目前各組織正積極升級SOC到智能化安全運營(ISOC),但是在建設ISOC過程中常遇到各種挑戰。針對這些挑戰,安全牛在 2025 年通過針對企業用戶和廠商的訪談調研,匯總了以下常見問題,并提供了相應的應對建議:
問題1:企業現在是否應該建設大而全的智能化安全運營平臺
在智能化安全運營(ISOC)建設過程中,我們經常會遇到一個誤區,認為一定要建設一個龐大的、無所不能的AI平臺,才能實現安全運營的自動化。然而,由于AI技術應用的不成熟,這種“大而全”的思路,往往會導致項目周期長、投入大、效果不明顯,甚至可能導致項目失敗。根據安全牛訪談,在實際項目中,更精細的場景可以解決AI的誤報等問題,快速體現AI的價值,建議ISOC建設不應追求“大而全”,應該“小步快跑”,“精而準”地快速實現急需解決的特定精細場景。
安全牛分析
AI在安全運營中的價值,智能化安全運營(ISOC)建設應該“小步快跑”,不應追求“大而全”,而是應體現“精而準”。簡單來說,就是從最容易上手、能夠快速產生價值的場景入手,逐步推進ISOC建設。這種方法的核心思想是:擇那些能夠快速解決實際問題、提升安全運營效率的場景,逐個著手,逐步擴大應用范圍,避免“一口吃個胖子”。然后通過不斷的反饋和優化,不斷提升AI在安全運營中的應用效果。比如知識問答、某類安全事件的溯源和自動化響應。
由此帶來的好處是:
- 快速見效:小場景落地快,能夠快速展現ISOC的價值,增強團隊信心。通過實際的應用案例,讓領導和同事看到AI在安全運營中的潛力;
- 降低風險:小步快跑,降低項目風險,避免“大而全”帶來的不確定性。可以在小范圍內進行測試和驗證,及時發現和解決問題;
- 持續優化:通過不斷地迭代和優化小場景,我們可以逐步積累經驗,為后續的ISOC建設打下堅實的基礎。可以將成功的經驗復制到其他場景,逐步擴大AI的應用范圍;
- 更精準的回報投資:可以在小場景中更輕松地確定投資回報率,可以更有效地申請到更多的預算。
問題2:在ISOC建設過程中會面臨哪些數據治理的挑戰
在ISOC建設的道路上,首先會遇到一個巨大的挑戰——數據治理。數據是ISOC的基礎,沒有高質量的數據,自動化、智能化的安全運營就類似于空中樓閣。不僅如此,數據治理問題在現實中,往往比我們想象得要復雜。
我們經常會遇到以下數據挑戰:
- 數據孤島問題:組織內部通常配置來自不同廠商、不同型號的安全設備,這些設備產生的數據格式各不相同,彼此之間缺乏互通性,形成一個“數據孤島”;
- 數據質量問題:安全設備產生的數據可能存在錯誤、缺失、重復等問題,這些質量低的數據會嚴重影響人工智能的分析和判斷,導致誤報、漏報等情況;
- 數據量爆炸問題:隨著安全設備的普及和網絡流量的增長,安全數據量呈爆炸式增長。如何高效存儲、處理和分析海量數據,成為亟待解決的問題;
- 數據合規性問題:數據通常包含敏感信息,如用戶信息、業務數據等。在數據采集、存儲、處理和分析過程中,應注意利用匿名、混淆等技術進行處理。
安全牛分析
因為組織往往忽視在規劃階段明確數據需求的重要性。沒有明確的目標,無法預知為什么需要哪些數據,也無法選擇合適的設備,到建設后期才發現數據中斷,往往為時已晚,成本高昂。數據是ISOC的基石,只有打好數據基礎,我們才能充分發揮AI的潛力,讓安全運營真正智能起來。
對此,安全牛建議:
- 規劃先行,目標明確:在ISOC建設之初,需充分了解自身的風險狀況和業務需求,明確需要哪些數據來支撐安全運營。例如:若需進行用戶行為分析,則需要設備能夠提供詳細的用戶日志,若需進行流量分析,則需要設備能夠提供全面的網絡流量數據;
- 設備選型、數據匹配:在選擇安全設備時,不僅要關注其功能,更要關注其數據輸出能力,確保能夠提供所需的數據。可以要求設備廠商提供詳細的數據字典,了解其數據格式和內容;
- 數據治理,貫穿始終:數據治理不是一蹴而就的,而是一個持續的過程。要建立完善的數據治理體系,包括數據采集、存儲、清理、轉換、分析等階段。采用數據湖、數據倉庫等技術,實現數據的集中存儲和管理;
- 數據智能化:制定并采用通用的數據標準,實現不同設備和系統之間的數據交換和共享;
- 數據安全合規:建立完善的數據安全管理制度,確保數據在整個生命周期內的安全性。
問題3:企業應選擇本地還是云端的部署模式?
