目前各組織正積極升級SOC到智能化安全運營（ISOC），但是在建設(shè)ISOC過程中常遇到各種挑戰(zhàn)。針對這些挑戰(zhàn)，安全牛在 2025 年通過針對企業(yè)用戶和廠商的訪談?wù){(diào)研，匯總了以下常見問題，并提供了相應(yīng)的應(yīng)對建議：

問題1：企業(yè)現(xiàn)在是否應(yīng)該建設(shè)大而全的智能化安全運營平臺

在智能化安全運營（ISOC）建設(shè)過程中，我們經(jīng)常會遇到一個誤區(qū)，認為一定要建設(shè)一個龐大的、無所不能的AI平臺，才能實現(xiàn)安全運營的自動化。然而，由于AI技術(shù)應(yīng)用的不成熟，這種“大而全”的思路，往往會導致項目周期長、投入大、效果不明顯，甚至可能導致項目失敗。根據(jù)安全牛訪談，在實際項目中，更精細的場景可以解決AI的誤報等問題，快速體現(xiàn)AI的價值，建議ISOC建設(shè)不應(yīng)追求“大而全”，應(yīng)該“小步快跑”，“精而準”地快速實現(xiàn)急需解決的特定精細場景。

安全牛分析

AI在安全運營中的價值，智能化安全運營（ISOC）建設(shè)應(yīng)該“小步快跑”，不應(yīng)追求“大而全”，而是應(yīng)體現(xiàn)“精而準”。簡單來說，就是從最容易上手、能夠快速產(chǎn)生價值的場景入手，逐步推進ISOC建設(shè)。這種方法的核心思想是：擇那些能夠快速解決實際問題、提升安全運營效率的場景，逐個著手，逐步擴大應(yīng)用范圍，避免“一口吃個胖子”。然后通過不斷的反饋和優(yōu)化，不斷提升AI在安全運營中的應(yīng)用效果。比如知識問答、某類安全事件的溯源和自動化響應(yīng)。

由此帶來的好處是：

• 快速見效：小場景落地快，能夠快速展現(xiàn)ISOC的價值，增強團隊信心。通過實際的應(yīng)用案例，讓領(lǐng)導和同事看到AI在安全運營中的潛力；
• 降低風險：小步快跑，降低項目風險，避免“大而全”帶來的不確定性。可以在小范圍內(nèi)進行測試和驗證，及時發(fā)現(xiàn)和解決問題；
• 持續(xù)優(yōu)化：通過不斷地迭代和優(yōu)化小場景，我們可以逐步積累經(jīng)驗，為后續(xù)的ISOC建設(shè)打下堅實的基礎(chǔ)?？梢詫⒊晒Φ慕?jīng)驗復制到其他場景，逐步擴大AI的應(yīng)用范圍；
• 更精準的回報投資：可以在小場景中更輕松地確定投資回報率，可以更有效地申請到更多的預算。

問題2：在ISOC建設(shè)過程中會面臨哪些數(shù)據(jù)治理的挑戰(zhàn)

在ISOC建設(shè)的道路上，首先會遇到一個巨大的挑戰(zhàn)——數(shù)據(jù)治理。數(shù)據(jù)是ISOC的基礎(chǔ)，沒有高質(zhì)量的數(shù)據(jù)，自動化、智能化的安全運營就類似于空中樓閣。不僅如此，數(shù)據(jù)治理問題在現(xiàn)實中，往往比我們想象得要復雜。

我們經(jīng)常會遇到以下數(shù)據(jù)挑戰(zhàn)：

• 數(shù)據(jù)孤島問題：組織內(nèi)部通常配置來自不同廠商、不同型號的安全設(shè)備，這些設(shè)備產(chǎn)生的數(shù)據(jù)格式各不相同，彼此之間缺乏互通性，形成一個“數(shù)據(jù)孤島”；
• 數(shù)據(jù)質(zhì)量問題：安全設(shè)備產(chǎn)生的數(shù)據(jù)可能存在錯誤、缺失、重復等問題，這些質(zhì)量低的數(shù)據(jù)會嚴重影響人工智能的分析和判斷，導致誤報、漏報等情況；
• 數(shù)據(jù)量爆炸問題：隨著安全設(shè)備的普及和網(wǎng)絡(luò)流量的增長，安全數(shù)據(jù)量呈爆炸式增長。如何高效存儲、處理和分析海量數(shù)據(jù)，成為亟待解決的問題；
• 數(shù)據(jù)合規(guī)性問題：數(shù)據(jù)通常包含敏感信息，如用戶信息、業(yè)務(wù)數(shù)據(jù)等。在數(shù)據(jù)采集、存儲、處理和分析過程中，應(yīng)注意利用匿名、混淆等技術(shù)進行處理。

安全牛分析

因為組織往往忽視在規(guī)劃階段明確數(shù)據(jù)需求的重要性。沒有明確的目標，無法預知為什么需要哪些數(shù)據(jù)，也無法選擇合適的設(shè)備，到建設(shè)后期才發(fā)現(xiàn)數(shù)據(jù)中斷，往往為時已晚，成本高昂。數(shù)據(jù)是ISOC的基石，只有打好數(shù)據(jù)基礎(chǔ)，我們才能充分發(fā)揮AI的潛力，讓安全運營真正智能起來。

