很久很久以前，希臘北部有一個彈丸小國在短短時間內(nèi)成長為橫跨亞非歐的龐大帝國，這一切可能要歸功于從這個地方誕生的一個卓越軍事領袖和一種當時威力無窮的戰(zhàn)隊方陣布局，他就是亞歷山大大帝，一個常在你的撲克牌上出現(xiàn)的男子，它，就是馬其頓方陣。

【 圖片來源：dy.163.com  所有者：dy.163.com 】

馬其頓方陣在亞歷山大軍隊中占據(jù)絕對數(shù)量優(yōu)勢，成了亞歷山大軍隊的主力。在亞歷山大的天才指揮下，龐大的帝國被區(qū)區(qū)4萬軍隊打得分崩離析。

【 圖片來源：喵說歷史  所有者：喵說歷史 】

正經(jīng)來說，馬其頓方陣并不是亞歷山大創(chuàng)建的，而是他爸“發(fā)明”的。

在荷馬時代以前，步兵打起仗來像一窩蜂似地雜亂無章，亞歷山大的老爹腓力二世在當馬其頓的國王時，對馬其頓的軍務進行了全面改革，把多兵種混合成了一支完整的作戰(zhàn)部隊，還為步兵方陣配備了薩利沙長矛，結(jié)束了混亂的步兵作戰(zhàn)模式。

前人栽樹，后人爭氣，亞歷山大大帝后來將這種方陣運用得十分出色。

后來的戰(zhàn)爭就比這種馬其頓方陣更“先進”了，經(jīng)過一代代進化，不僅有多兵種作戰(zhàn)，還有多武器裝備作戰(zhàn)。不得不說，將多個兵種有效融合，以少勝多打敗強大的對手，是一種牛逼的進步。

在看不見硝煙的賽博世界，各種“武器裝備”如同線下戰(zhàn)爭裝備發(fā)展一般蓬勃，核心目的是如何在網(wǎng)絡叢林里，面對危機四伏的嗜血攻擊者，守衛(wèi)自身的安全。不過，花了很多錢囤積裝備的一些企業(yè)依然很苦惱，他們往往面臨這些關鍵問題：辛辛苦苦花金幣攢裝備，這些裝備到底怎么一起好好用，如何用，誰來用，誰會用？

也就是說，他們也面臨著初期混亂的“步兵”打法。

“千機傘”

要用裝備的企業(yè)著急了，提供裝備的安全企業(yè)也著急。

亞信安全的掌門人，亞信安全總裁陸光明在今年5月宣布，亞信安全的公司戰(zhàn)略是“兩翼齊飛，四輪驅(qū)動”，現(xiàn)在， “XDR全景”是對亞信安全戰(zhàn)略的傳承。

簡而言之，亞信安全一直在研究，如何把混亂的“步兵”變成牛逼的方陣。

所謂“兩翼”，一為威脅防護視角的產(chǎn)品，二為針策略管理的產(chǎn)品，前者專注攻防，后者力求管控?！八妮嗱?qū)動”則包括準化的威脅防護類產(chǎn)品、定制化的策略遵從產(chǎn)品、以威脅情報為核心的安全數(shù)據(jù)湖和以態(tài)勢感知為核心的安全運營管理中心。

可能是覺得這樣把武器明明白白地列出來還不夠，亞信安全首席研發(fā)官吳湘寧表示，升級后的“XDR戰(zhàn)略”強調(diào)了“威脅可感知、安全可運維”，核心其實只有一點——“實現(xiàn)多產(chǎn)品間的智能安全聯(lián)動”。

知道誰在盯著你，誰在攻擊你，就知道怎么還手。

XDR 實際是運用“精密編排策略”，通過網(wǎng)絡深度威脅發(fā)現(xiàn)、未知威脅分析、終端響應及阻斷、網(wǎng)絡威脅阻斷和威脅情報平臺，實現(xiàn)多智能安全聯(lián)動。

