目前各組織正積極升級SOC到智能化安全運(yùn)營（ISOC），但是在建設(shè)ISOC過程中常遇到各種挑戰(zhàn)。針對這些挑戰(zhàn)，安全牛在 2025 年通過針對企業(yè)用戶和廠商的訪談?wù){(diào)研，匯總了以下常見問題，并提供了相應(yīng)的應(yīng)對建議：

問題1：企業(yè)現(xiàn)在是否應(yīng)該建設(shè)大而全的智能化安全運(yùn)營平臺

在智能化安全運(yùn)營（ISOC）建設(shè)過程中，我們經(jīng)常會遇到一個誤區(qū)，認(rèn)為一定要建設(shè)一個龐大的、無所不能的AI平臺，才能實(shí)現(xiàn)安全運(yùn)營的自動化。然而，由于AI技術(shù)應(yīng)用的不成熟，這種“大而全”的思路，往往會導(dǎo)致項(xiàng)目周期長、投入大、效果不明顯，甚至可能導(dǎo)致項(xiàng)目失敗。根據(jù)安全牛訪談，在實(shí)際項(xiàng)目中，更精細(xì)的場景可以解決AI的誤報等問題，快速體現(xiàn)AI的價值，建議ISOC建設(shè)不應(yīng)追求“大而全”，應(yīng)該“小步快跑”，“精而準(zhǔn)”地快速實(shí)現(xiàn)急需解決的特定精細(xì)場景。

安全牛分析

AI在安全運(yùn)營中的價值，智能化安全運(yùn)營（ISOC）建設(shè)應(yīng)該“小步快跑”，不應(yīng)追求“大而全”，而是應(yīng)體現(xiàn)“精而準(zhǔn)”。簡單來說，就是從最容易上手、能夠快速產(chǎn)生價值的場景入手，逐步推進(jìn)ISOC建設(shè)。這種方法的核心思想是：擇那些能夠快速解決實(shí)際問題、提升安全運(yùn)營效率的場景，逐個著手，逐步擴(kuò)大應(yīng)用范圍，避免“一口吃個胖子”。然后通過不斷的反饋和優(yōu)化，不斷提升AI在安全運(yùn)營中的應(yīng)用效果。比如知識問答、某類安全事件的溯源和自動化響應(yīng)。

由此帶來的好處是：

• 快速見效：小場景落地快，能夠快速展現(xiàn)ISOC的價值，增強(qiáng)團(tuán)隊(duì)信心。通過實(shí)際的應(yīng)用案例，讓領(lǐng)導(dǎo)和同事看到AI在安全運(yùn)營中的潛力；
• 降低風(fēng)險：小步快跑，降低項(xiàng)目風(fēng)險，避免“大而全”帶來的不確定性。可以在小范圍內(nèi)進(jìn)行測試和驗(yàn)證，及時發(fā)現(xiàn)和解決問題；
• 持續(xù)優(yōu)化：通過不斷地迭代和優(yōu)化小場景，我們可以逐步積累經(jīng)驗(yàn)，為后續(xù)的ISOC建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)?？梢詫⒊晒Φ慕?jīng)驗(yàn)復(fù)制到其他場景，逐步擴(kuò)大AI的應(yīng)用范圍；
• 更精準(zhǔn)的回報投資：可以在小場景中更輕松地確定投資回報率，可以更有效地申請到更多的預(yù)算。

問題2：在ISOC建設(shè)過程中會面臨哪些數(shù)據(jù)治理的挑戰(zhàn)

在ISOC建設(shè)的道路上，首先會遇到一個巨大的挑戰(zhàn)——數(shù)據(jù)治理。數(shù)據(jù)是ISOC的基礎(chǔ)，沒有高質(zhì)量的數(shù)據(jù)，自動化、智能化的安全運(yùn)營就類似于空中樓閣。不僅如此，數(shù)據(jù)治理問題在現(xiàn)實(shí)中，往往比我們想象得要復(fù)雜。

