目前各組織正積極升級(jí)SOC到智能化安全運(yùn)營(yíng)（ISOC），但是在建設(shè)ISOC過(guò)程中常遇到各種挑戰(zhàn)。針對(duì)這些挑戰(zhàn)，安全牛在 2025 年通過(guò)針對(duì)企業(yè)用戶和廠商的訪談?wù){(diào)研，匯總了以下常見(jiàn)問(wèn)題，并提供了相應(yīng)的應(yīng)對(duì)建議：

問(wèn)題1：企業(yè)現(xiàn)在是否應(yīng)該建設(shè)大而全的智能化安全運(yùn)營(yíng)平臺(tái)

在智能化安全運(yùn)營(yíng)（ISOC）建設(shè)過(guò)程中，我們經(jīng)常會(huì)遇到一個(gè)誤區(qū)，認(rèn)為一定要建設(shè)一個(gè)龐大的、無(wú)所不能的AI平臺(tái)，才能實(shí)現(xiàn)安全運(yùn)營(yíng)的自動(dòng)化。然而，由于AI技術(shù)應(yīng)用的不成熟，這種“大而全”的思路，往往會(huì)導(dǎo)致項(xiàng)目周期長(zhǎng)、投入大、效果不明顯，甚至可能導(dǎo)致項(xiàng)目失敗。根據(jù)安全牛訪談，在實(shí)際項(xiàng)目中，更精細(xì)的場(chǎng)景可以解決AI的誤報(bào)等問(wèn)題，快速體現(xiàn)AI的價(jià)值，建議ISOC建設(shè)不應(yīng)追求“大而全”，應(yīng)該“小步快跑”，“精而準(zhǔn)”地快速實(shí)現(xiàn)急需解決的特定精細(xì)場(chǎng)景。

安全牛分析

AI在安全運(yùn)營(yíng)中的價(jià)值，智能化安全運(yùn)營(yíng)（ISOC）建設(shè)應(yīng)該“小步快跑”，不應(yīng)追求“大而全”，而是應(yīng)體現(xiàn)“精而準(zhǔn)”。簡(jiǎn)單來(lái)說(shuō)，就是從最容易上手、能夠快速產(chǎn)生價(jià)值的場(chǎng)景入手，逐步推進(jìn)ISOC建設(shè)。這種方法的核心思想是：擇那些能夠快速解決實(shí)際問(wèn)題、提升安全運(yùn)營(yíng)效率的場(chǎng)景，逐個(gè)著手，逐步擴(kuò)大應(yīng)用范圍，避免“一口吃個(gè)胖子”。然后通過(guò)不斷的反饋和優(yōu)化，不斷提升AI在安全運(yùn)營(yíng)中的應(yīng)用效果。比如知識(shí)問(wèn)答、某類安全事件的溯源和自動(dòng)化響應(yīng)。

由此帶來(lái)的好處是：

• 快速見(jiàn)效：小場(chǎng)景落地快，能夠快速展現(xiàn)ISOC的價(jià)值，增強(qiáng)團(tuán)隊(duì)信心。通過(guò)實(shí)際的應(yīng)用案例，讓領(lǐng)導(dǎo)和同事看到AI在安全運(yùn)營(yíng)中的潛力；
• 降低風(fēng)險(xiǎn)：小步快跑，降低項(xiàng)目風(fēng)險(xiǎn)，避免“大而全”帶來(lái)的不確定性。可以在小范圍內(nèi)進(jìn)行測(cè)試和驗(yàn)證，及時(shí)發(fā)現(xiàn)和解決問(wèn)題；
• 持續(xù)優(yōu)化：通過(guò)不斷地迭代和優(yōu)化小場(chǎng)景，我們可以逐步積累經(jīng)驗(yàn)，為后續(xù)的ISOC建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。可以將成功的經(jīng)驗(yàn)復(fù)制到其他場(chǎng)景，逐步擴(kuò)大AI的應(yīng)用范圍；
• 更精準(zhǔn)的回報(bào)投資：可以在小場(chǎng)景中更輕松地確定投資回報(bào)率，可以更有效地申請(qǐng)到更多的預(yù)算。

問(wèn)題2：在ISOC建設(shè)過(guò)程中會(huì)面臨哪些數(shù)據(jù)治理的挑戰(zhàn)