有一種“武器”與 XDR 有點類似——榮耀大神葉修的“千機傘”，亞信安全 XDR 全景也是各種武器的組合、變化，包括終端檢測及響應 EDR、網(wǎng)絡檢測及響應 NDR、高級威脅情報平臺 TIP 等專業(yè)的調(diào)查工具，應對各類高級威脅的標準化預案工作手冊，以及由安全響應專家團隊組成的托管檢測及響應 MDR 。

詳解核心技術

我們從 EDR 開始說起。

Gartner 于 2013 年 7 月首次創(chuàng)造了端點威脅檢測和響應 (ETDR) 這一術語，用來定義一種 “檢測和調(diào)查主機 / 端點上可疑活動（及其痕跡）” 的工具，后來通常稱為端點檢測和響應 (EDR)，這是一種相對較新的終端安全解決方案。

第一，企業(yè)有沒有可以被攻擊的點，第二，如果被攻擊了，這次攻擊效果是否嚴重。第三，攻擊之后如何恢復。

亞信安全產(chǎn)品管理總經(jīng)理汪晨認為，要達到上述目標，先要采集數(shù)據(jù)，再對數(shù)據(jù)進行檢測。

在很多城市，如果汽車沒有禮讓過斑馬線的行人，司機就會被扣分。但是，如何判斷司機到底是否應該被扣分呢？這也是一種收集數(shù)據(jù)的過程——比如后臺要基于攝像頭數(shù)據(jù)，判斷行人是否在斑馬線上，車輛是否停下來，通過特征點判斷司機有沒有違章。

同樣的是，EDR 有兩個檢測點：行為規(guī)則 IOA 和外部特征 IOC，IOC 主要檢測的是靜態(tài)特征，比如文件的一些哈希值，你可以把它理解為文件的“身份證”。檢測難度更大的是 IOA，也就是惡意行為的威脅情報。難點在于，要在攻擊行為發(fā)生之前就對 IOA 的情報進行檢測，發(fā)現(xiàn)其意圖。

檢測出“問題”的同時，要讓人真的能看到問題。就像病人去醫(yī)院看病，感覺胃部不舒服，到底是因為什么原因不舒服，醫(yī)生要給病人開出一些檢查單，通過“調(diào)查”，形成“檢測報告”，而且這些“檢測報告”要讓人看得懂，把相關的參數(shù)翻譯成直觀可讀懂的語言報告，第一時間判斷有沒有生病，病情嚴不嚴重，這就強調(diào)了 EDR 必須有很強的可視化能力。

知道了問題，就要遏制和修復，可能在調(diào)查之前，“醫(yī)生”就在做遏制這件事。比如你發(fā)高燒了，需要先做物理降溫再做“修復”。這一切的前提是必須有數(shù)據(jù)，要知道黑客怎么攻擊進來的，做了哪些事情，是修改了注冊表還是在啟動項生成了文件，才能形成精準的處置建議，通過這個過程形成 EDR 檢測、調(diào)查、遏制、修復的功能。

當然，這是 EDR 最基本的功能，怎么判斷是不是一個優(yōu)秀的 EDR？

汪晨對雷鋒網(wǎng)提到了三個“考核指標”：第一，它需要具備操作系統(tǒng)行為內(nèi)核態(tài)高清記錄能力——是不是認真記住了行為。第二，告警行為日志長期存儲三個月以上，因為黑客滲透進來需要花一定時間，如果沒有相應的歷史數(shù)據(jù)，很難回溯。第三，攻擊可視化，讓用戶能明明白白地看到問題。

最后，EDR 還有一個關鍵組成部分：Threat Hunting的服務，安全可運維，根據(jù)行為準則判斷信息觸發(fā)事件，相當于專業(yè)的安全運維人員 24 小時根據(jù)提交采集的數(shù)據(jù)匹配信息，來判斷是否被攻擊。

