随着数字化转型的深化，企业IT环境已从单一网络边界扩展至物联网（IoT）、移动终端、办公网络、云原生应用等多领域。这种技术多元化在提升业务效率的同时，也带来了前所未有的安全碎片挑战。各个环境之间的安全防护各自为战，安全防护体系碎片化指数持续攀升，这种割裂式发展正在摧毁安全防护的系统性根基。

另一方面，企业安全产品、数据日志、评价维度之间也呈现碎片化发展趋势。例如主流安全厂商产品间的协议兼容率低，安全日志存在格式不兼容、存储分散问题严峻，主流漏洞评分体系维度差异大等。

这种系统性的孤岛效应明显增加潜在的攻击面，拉长平均漏洞修复时间，增加威胁与风险的发现难度。同时还带来两个严重后果：

• 企业各领域安全水准无法对齐，木桶短板效应明显；

• 安全设备缺乏联动，无法发挥出应有的效果，导致整体安全水准下降。

据《2024全球安全运营成熟度报告》，89%的企业因安全产品分散、策略割裂而面临防护孤岛问题。例如，某制造企业同时部署IoT设备监控、终端EDR、云WAF等多套系统，但因策略无法联动，攻击者可利用物联网漏洞横向渗透至生产系统，导致勒索软件在45分钟内瘫痪全生产区。

同时咨询机构预测，全球多领域安全协同市场收入将于2029年突破3000亿美元，年复合增长率达21.14%。这一增长背后是严峻的现实：

• 攻击面指数级扩张
  企业平均每新增一个技术领域，暴露面增加47%。某行业典型案例显示，某三甲医院的医疗物联网设备、HIS系统、移动诊疗APP分别存在未修复漏洞，攻击者通过CT机联网模块侵入核心数据库，窃取50万份患者隐私数据。

• 防护策略协同失效
  金融行业调研显示，78%的机构遭遇过因安全产品规则冲突导致的误拦截事件，每次业务中断平均损失达120万美元。

• 安全运营成本失控
  零售企业安全团队需同时操作12类安全控制台，日均处理3000+告警，关键威胁漏检率高达32%。

针对日益严峻的安全体系碎片化问题，阿里云高级产品专家梁雷在采访中指出：“攻击者已形成跨领域自动化攻击链，从发现办公网到控制企业核心业务生产系统，速度越来越快。传统‘拼图式’防护体系必须向智能协同进化。”

同时AI与大模型技术正大量被攻击者利用，现代网络攻击留给企业安全防护体系的反应时间越来越短。MITRE ATT&CK框架数据表明，现代攻击者平均潜伏期已缩短至10小时以内，而传统安全工具的平均检测时间却还要十几分钟乃至数十分钟，这种攻防节奏的代际差异，迫使安全产品必须实现毫秒级威胁感知与自动化处置能力的升级。

多领域安全防护能力跃迁路径

当前企业安全态势正面临结构性挑战：

• 策略复杂度指数级攀升、单点响应效率滞后、跨领域攻击面持续扩张的立体化威胁环境；

• 攻击者借助AI自动化武器、0Day漏洞组合包、智能蠕虫病毒等技术，形成对企业关键系统的超视距打击能力。

梁雷在采访中表示，这件事情（安全领域割裂防护）已经到了刻不容缓的地步，企业日益增长的复杂的业务架构需求与安全运营不平衡、不充分发展之间存在巨大的矛盾。在此背景下，阿里云威胁检测与响应平台（CTDR）重磅诞生，通过云原生化与AI的加持，从企业全局的视角出发，打破安全孤岛困局，打造全新安全防护体系，让企业无需在“业务敏捷性”与“安全性”之间二选一。

（CTDR原理一览）

1. 打通各安全域之间的隔断，构建统一安全底盘

当前各安全域之间处于割裂的状态，不仅让安全策略无法统一，还增加了许多的攻击面，导致整体安全防护能力下降。因此，想要打赢这场攻坚战，首要动作就是“打通各个安全域之间的隔断，构建统一安全底盘”，让安全防御从“盲人摸象”变为“全域透视”。

为此，阿里云CTDR（威胁分析与响应）通过标准化方式对接多域安全产品和全球主流云服务商，接入跨安全产品、云平台、跨账号的安全告警日志、网络日志、系统日志、应用日志等，将日志统一接入并进行标准化处理，有效解决不同云平台之间数据异构的问题，实现多云平台之间数据统一监控、处理、分析和使用。

全面风险和日志信息给跨域的安全防护打下了坚实的基础。打通数据孤岛让CTDR如同拥有了“上帝视角”，俯瞰企业多平台的安全风险的变化，从中识别并还原出完整的攻击链路，形成详细的安全事件，并通过自动化编排及时进行响应。目前，CDTR已经接入数十家云原生日志源，日均处理PB级数据。