在ISOC建設(shè)的道路上，首先會(huì)遇到一個(gè)巨大的挑戰(zhàn)——數(shù)據(jù)治理。數(shù)據(jù)是ISOC的基礎(chǔ)，沒(méi)有高質(zhì)量的數(shù)據(jù)，自動(dòng)化、智能化的安全運(yùn)營(yíng)就類似于空中樓閣。不僅如此，數(shù)據(jù)治理問(wèn)題在現(xiàn)實(shí)中，往往比我們想象得要復(fù)雜。

我們經(jīng)常會(huì)遇到以下數(shù)據(jù)挑戰(zhàn)：

• 數(shù)據(jù)孤島問(wèn)題：組織內(nèi)部通常配置來(lái)自不同廠商、不同型號(hào)的安全設(shè)備，這些設(shè)備產(chǎn)生的數(shù)據(jù)格式各不相同，彼此之間缺乏互通性，形成一個(gè)“數(shù)據(jù)孤島”；
• 數(shù)據(jù)質(zhì)量問(wèn)題：安全設(shè)備產(chǎn)生的數(shù)據(jù)可能存在錯(cuò)誤、缺失、重復(fù)等問(wèn)題，這些質(zhì)量低的數(shù)據(jù)會(huì)嚴(yán)重影響人工智能的分析和判斷，導(dǎo)致誤報(bào)、漏報(bào)等情況；
• 數(shù)據(jù)量爆炸問(wèn)題：隨著安全設(shè)備的普及和網(wǎng)絡(luò)流量的增長(zhǎng)，安全數(shù)據(jù)量呈爆炸式增長(zhǎng)。如何高效存儲(chǔ)、處理和分析海量數(shù)據(jù)，成為亟待解決的問(wèn)題；
• 數(shù)據(jù)合規(guī)性問(wèn)題：數(shù)據(jù)通常包含敏感信息，如用戶信息、業(yè)務(wù)數(shù)據(jù)等。在數(shù)據(jù)采集、存儲(chǔ)、處理和分析過(guò)程中，應(yīng)注意利用匿名、混淆等技術(shù)進(jìn)行處理。

安全牛分析

因?yàn)榻M織往往忽視在規(guī)劃階段明確數(shù)據(jù)需求的重要性。沒(méi)有明確的目標(biāo)，無(wú)法預(yù)知為什么需要哪些數(shù)據(jù)，也無(wú)法選擇合適的設(shè)備，到建設(shè)后期才發(fā)現(xiàn)數(shù)據(jù)中斷，往往為時(shí)已晚，成本高昂。數(shù)據(jù)是ISOC的基石，只有打好數(shù)據(jù)基礎(chǔ)，我們才能充分發(fā)揮AI的潛力，讓安全運(yùn)營(yíng)真正智能起來(lái)。

對(duì)此，安全牛建議：

• 規(guī)劃先行，目標(biāo)明確：在ISOC建設(shè)之初，需充分了解自身的風(fēng)險(xiǎn)狀況和業(yè)務(wù)需求，明確需要哪些數(shù)據(jù)來(lái)支撐安全運(yùn)營(yíng)。例如：若需進(jìn)行用戶行為分析，則需要設(shè)備能夠提供詳細(xì)的用戶日志，若需進(jìn)行流量分析，則需要設(shè)備能夠提供全面的網(wǎng)絡(luò)流量數(shù)據(jù)；
• 設(shè)備選型、數(shù)據(jù)匹配：在選擇安全設(shè)備時(shí)，不僅要關(guān)注其功能，更要關(guān)注其數(shù)據(jù)輸出能力，確保能夠提供所需的數(shù)據(jù)。可以要求設(shè)備廠商提供詳細(xì)的數(shù)據(jù)字典，了解其數(shù)據(jù)格式和內(nèi)容；
• 數(shù)據(jù)治理，貫穿始終：數(shù)據(jù)治理不是一蹴而就的，而是一個(gè)持續(xù)的過(guò)程。要建立完善的數(shù)據(jù)治理體系，包括數(shù)據(jù)采集、存儲(chǔ)、清理、轉(zhuǎn)換、分析等階段。采用數(shù)據(jù)湖、數(shù)據(jù)倉(cāng)庫(kù)等技術(shù)，實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)和管理；
• 數(shù)據(jù)智能化：制定并采用通用的數(shù)據(jù)標(biāo)準(zhǔn)，實(shí)現(xiàn)不同設(shè)備和系統(tǒng)之間的數(shù)據(jù)交換和共享；
• 數(shù)據(jù)安全合規(guī)：建立完善的數(shù)據(jù)安全管理制度，確保數(shù)據(jù)在整個(gè)生命周期內(nèi)的安全性。