我們經(jīng)常會遇到以下數(shù)據(jù)挑戰(zhàn)：

• 數(shù)據(jù)孤島問題：組織內(nèi)部通常配置來自不同廠商、不同型號的安全設(shè)備，這些設(shè)備產(chǎn)生的數(shù)據(jù)格式各不相同，彼此之間缺乏互通性，形成一個“數(shù)據(jù)孤島”；
• 數(shù)據(jù)質(zhì)量問題：安全設(shè)備產(chǎn)生的數(shù)據(jù)可能存在錯誤、缺失、重復(fù)等問題，這些質(zhì)量低的數(shù)據(jù)會嚴(yán)重影響人工智能的分析和判斷，導(dǎo)致誤報、漏報等情況；
• 數(shù)據(jù)量爆炸問題：隨著安全設(shè)備的普及和網(wǎng)絡(luò)流量的增長，安全數(shù)據(jù)量呈爆炸式增長。如何高效存儲、處理和分析海量數(shù)據(jù)，成為亟待解決的問題；
• 數(shù)據(jù)合規(guī)性問題：數(shù)據(jù)通常包含敏感信息，如用戶信息、業(yè)務(wù)數(shù)據(jù)等。在數(shù)據(jù)采集、存儲、處理和分析過程中，應(yīng)注意利用匿名、混淆等技術(shù)進(jìn)行處理。

安全牛分析

因?yàn)榻M織往往忽視在規(guī)劃階段明確數(shù)據(jù)需求的重要性。沒有明確的目標(biāo)，無法預(yù)知為什么需要哪些數(shù)據(jù)，也無法選擇合適的設(shè)備，到建設(shè)后期才發(fā)現(xiàn)數(shù)據(jù)中斷，往往為時已晚，成本高昂。數(shù)據(jù)是ISOC的基石，只有打好數(shù)據(jù)基礎(chǔ)，我們才能充分發(fā)揮AI的潛力，讓安全運(yùn)營真正智能起來。

對此，安全牛建議：

• 規(guī)劃先行，目標(biāo)明確：在ISOC建設(shè)之初，需充分了解自身的風(fēng)險狀況和業(yè)務(wù)需求，明確需要哪些數(shù)據(jù)來支撐安全運(yùn)營。例如：若需進(jìn)行用戶行為分析，則需要設(shè)備能夠提供詳細(xì)的用戶日志，若需進(jìn)行流量分析，則需要設(shè)備能夠提供全面的網(wǎng)絡(luò)流量數(shù)據(jù)；
• 設(shè)備選型、數(shù)據(jù)匹配：在選擇安全設(shè)備時，不僅要關(guān)注其功能，更要關(guān)注其數(shù)據(jù)輸出能力，確保能夠提供所需的數(shù)據(jù)。可以要求設(shè)備廠商提供詳細(xì)的數(shù)據(jù)字典，了解其數(shù)據(jù)格式和內(nèi)容；
• 數(shù)據(jù)治理，貫穿始終：數(shù)據(jù)治理不是一蹴而就的，而是一個持續(xù)的過程。要建立完善的數(shù)據(jù)治理體系，包括數(shù)據(jù)采集、存儲、清理、轉(zhuǎn)換、分析等階段。采用數(shù)據(jù)湖、數(shù)據(jù)倉庫等技術(shù)，實(shí)現(xiàn)數(shù)據(jù)的集中存儲和管理；
• 數(shù)據(jù)智能化：制定并采用通用的數(shù)據(jù)標(biāo)準(zhǔn)，實(shí)現(xiàn)不同設(shè)備和系統(tǒng)之間的數(shù)據(jù)交換和共享；
• 數(shù)據(jù)安全合規(guī)：建立完善的數(shù)據(jù)安全管理制度，確保數(shù)據(jù)在整個生命周期內(nèi)的安全性。