系统内置预定义分析及AI分析规则开箱即用，并支持用户自定义创建分析规则。支持多源日志关联分析能力，提供实时检测能力。基于AI进行聚合关联告警生成安全事件，系统自动抽取事件中的恶意实体，提供推荐处置策略可对事件自动化响应，对事件中的恶意实体进行处置，处置覆盖率达95%；事件聚合关联告警收敛率为99.94%，跨资产安全事件发现率90%。

从而真正实现将跨域安全的“人工经验驱动”升级为“标准化AI驱动”。通过统一策略、自动执行和实时修正，企业能够在复杂多域安全环境中实现安全能力的规模化覆盖与一致性管控。

2. 收敛外部攻击面，构建纵深化防御体系

众所周知，业务分布在多个平台意味着企业存在更多潜在的攻击面。多元IT环境存在大量的API、端口、服务等，都有可能存在潜在的攻击面；而不同的平台之间安全策略、组件、工具、供应商也不相同，其策略配置将会面临严重的碎片化难题，并导致出现大量的安全运营漏洞。

此外，云平台与云平台之间、云平台与本地数据中心之间都会有大量的数据交换，如果某个云平台存在一个安全漏洞，那么攻击者就可以以这个漏洞为跳板，入侵企业后横向移动，执行下一步更具危险性的操作。

为了有效收敛多云环境中的攻击面，阿里云CTDR通过标准化、自动化和智能化三要素，打造安全纵深防御体系。

具体来说，CTDR基于统一标准扫描企业可能暴露的资产，自动识别高风险入口并自动调用云平台API下发拦截策略，实现潜在的攻击面动态、自动化收敛。通过自动化资产发现，消除因人工安全运营疏漏导致的“影子资产”，将攻击面从“不可控”变为“可量化管控”。

同时整合全球威胁情报，利用强大的情报力量早实现过滤恶意IP，对漏洞修复进行优先级排序，将可能对企业造成严重影响的高危漏洞及时修复，实现“被动防御”升级为“前置封堵”，将威胁扼杀于萌芽之中。

CTDR将进一步强化事件聚合与溯源，优化软件供应链中存在的安全威胁，基于AI分析，自动化调用内置安全剧本，实现“一键封禁+安全修复”闭环，将事件发现-分析-响应-阻断-溯源全生命周期所需要的时间从小时级缩短至分钟级。

3. 以AI驱动安全：从被动响应到智能协助的防御跃迁

梁雷认为，以AI为驱动的攻击方式将成为未来的主流趋势，其中包括0Day漏洞自动化利用、自动化勒索攻击等多种形式。面对无孔不入和潮水大漫灌的攻击方式，传统安全防护体系显的捉襟见肘，安全人员将会陷入大量的告警、大量的事件报告中。

唯有AI才能打败AI，因此阿里云CTDR采取“以AI对抗AI”的策略，将攻防双方的智能化程度拉平至同一水准。

具体来说

• 在战术层面
  阿里云CTDR以AI模型实时检测多云平台中的海量日志，基于千亿级行为数据训练多模态大模型，并以此替代传统规则引擎的“人工特征提取”，结合数据与上下文准确发现安全威胁。

• 在战役层面
  CTDR基于ATT&CK攻击框架与历史事件库，以AI驱动的自动化攻防剧本，对抗攻击者普遍采用的广撒网式的自动化钓鱼、勒索攻击策略，再加上机器学习等技术，不断提升AI在对抗中的专业能力。

值得一提的是，通过集成AI与大模型的能力，CTDR可实现预测性防御，完成从“事后处置”到“事前免疫”的跨越。梁雷表示，CTDR可利用图计算技术分析资产关系、漏洞利用链、权限拓扑，结合漏洞情报与资产暴露面数据，预测攻击路径，识别高风险节点并提前加固。

“防御内生于业务，安全与效率共生”，是梁雷心目中CTDR的形态，而AI能力的引入则有可能将其变为现实，真正实现将“专家级的安全能力”赋能于千行百业，细化防御颗粒度，将威胁杀于早期阶段，以全局视角统筹安全与业务的平衡发展。

以云原生为底座构建更智能化的安全运营

老话说，想到和得到中间还有两个字——做到；安全产品、服务也是如此，不少安全产品在实验室的环境下能力十分强劲，但在企业实际落地环境中的表现又是另外一回事。能否真正做到“开箱即用，开箱好”用这八个大字，才是决定其是否能走的更远的核心支撑。

对于这一点梁雷在采访中却表现的信心满满，并表示CTDR最大的底气就是“云原生”。“作为国内最大的云服务提供商，我们（阿里云）天然适合来做这件事情，CTDR真正做到了开箱即用，开箱好用的目标”。

