目前各組織正積極升級SOC到智能化安全運營（ISOC），但是在建設ISOC過程中常遇到各種挑戰。針對這些挑戰，安全牛在 2025 年通過針對企業用戶和廠商的訪談調研，匯總了以下常見問題，并提供了相應的應對建議：

問題1：企業現在是否應該建設大而全的智能化安全運營平臺

在智能化安全運營（ISOC）建設過程中，我們經常會遇到一個誤區，認為一定要建設一個龐大的、無所不能的AI平臺，才能實現安全運營的自動化。然而，由于AI技術應用的不成熟，這種“大而全”的思路，往往會導致項目周期長、投入大、效果不明顯，甚至可能導致項目失敗。根據安全牛訪談，在實際項目中，更精細的場景可以解決AI的誤報等問題，快速體現AI的價值，建議ISOC建設不應追求“大而全”，應該“小步快跑”，“精而準”地快速實現急需解決的特定精細場景。

安全牛分析

AI在安全運營中的價值，智能化安全運營（ISOC）建設應該“小步快跑”，不應追求“大而全”，而是應體現“精而準”。簡單來說，就是從最容易上手、能夠快速產生價值的場景入手，逐步推進ISOC建設。這種方法的核心思想是：擇那些能夠快速解決實際問題、提升安全運營效率的場景，逐個著手，逐步擴大應用范圍，避免“一口吃個胖子”。然后通過不斷的反饋和優化，不斷提升AI在安全運營中的應用效果。比如知識問答、某類安全事件的溯源和自動化響應。

由此帶來的好處是：

• 快速見效：小場景落地快，能夠快速展現ISOC的價值，增強團隊信心。通過實際的應用案例，讓領導和同事看到AI在安全運營中的潛力；
• 降低風險：小步快跑，降低項目風險，避免“大而全”帶來的不確定性。可以在小范圍內進行測試和驗證，及時發現和解決問題；
• 持續優化：通過不斷地迭代和優化小場景，我們可以逐步積累經驗，為后續的ISOC建設打下堅實的基礎。可以將成功的經驗復制到其他場景，逐步擴大AI的應用范圍；
• 更精準的回報投資：可以在小場景中更輕松地確定投資回報率，可以更有效地申請到更多的預算。

問題2：在ISOC建設過程中會面臨哪些數據治理的挑戰

在ISOC建設的道路上，首先會遇到一個巨大的挑戰——數據治理。數據是ISOC的基礎，沒有高質量的數據，自動化、智能化的安全運營就類似于空中樓閣。不僅如此，數據治理問題在現實中，往往比我們想象得要復雜。

我們經常會遇到以下數據挑戰：

• 數據孤島問題：組織內部通常配置來自不同廠商、不同型號的安全設備，這些設備產生的數據格式各不相同，彼此之間缺乏互通性，形成一個“數據孤島”；
• 數據質量問題：安全設備產生的數據可能存在錯誤、缺失、重復等問題，這些質量低的數據會嚴重影響人工智能的分析和判斷，導致誤報、漏報等情況；
• 數據量爆炸問題：隨著安全設備的普及和網絡流量的增長，安全數據量呈爆炸式增長。如何高效存儲、處理和分析海量數據，成為亟待解決的問題；
• 數據合規性問題：數據通常包含敏感信息，如用戶信息、業務數據等。在數據采集、存儲、處理和分析過程中，應注意利用匿名、混淆等技術進行處理。

安全牛分析

因為組織往往忽視在規劃階段明確數據需求的重要性。沒有明確的目標，無法預知為什么需要哪些數據，也無法選擇合適的設備，到建設后期才發現數據中斷，往往為時已晚，成本高昂。數據是ISOC的基石，只有打好數據基礎，我們才能充分發揮AI的潛力，讓安全運營真正智能起來。

對此，安全牛建議：

• 規劃先行，目標明確：在ISOC建設之初，需充分了解自身的風險狀況和業務需求，明確需要哪些數據來支撐安全運營。例如：若需進行用戶行為分析，則需要設備能夠提供詳細的用戶日志，若需進行流量分析，則需要設備能夠提供全面的網絡流量數據；
• 設備選型、數據匹配：在選擇安全設備時，不僅要關注其功能，更要關注其數據輸出能力，確保能夠提供所需的數據。可以要求設備廠商提供詳細的數據字典，了解其數據格式和內容；
• 數據治理，貫穿始終：數據治理不是一蹴而就的，而是一個持續的過程。要建立完善的數據治理體系，包括數據采集、存儲、清理、轉換、分析等階段。采用數據湖、數據倉庫等技術，實現數據的集中存儲和管理；
• 數據智能化：制定并采用通用的數據標準，實現不同設備和系統之間的數據交換和共享；
• 數據安全合規：建立完善的數據安全管理制度，確保數據在整個生命周期內的安全性。