企業在建設智能化安全運營中心(ISOC)時,面臨的一個關鍵決策是選擇哪種部署模式:本地部署、云端或混合模式。不同的部署模式各有優劣。
本地部署模式
本地部署可以更好地滿足其對數據安全、隱私保護和自主可控的要求,并能夠更靈活地進行定制化開發和集成。大型組織通常擁有龐大而復雜的自主IT基礎設施、完善的安全運營體系和專業的安全團隊,面臨復雜的安全威脅和嚴格的合規要求,安全預算相對充裕,對數據安全和可控性有更高的要求。建議對于具備以上特點的大型組織,本地部署可以更好地滿足其對數據安全、隱私保護和自主可控的要求,并能夠更靈活地進行定制化開發和集成。但是注意,本地部署ISOC的前期投入,需要專業的團隊進行建設和運維。
云端模式;
云端模式可以降低ISOC的建設和運維成本,并提供專業級的安全運營服務,中小型組織的特點是IT基礎設施相對簡單,安全團隊規模有限或缺乏,安全預算有限,對安全運營的專業性要求較高,但自身難以滿足。建議中小型組織選擇云端的ISOC通常是更經濟、更高效的選擇,可以使中小型組織也能夠享受到先進的安全防護能力。
混合模式(本地+云)
混合模式結合本地部署和SaaS模式的優點,可以根據不同的業務需求和安全需求,將不同的安全功能部署在本地或云端。建議對于一些大型組織,可以考慮采用混合模式。可以將核心的安全數據和安全功能部署在本地,將一些非核心的安全功能部署在云端,或者將云端作為本地ISOC的補充和擴展。
需要考慮的其他因素:
- 專業的安全運營團隊。自建ISOC需要專業的安全團隊進行建設、運維和管理。如果企業缺乏專業的安全團隊,云端的ISOC或托管安全服務(MSSP)可能是更合適的選擇。
- IT基礎設施和安全體系。企業要考慮IT基礎設施的規模和復雜程度,ISOC需要與現有的IT基礎設施進行集成。如果IT基礎設施龐大而復雜,本地自建ISOC的負載和成本會更高。并且ISOC需要與現有的安全設備和系統進行聯動。如果企業缺乏基本的安全設備和能力,ISOC可能無法有效地工作。
- 數據安全性和合規性。對于數據安全和隱私保護有要求的企業(例如金融、醫療等行業),可能更傾向于本地自建ISOC,以保證數據的安全和可控。
- 預算和成本。本地自建ISOC的前期投入較多,包括硬件、軟件、人力等方面的投入。SaaS化的ISOC通常采用訂閱模式,前期投入較低,但長期成本需要綜合考慮。
- 定制化和靈活需求。不同的企業面臨不同的安全需求和合規需求,本地自建ISOC可以提供更高的定制化和靈活性,但需要更強的技術實力。云端的ISOC提供的功能通常是標準化的,定制化能力有限。并且本地自建通常更容易實現與其他內部系統進行深度集成。
企業在選擇ISOC部署模式時,需要綜合考慮并根據自身的實際情況做出最佳選擇。
問題4:如何轉變思路,從而獲得高層領導的支持?
在ISOC建設過程中,我們經常會遇到這樣的挑戰:如何讓領導充分了解ISOC的價值,并持續投入經費?ISOC建設需要資金的支持,如果無法證明ISOC的價值,就很難獲得領導的支持。要解決這個問題,我們需要轉變思路,從“技術驅動”轉變為“價值驅動”,用數據說話,用事實證明ISOC能夠為組織帶來真正的價值。
安全牛分析
領導關注的不是技術本身,而是技術能夠帶來的價值。讓我們用數據和事實,贏得領導的信任和支持,建議:
- 明確指標量化:在ISOC建設之初,需要設定明確的量化指標,如事件響應時間、威脅監測率、運營成本降低等。這些指標應該與組織的業務目標相關聯,能夠清晰地反映ISOC的價值;
- 持續測量效果:通過持續測量和分析,我們可以了解ISOC的實際效果,并及時調整優化。可以定期發布ISOC的運營報告,向領導展示其成果和價值;
- 可視化展示:將量化指標和分析結果以可視化的方式呈現,一目了然地了解ISOC的價值。可以采用圖表、儀表盤等方式,直觀地展示ISOC的運營情況;
- 從點著手,逐步擴大:通過一個小而成功的案例,展示ISOC的潛力,并以此為基礎,逐步擴大應用范圍,爭取更多預算。可以選擇一些容易量化和展示的場景,如知識問答、事件溯源等;
- 強調商業價值:不僅要強調ISOC的技術優勢,更要強調其商業價值。例如:ISOC可以提高安全運營效率,降低運營成本;可以提升威脅檢測能力,降低安全風險;可以增強客戶信任,提升品牌形象;
- 構建安全運營成熟度模型:使用該模型來簡化組織在流程、技術和人員方面的成熟度。通過評估模型顯示持續性的改進,這對于獲得更多的預算和保持持續性改進至關重要。