問題3：企業(yè)應(yīng)選擇本地還是云端的部署模式？

企業(yè)在建設(shè)智能化安全運(yùn)營中心（ISOC）時，面臨的一個關(guān)鍵決策是選擇哪種部署模式：本地部署、云端或混合模式。不同的部署模式各有優(yōu)劣。

本地部署模式

本地部署可以更好地滿足其對數(shù)據(jù)安全、隱私保護(hù)和自主可控的要求，并能夠更靈活地進(jìn)行定制化開發(fā)和集成。大型組織通常擁有龐大而復(fù)雜的自主IT基礎(chǔ)設(shè)施、完善的安全運(yùn)營體系和專業(yè)的安全團(tuán)隊(duì)，面臨復(fù)雜的安全威脅和嚴(yán)格的合規(guī)要求，安全預(yù)算相對充裕，對數(shù)據(jù)安全和可控性有更高的要求。建議對于具備以上特點(diǎn)的大型組織，本地部署可以更好地滿足其對數(shù)據(jù)安全、隱私保護(hù)和自主可控的要求，并能夠更靈活地進(jìn)行定制化開發(fā)和集成。但是注意，本地部署ISOC的前期投入，需要專業(yè)的團(tuán)隊(duì)進(jìn)行建設(shè)和運(yùn)維。

云端模式；

云端模式可以降低ISOC的建設(shè)和運(yùn)維成本，并提供專業(yè)級的安全運(yùn)營服務(wù)，中小型組織的特點(diǎn)是IT基礎(chǔ)設(shè)施相對簡單，安全團(tuán)隊(duì)規(guī)模有限或缺乏，安全預(yù)算有限，對安全運(yùn)營的專業(yè)性要求較高，但自身難以滿足。建議中小型組織選擇云端的ISOC通常是更經(jīng)濟(jì)、更高效的選擇，可以使中小型組織也能夠享受到先進(jìn)的安全防護(hù)能力。

混合模式（本地+云）

混合模式結(jié)合本地部署和SaaS模式的優(yōu)點(diǎn)，可以根據(jù)不同的業(yè)務(wù)需求和安全需求，將不同的安全功能部署在本地或云端。建議對于一些大型組織，可以考慮采用混合模式。可以將核心的安全數(shù)據(jù)和安全功能部署在本地，將一些非核心的安全功能部署在云端，或者將云端作為本地ISOC的補(bǔ)充和擴(kuò)展。

需要考慮的其他因素：

1. 專業(yè)的安全運(yùn)營團(tuán)隊(duì)。自建ISOC需要專業(yè)的安全團(tuán)隊(duì)進(jìn)行建設(shè)、運(yùn)維和管理。如果企業(yè)缺乏專業(yè)的安全團(tuán)隊(duì)，云端的ISOC或托管安全服務(wù)（MSSP）可能是更合適的選擇。
2. IT基礎(chǔ)設(shè)施和安全體系。企業(yè)要考慮IT基礎(chǔ)設(shè)施的規(guī)模和復(fù)雜程度，ISOC需要與現(xiàn)有的IT基礎(chǔ)設(shè)施進(jìn)行集成。如果IT基礎(chǔ)設(shè)施龐大而復(fù)雜，本地自建ISOC的負(fù)載和成本會更高。并且ISOC需要與現(xiàn)有的安全設(shè)備和系統(tǒng)進(jìn)行聯(lián)動。如果企業(yè)缺乏基本的安全設(shè)備和能力，ISOC可能無法有效地工作。
3. 數(shù)據(jù)安全性和合規(guī)性。對于數(shù)據(jù)安全和隱私保護(hù)有要求的企業(yè)（例如金融、醫(yī)療等行業(yè)），可能更傾向于本地自建ISOC，以保證數(shù)據(jù)的安全和可控。
4. 預(yù)算和成本。本地自建ISOC的前期投入較多，包括硬件、軟件、人力等方面的投入。SaaS化的ISOC通常采用訂閱模式，前期投入較低，但長期成本需要綜合考慮。
5. 定制化和靈活需求。不同的企業(yè)面臨不同的安全需求和合規(guī)需求，本地自建ISOC可以提供更高的定制化和靈活性，但需要更強(qiáng)的技術(shù)實(shí)力。云端的ISOC提供的功能通常是標(biāo)準(zhǔn)化的，定制化能力有限。并且本地自建通常更容易實(shí)現(xiàn)與其他內(nèi)部系統(tǒng)進(jìn)行深度集成。