問題3：企業應選擇本地還是云端的部署模式？

企業在建設智能化安全運營中心（ISOC）時，面臨的一個關鍵決策是選擇哪種部署模式：本地部署、云端或混合模式。不同的部署模式各有優劣。

本地部署模式

本地部署可以更好地滿足其對數據安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發和集成。大型組織通常擁有龐大而復雜的自主IT基礎設施、完善的安全運營體系和專業的安全團隊，面臨復雜的安全威脅和嚴格的合規要求，安全預算相對充裕，對數據安全和可控性有更高的要求。建議對于具備以上特點的大型組織，本地部署可以更好地滿足其對數據安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發和集成。但是注意，本地部署ISOC的前期投入，需要專業的團隊進行建設和運維。

云端模式；

云端模式可以降低ISOC的建設和運維成本，并提供專業級的安全運營服務，中小型組織的特點是IT基礎設施相對簡單，安全團隊規模有限或缺乏，安全預算有限，對安全運營的專業性要求較高，但自身難以滿足。建議中小型組織選擇云端的ISOC通常是更經濟、更高效的選擇，可以使中小型組織也能夠享受到先進的安全防護能力。

混合模式（本地+云）

混合模式結合本地部署和SaaS模式的優點，可以根據不同的業務需求和安全需求，將不同的安全功能部署在本地或云端。建議對于一些大型組織，可以考慮采用混合模式?？梢詫⒑诵牡陌踩珨祿桶踩δ懿渴鹪诒镜兀瑢⒁恍┓呛诵牡陌踩δ懿渴鹪谠贫?，或者將云端作為本地ISOC的補充和擴展。

需要考慮的其他因素：

1. 專業的安全運營團隊。自建ISOC需要專業的安全團隊進行建設、運維和管理。如果企業缺乏專業的安全團隊，云端的ISOC或托管安全服務（MSSP）可能是更合適的選擇。
2. IT基礎設施和安全體系。企業要考慮IT基礎設施的規模和復雜程度，ISOC需要與現有的IT基礎設施進行集成。如果IT基礎設施龐大而復雜，本地自建ISOC的負載和成本會更高。并且ISOC需要與現有的安全設備和系統進行聯動。如果企業缺乏基本的安全設備和能力，ISOC可能無法有效地工作。
3. 數據安全性和合規性。對于數據安全和隱私保護有要求的企業（例如金融、醫療等行業），可能更傾向于本地自建ISOC，以保證數據的安全和可控。
4. 預算和成本。本地自建ISOC的前期投入較多，包括硬件、軟件、人力等方面的投入。SaaS化的ISOC通常采用訂閱模式，前期投入較低，但長期成本需要綜合考慮。
5. 定制化和靈活需求。不同的企業面臨不同的安全需求和合規需求，本地自建ISOC可以提供更高的定制化和靈活性，但需要更強的技術實力。云端的ISOC提供的功能通常是標準化的，定制化能力有限。并且本地自建通常更容易實現與其他內部系統進行深度集成。

企業在選擇ISOC部署模式時，需要綜合考慮并根據自身的實際情況做出最佳選擇。

問題4：如何轉變思路，從而獲得高層領導的支持？

在ISOC建設過程中，我們經常會遇到這樣的挑戰：如何讓領導充分了解ISOC的價值，并持續投入經費？ISOC建設需要資金的支持，如果無法證明ISOC的價值，就很難獲得領導的支持。要解決這個問題，我們需要轉變思路，從“技術驅動”轉變為“價值驅動”，用數據說話，用事實證明ISOC能夠為組織帶來真正的價值。

安全牛分析

領導關注的不是技術本身，而是技術能夠帶來的價值。讓我們用數據和事實，贏得領導的信任和支持，建議：

1. 明確指標量化：在ISOC建設之初，需要設定明確的量化指標，如事件響應時間、威脅監測率、運營成本降低等。這些指標應該與組織的業務目標相關聯，能夠清晰地反映ISOC的價值；
2. 持續測量效果：通過持續測量和分析，我們可以了解ISOC的實際效果，并及時調整優化?？梢远ㄆ诎l布ISOC的運營報告，向領導展示其成果和價值；
3. 可視化展示：將量化指標和分析結果以可視化的方式呈現，一目了然地了解ISOC的價值?？梢圆捎脠D表、儀表盤等方式，直觀地展示ISOC的運營情況；
4. 從點著手，逐步擴大：通過一個小而成功的案例，展示ISOC的潛力，并以此為基礎，逐步擴大應用范圍，爭取更多預算。可以選擇一些容易量化和展示的場景，如知識問答、事件溯源等；
5. 強調商業價值：不僅要強調ISOC的技術優勢，更要強調其商業價值。例如：ISOC可以提高安全運營效率，降低運營成本；可以提升威脅檢測能力，降低安全風險；可以增強客戶信任，提升品牌形象；
6. 構建安全運營成熟度模型：使用該模型來簡化組織在流程、技術和人員方面的成熟度。通過評估模型顯示持續性的改進，這對于獲得更多的預算和保持持續性改進至關重要。