前面說到，確認被攻擊后，EDR 要想遏制和修復問題，需要技術能力和相應的工具，這就要用到 XDR 使用的另一個技術：精密編排。

交響樂團要想演奏一首樂曲，首先要配置好演員和完整的樂器。第二，要有樂譜，第三，要聽指揮。

能被精密編排的前提與交響樂團正常工作的原理類似，首先，產(chǎn)品線要是整齊的，除了終端安全產(chǎn)品EDR，還要有 NDR（網(wǎng)絡檢測及響應）和（TIP）高級威脅情報平臺，除了有外部的威脅情報之外，還要有以沙盒為中心的本地威脅情報，這樣才能提供足夠?qū)I(yè)的調(diào)查工具。

第二，要有標準的工作手冊應對各種威脅的預案。第三，所有產(chǎn)品必須具備聯(lián)動性，能被“編排”。

為了做到這一點，雷鋒網(wǎng)注意到，亞信安全在 XDR 里布置了一款負責托管檢測和響應的 MDR，來完成安全協(xié)同自動化和預先編排。

XDR 全景圖下的產(chǎn)品線

支撐上述核心技術的是亞信安全四大類產(chǎn)品：

檢測類：深度威脅發(fā)現(xiàn)設備TDA、深度威脅回溯設備TRA、高級威脅終端檢測及響應系統(tǒng)CTDI；

分析類：深度威脅分析設備DDAN、高級威脅終端檢測及響應系統(tǒng)CTDI、深度威脅回溯設備TRA；

響應類：網(wǎng)絡防護網(wǎng)關AE、終端防護系統(tǒng)OfficeScan、服務器深度安全防護系統(tǒng) Deep Security、深度威脅郵件網(wǎng)關 DDEI；

集中管控類：威脅運維平臺（UAP）、控制管理中心TMCM。

 “第一，產(chǎn)品線各個產(chǎn)品端都要有對應的的產(chǎn)品，比如網(wǎng)絡側(cè)有TDA，檢測設備，DDAN是網(wǎng)絡側(cè)的沙盒，是本地情報中心的核心，網(wǎng)關側(cè)的AE，防火墻和防毒墻。郵件這一塊是DDEI，應對郵件安全問題，端點側(cè)有OSCE&CTDI，OSCE是終端防護類產(chǎn)品，CTDI是EDR的產(chǎn)品。云主機側(cè)有Deep Security，所以整個云管端都具備這個能力，就像一個交響樂團，每一個演奏單元都具備?！蓖舫空f。

OSCE是終端安全的產(chǎn)品，CTDI 是 EDR 重要的模塊，TDA 是網(wǎng)絡檢測設備，這些聯(lián)動起來就不一樣了，OSCE+CTDI形成了完整的 EDR，TDA+CTDI是形成完整的 NDR，TDA可以直接調(diào)用 CTDI 形成驗測報告。這個報告可以直接被用戶讀懂：黑客怎么攻進來的，你需要做什么樣的處置，通過這些割裂產(chǎn)品，按照精密編排的方式提供了完整的對抗方法。

汪晨透露，亞信安全以后還要給 XDR 加入托管的運維服務——畢竟不是每一個用戶都有充足的運維人員7×24小時勞作，他希望，能盡量減輕運維壓力和難度。

在雷鋒網(wǎng)看來，亞信安全最重要的一個觀點是——  “如果今天連門都沒鎖，靠攝像頭抓壞人，這不是很奇怪的一件事嗎？我們在郵件、網(wǎng)絡、端點、服務器、云主機、容器都有攔截類的產(chǎn)品，通過這些產(chǎn)品第一時間做了相應的阻斷和攔截?！?/strong>

基于此，需要一個依賴于產(chǎn)品自身的能力形成的運維管理中心，這就是威脅運維平臺 UAP，最終，亞信安全交付給用戶以及用戶能直接看到的冰山上的一切就是 UAP，但藏在冰山下的能力由這些產(chǎn)品支撐。

你也可以把 UAP 理解成一個善于調(diào)兵遣將的將軍，在 XDR 全景視圖中，能被用戶直接看到的 UAP 將發(fā)揮至關重要的聯(lián)動作用——它知道什么時候該派出最合適的兵種，什么時候應該用什么樣的武器。

這就是“馬其頓方陣”能成功的終極奧義。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。