CTDR与云原生接口实现了无缝对接，可直接调用云平台原生API，包括ECS、容器服务、Serverless等，自动对接各种各样的安全产品，自动发现混合云环境中的动态资产；

策略引擎与云资源联动，通过阿里云RAM、SLB等原生服务接口，可自动下发安全策略；

阿里云日志服务与对象存储提供了强大的日志实时分析能力，企业无需再投入资源搭建数据管道等。

借助云原生架构的深度集成，CTDR无需适配即可调用底层资源，实现“部署即生效”的实战级防御，这是第三方安全工具无法复制的优势。换言之，用户购买CTDR后无需再做任何部署，也不需要扩容，只需要将自己需要的流量、存储空间计算清楚，一键开通即可使用，无需一个个安全产品、一朵朵云去做部署。

除了无需企业再投入更多资源外，CTDR还能够进一步帮助企业节约异常珍贵的安全人力资源，尤其是专家级的资源。例如CTDR内置的AI大模型不仅会自动识别安全风险与告警，还引入了一个非常有意思的功能——可解释性。

由于很多用户对监测到的告警或威胁的理解程度不深，因此往往还需要查询其他资料或深入了解才能消化这些信息，不仅延缓了响应的时间，也给安全人员带来了不必要的负担，降低了安全整体防护能力。举个例子，某个告警没啥问题，但安全人员为了了解却花费了很多时间，白白浪费精力；又或者某个告警很严重，但安全人员因为认识不足将其忽略，反而会给企业带来巨大损失。

针对这些问题，CTDR结合了大模型强大的文本生成和总结能力，对一些比较复杂的安全事件进行多维度的分析和解释。就如同一位经验丰富的安全专家将复杂的安全事件拆解成更易理解的表述，该如何操作安全人员一目了然，大大提高了安全效率。

梁雷在采访中进一步解释：“例如在某个告警发生后，CTDR会基于ATT&CK威胁框架对安全事件进行整体梳理，快速生成一个事件概要，让安全人员首先对事件有一个整体认知。然后会评估该事件对于企业客户的影响范围和深度，以及该如何处置的建议。此外CTDR还有基于事件的交互式问答功能，用户可进一步询问该事件的详细信息。”

开箱好用的功能也不仅仅是告警可解释，例如CTDR还具有自动化阻断的功能。事实上，甲方用户对于“自动化阻断”可谓是又爱又恨。自动化阻断虽然可以提高安全效率，但也可能造成更严重的危害。例如某告警无害但却被自动阻断，导致业务运转受影响；亦或是告警很严重，但却被自动化放过，导致安全事件的发生。

因此，自动化阻断功能是否受欢迎的核心逻辑是甲方用户足够信任，而信任来源于一次又一次的阻断成功。这也侧面印证了一个观点，敢于上线自动化阻断功能需要具有非常足的底气，即对自家产品功能的深度认可，否则很有可能适得其反，被甲方用户厌弃。

当被问及该功能在甲方用户中的使用频率时，梁雷的语气中充满了自信，并表示“阿里云对于CTDR的这个功能有足够的信心，无论是在实验环境还是企业真实环境，自动阻断功能的表现令人满意。我们之前也调研了一些企业客户，这个功能的使用率还是比较高，尤其是在大型集团企业，这几乎是一个必须的功能。”

上线至今，CTDR广泛受到用户的认可，并树立了多个标杆用户。其中包含某头部互联网公司，业务横跨多元环境，通过CTDR实现多云统一运营，实现“日志标准化-分析自动化-响应智能化”闭环，大幅降低告警数量，自动下发安全处置策略日均3万条等，有效提升安全运营效率。

AI时代下，云安全的新纪元

当多云正在成为必然的趋势，云安全也将迎来新的变革。

很多人不知道的是，CTDR仅仅是阿里云在云安全领域的一场“攻坚战”。事实上他们在云安全领域已经完成了一场“惊心动魄”的大战役，内部代号——三体战役，即云安全基础设施一体化、安全技术域一体化、办公生产网一体化。

回首过去，阿里云放弃开源系统，从底层开始研发，固然给阿里云的飞天之路带来了无数的困难，但十五年的坚持与投入，也赋予了后者无限可能，并在AI时代有能力去完成三体战役，促进云安全能力全面升级。

CTDR正是“安全技术域一体化战役”的成果之一，而阿里云三体战役的目标是以一体化和平台化的战略，彻底终结多安全域、多云环境下的云安全碎片化，推动云安全从单云防御转向跨域协同、智能内生、生态共生。

当企业上云从“趋势”变为“常态”，阿里云的三体战役正用技术纵深度、生态聚合度、战略前瞻性，来开启云安全AI时代的新纪元。