問(wèn)題3：企業(yè)應(yīng)選擇本地還是云端的部署模式？

企業(yè)在建設(shè)智能化安全運(yùn)營(yíng)中心（ISOC）時(shí)，面臨的一個(gè)關(guān)鍵決策是選擇哪種部署模式：本地部署、云端或混合模式。不同的部署模式各有優(yōu)劣。

本地部署模式

本地部署可以更好地滿足其對(duì)數(shù)據(jù)安全、隱私保護(hù)和自主可控的要求，并能夠更靈活地進(jìn)行定制化開(kāi)發(fā)和集成。大型組織通常擁有龐大而復(fù)雜的自主IT基礎(chǔ)設(shè)施、完善的安全運(yùn)營(yíng)體系和專業(yè)的安全團(tuán)隊(duì)，面臨復(fù)雜的安全威脅和嚴(yán)格的合規(guī)要求，安全預(yù)算相對(duì)充裕，對(duì)數(shù)據(jù)安全和可控性有更高的要求。建議對(duì)于具備以上特點(diǎn)的大型組織，本地部署可以更好地滿足其對(duì)數(shù)據(jù)安全、隱私保護(hù)和自主可控的要求，并能夠更靈活地進(jìn)行定制化開(kāi)發(fā)和集成。但是注意，本地部署ISOC的前期投入，需要專業(yè)的團(tuán)隊(duì)進(jìn)行建設(shè)和運(yùn)維。

云端模式；

云端模式可以降低ISOC的建設(shè)和運(yùn)維成本，并提供專業(yè)級(jí)的安全運(yùn)營(yíng)服務(wù)，中小型組織的特點(diǎn)是IT基礎(chǔ)設(shè)施相對(duì)簡(jiǎn)單，安全團(tuán)隊(duì)規(guī)模有限或缺乏，安全預(yù)算有限，對(duì)安全運(yùn)營(yíng)的專業(yè)性要求較高，但自身難以滿足。建議中小型組織選擇云端的ISOC通常是更經(jīng)濟(jì)、更高效的選擇，可以使中小型組織也能夠享受到先進(jìn)的安全防護(hù)能力。

混合模式（本地+云）

混合模式結(jié)合本地部署和SaaS模式的優(yōu)點(diǎn)，可以根據(jù)不同的業(yè)務(wù)需求和安全需求，將不同的安全功能部署在本地或云端。建議對(duì)于一些大型組織，可以考慮采用混合模式。可以將核心的安全數(shù)據(jù)和安全功能部署在本地，將一些非核心的安全功能部署在云端，或者將云端作為本地ISOC的補(bǔ)充和擴(kuò)展。

需要考慮的其他因素：

1. 專業(yè)的安全運(yùn)營(yíng)團(tuán)隊(duì)。自建ISOC需要專業(yè)的安全團(tuán)隊(duì)進(jìn)行建設(shè)、運(yùn)維和管理。如果企業(yè)缺乏專業(yè)的安全團(tuán)隊(duì)，云端的ISOC或托管安全服務(wù)（MSSP）可能是更合適的選擇。
2. IT基礎(chǔ)設(shè)施和安全體系。企業(yè)要考慮IT基礎(chǔ)設(shè)施的規(guī)模和復(fù)雜程度，ISOC需要與現(xiàn)有的IT基礎(chǔ)設(shè)施進(jìn)行集成。如果IT基礎(chǔ)設(shè)施龐大而復(fù)雜，本地自建ISOC的負(fù)載和成本會(huì)更高。并且ISOC需要與現(xiàn)有的安全設(shè)備和系統(tǒng)進(jìn)行聯(lián)動(dòng)。如果企業(yè)缺乏基本的安全設(shè)備和能力，ISOC可能無(wú)法有效地工作。
3. 數(shù)據(jù)安全性和合規(guī)性。對(duì)于數(shù)據(jù)安全和隱私保護(hù)有要求的企業(yè)（例如金融、醫(yī)療等行業(yè)），可能更傾向于本地自建ISOC，以保證數(shù)據(jù)的安全和可控。
4. 預(yù)算和成本。本地自建ISOC的前期投入較多，包括硬件、軟件、人力等方面的投入。SaaS化的ISOC通常采用訂閱模式，前期投入較低，但長(zhǎng)期成本需要綜合考慮。
5. 定制化和靈活需求。不同的企業(yè)面臨不同的安全需求和合規(guī)需求，本地自建ISOC可以提供更高的定制化和靈活性，但需要更強(qiáng)的技術(shù)實(shí)力。云端的ISOC提供的功能通常是標(biāo)準(zhǔn)化的，定制化能力有限。并且本地自建通常更容易實(shí)現(xiàn)與其他內(nèi)部系統(tǒng)進(jìn)行深度集成。

