(duì)抗方法。

汪晨透露，亞信安全以后還要給 XDR 加入托管的運(yùn)維服務(wù)——畢竟不是每一個(gè)用戶都有充足的運(yùn)維人員7×24小時(shí)勞作，他希望，能盡量減輕運(yùn)維壓力和難度。

在雷鋒網(wǎng)看來(lái)，亞信安全最重要的一個(gè)觀點(diǎn)是——  “如果今天連門都沒(méi)鎖，靠攝像頭抓壞人，這不是很奇怪的一件事嗎？我們?cè)卩]件、網(wǎng)絡(luò)、端點(diǎn)、服務(wù)器、云主機(jī)、容器都有攔截類的產(chǎn)品，通過(guò)這些產(chǎn)品第一時(shí)間做了相應(yīng)的阻斷和攔截?！?/strong>

基于此，需要一個(gè)依賴于產(chǎn)品自身的能力形成的運(yùn)維管理中心，這就是威脅運(yùn)維平臺(tái) UAP，最終，亞信安全交付給用戶以及用戶能直接看到的冰山上的一切就是 UAP，但藏在冰山下的能力由這些產(chǎn)品支撐。

你也可以把 UAP 理解成一個(gè)善于調(diào)兵遣將的將軍，在 XDR 全景視圖中，能被用戶直接看到的 UAP 將發(fā)揮至關(guān)重要的聯(lián)動(dòng)作用——它知道什么時(shí)候該派出最合適的兵種，什么時(shí)候應(yīng)該用什么樣的武器。

這就是“馬其頓方陣”能成功的終極奧義。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。