企業(yè)在選擇ISOC部署模式時，需要綜合考慮并根據(jù)自身的實(shí)際情況做出最佳選擇。

問題4：如何轉(zhuǎn)變思路，從而獲得高層領(lǐng)導(dǎo)的支持？

在ISOC建設(shè)過程中，我們經(jīng)常會遇到這樣的挑戰(zhàn)：如何讓領(lǐng)導(dǎo)充分了解ISOC的價值，并持續(xù)投入經(jīng)費(fèi)？ISOC建設(shè)需要資金的支持，如果無法證明ISOC的價值，就很難獲得領(lǐng)導(dǎo)的支持。要解決這個問題，我們需要轉(zhuǎn)變思路，從“技術(shù)驅(qū)動”轉(zhuǎn)變?yōu)椤皟r值驅(qū)動”，用數(shù)據(jù)說話，用事實(shí)證明ISOC能夠?yàn)榻M織帶來真正的價值。

安全牛分析

領(lǐng)導(dǎo)關(guān)注的不是技術(shù)本身，而是技術(shù)能夠帶來的價值。讓我們用數(shù)據(jù)和事實(shí)，贏得領(lǐng)導(dǎo)的信任和支持，建議：

1. 明確指標(biāo)量化：在ISOC建設(shè)之初，需要設(shè)定明確的量化指標(biāo)，如事件響應(yīng)時間、威脅監(jiān)測率、運(yùn)營成本降低等。這些指標(biāo)應(yīng)該與組織的業(yè)務(wù)目標(biāo)相關(guān)聯(lián)，能夠清晰地反映ISOC的價值；
2. 持續(xù)測量效果：通過持續(xù)測量和分析，我們可以了解ISOC的實(shí)際效果，并及時調(diào)整優(yōu)化?？梢远ㄆ诎l(fā)布ISOC的運(yùn)營報告，向領(lǐng)導(dǎo)展示其成果和價值；
3. 可視化展示：將量化指標(biāo)和分析結(jié)果以可視化的方式呈現(xiàn)，一目了然地了解ISOC的價值?？梢圆捎脠D表、儀表盤等方式，直觀地展示ISOC的運(yùn)營情況；
4. 從點(diǎn)著手，逐步擴(kuò)大：通過一個小而成功的案例，展示ISOC的潛力，并以此為基礎(chǔ)，逐步擴(kuò)大應(yīng)用范圍，爭取更多預(yù)算?？梢赃x擇一些容易量化和展示的場景，如知識問答、事件溯源等；
5. 強(qiáng)調(diào)商業(yè)價值：不僅要強(qiáng)調(diào)ISOC的技術(shù)優(yōu)勢，更要強(qiáng)調(diào)其商業(yè)價值。例如：ISOC可以提高安全運(yùn)營效率，降低運(yùn)營成本；可以提升威脅檢測能力，降低安全風(fēng)險；可以增強(qiáng)客戶信任，提升品牌形象；
6. 構(gòu)建安全運(yùn)營成熟度模型：使用該模型來簡化組織在流程、技術(shù)和人員方面的成熟度。通過評估模型顯示持續(xù)性的改進(jìn)，這對于獲得更多的預(yù)算和保持持續(xù)性改進(jìn)至關(guān)重要。