企業(yè)在選擇ISOC部署模式時(shí)，需要綜合考慮并根據(jù)自身的實(shí)際情況做出最佳選擇。

問(wèn)題4：如何轉(zhuǎn)變思路，從而獲得高層領(lǐng)導(dǎo)的支持？

在ISOC建設(shè)過(guò)程中，我們經(jīng)常會(huì)遇到這樣的挑戰(zhàn)：如何讓領(lǐng)導(dǎo)充分了解ISOC的價(jià)值，并持續(xù)投入經(jīng)費(fèi)？ISOC建設(shè)需要資金的支持，如果無(wú)法證明ISOC的價(jià)值，就很難獲得領(lǐng)導(dǎo)的支持。要解決這個(gè)問(wèn)題，我們需要轉(zhuǎn)變思路，從“技術(shù)驅(qū)動(dòng)”轉(zhuǎn)變?yōu)?ldquo;價(jià)值驅(qū)動(dòng)”，用數(shù)據(jù)說(shuō)話，用事實(shí)證明ISOC能夠?yàn)榻M織帶來(lái)真正的價(jià)值。

安全牛分析

領(lǐng)導(dǎo)關(guān)注的不是技術(shù)本身，而是技術(shù)能夠帶來(lái)的價(jià)值。讓我們用數(shù)據(jù)和事實(shí)，贏得領(lǐng)導(dǎo)的信任和支持，建議：

1. 明確指標(biāo)量化：在ISOC建設(shè)之初，需要設(shè)定明確的量化指標(biāo)，如事件響應(yīng)時(shí)間、威脅監(jiān)測(cè)率、運(yùn)營(yíng)成本降低等。這些指標(biāo)應(yīng)該與組織的業(yè)務(wù)目標(biāo)相關(guān)聯(lián)，能夠清晰地反映ISOC的價(jià)值；
2. 持續(xù)測(cè)量效果：通過(guò)持續(xù)測(cè)量和分析，我們可以了解ISOC的實(shí)際效果，并及時(shí)調(diào)整優(yōu)化。可以定期發(fā)布ISOC的運(yùn)營(yíng)報(bào)告，向領(lǐng)導(dǎo)展示其成果和價(jià)值；
3. 可視化展示：將量化指標(biāo)和分析結(jié)果以可視化的方式呈現(xiàn)，一目了然地了解ISOC的價(jià)值。可以采用圖表、儀表盤(pán)等方式，直觀地展示ISOC的運(yùn)營(yíng)情況；
4. 從點(diǎn)著手，逐步擴(kuò)大：通過(guò)一個(gè)小而成功的案例，展示ISOC的潛力，并以此為基礎(chǔ)，逐步擴(kuò)大應(yīng)用范圍，爭(zhēng)取更多預(yù)算。可以選擇一些容易量化和展示的場(chǎng)景，如知識(shí)問(wèn)答、事件溯源等；
5. 強(qiáng)調(diào)商業(yè)價(jià)值：不僅要強(qiáng)調(diào)ISOC的技術(shù)優(yōu)勢(shì)，更要強(qiáng)調(diào)其商業(yè)價(jià)值。例如：ISOC可以提高安全運(yùn)營(yíng)效率，降低運(yùn)營(yíng)成本；可以提升威脅檢測(cè)能力，降低安全風(fēng)險(xiǎn)；可以增強(qiáng)客戶信任，提升品牌形象；
6. 構(gòu)建安全運(yùn)營(yíng)成熟度模型：使用該模型來(lái)簡(jiǎn)化組織在流程、技術(shù)和人員方面的成熟度。通過(guò)評(píng)估模型顯示持續(xù)性的改進(jìn)，這對(duì)于獲得更多的預(yù)算和保持持續(xù)性改進(jìn)至關(guān)重要。