對此，安全牛建議：

• 規(guī)劃先行，目標明確：在ISOC建設(shè)之初，需充分了解自身的風險狀況和業(yè)務(wù)需求，明確需要哪些數(shù)據(jù)來支撐安全運營。例如：若需進行用戶行為分析，則需要設(shè)備能夠提供詳細的用戶日志，若需進行流量分析，則需要設(shè)備能夠提供全面的網(wǎng)絡(luò)流量數(shù)據(jù)；
• 設(shè)備選型、數(shù)據(jù)匹配：在選擇安全設(shè)備時，不僅要關(guān)注其功能，更要關(guān)注其數(shù)據(jù)輸出能力，確保能夠提供所需的數(shù)據(jù)。可以要求設(shè)備廠商提供詳細的數(shù)據(jù)字典，了解其數(shù)據(jù)格式和內(nèi)容；
• 數(shù)據(jù)治理，貫穿始終：數(shù)據(jù)治理不是一蹴而就的，而是一個持續(xù)的過程。要建立完善的數(shù)據(jù)治理體系，包括數(shù)據(jù)采集、存儲、清理、轉(zhuǎn)換、分析等階段。采用數(shù)據(jù)湖、數(shù)據(jù)倉庫等技術(shù)，實現(xiàn)數(shù)據(jù)的集中存儲和管理；
• 數(shù)據(jù)智能化：制定并采用通用的數(shù)據(jù)標準，實現(xiàn)不同設(shè)備和系統(tǒng)之間的數(shù)據(jù)交換和共享；
• 數(shù)據(jù)安全合規(guī)：建立完善的數(shù)據(jù)安全管理制度，確保數(shù)據(jù)在整個生命周期內(nèi)的安全性。

問題3：企業(yè)應(yīng)選擇本地還是云端的部署模式？

企業(yè)在建設(shè)智能化安全運營中心（ISOC）時，面臨的一個關(guān)鍵決策是選擇哪種部署模式：本地部署、云端或混合模式。不同的部署模式各有優(yōu)劣。

本地部署模式

本地部署可以更好地滿足其對數(shù)據(jù)安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發(fā)和集成。大型組織通常擁有龐大而復雜的自主IT基礎(chǔ)設(shè)施、完善的安全運營體系和專業(yè)的安全團隊，面臨復雜的安全威脅和嚴格的合規(guī)要求，安全預算相對充裕，對數(shù)據(jù)安全和可控性有更高的要求。建議對于具備以上特點的大型組織，本地部署可以更好地滿足其對數(shù)據(jù)安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發(fā)和集成。但是注意，本地部署ISOC的前期投入，需要專業(yè)的團隊進行建設(shè)和運維。

云端模式；

云端模式可以降低ISOC的建設(shè)和運維成本，并提供專業(yè)級的安全運營服務(wù)，中小型組織的特點是IT基礎(chǔ)設(shè)施相對簡單，安全團隊規(guī)模有限或缺乏，安全預算有限，對安全運營的專業(yè)性要求較高，但自身難以滿足。建議中小型組織選擇云端的ISOC通常是更經(jīng)濟、更高效的選擇，可以使中小型組織也能夠享受到先進的安全防護能力。

混合模式（本地+云）

混合模式結(jié)合本地部署和SaaS模式的優(yōu)點，可以根據(jù)不同的業(yè)務(wù)需求和安全需求，將不同的安全功能部署在本地或云端。建議對于一些大型組織，可以考慮采用混合模式?？梢詫⒑诵牡陌踩珨?shù)據(jù)和安全功能部署在本地，將一些非核心的安全功能部署在云端，或者將云端作為本地ISOC的補充和擴展。

需要考慮的其他因素：

1. 專業(yè)的安全運營團隊。自建ISOC需要專業(yè)的安全團隊進行建設(shè)、運維和管理。如果企業(yè)缺乏專業(yè)的安全團隊，云端的ISOC或托管安全服務(wù)（MSSP）可能是更合適的選擇。
2. IT基礎(chǔ)設(shè)施和安全體系。企業(yè)要考慮IT基礎(chǔ)設(shè)施的規(guī)模和復雜程度，ISOC需要與現(xiàn)有的IT基礎(chǔ)設(shè)施進行集成。如果IT基礎(chǔ)設(shè)施龐大而復雜，本地自建ISOC的負載和成本會更高。并且ISOC需要與現(xiàn)有的安全設(shè)備和系統(tǒng)進行聯(lián)動。如果企業(yè)缺乏基本的安全設(shè)備和能力，ISOC可能無法有效地工作。
3. 數(shù)據(jù)安全性和合規(guī)性。對于數(shù)據(jù)安全和隱私保護有要求的企業(yè)（例如金融、醫(yī)療等行業(yè)），可能更傾向于本地自建ISOC，以保證數(shù)據(jù)的安全和可控。
4. 預算和成本。本地自建ISOC的前期投入較多，包括硬件、軟件、人力等方面的投入。SaaS化的ISOC通常采用訂閱模式，前期投入較低，但長期成本需要綜合考慮。
5. 定制化和靈活需求。不同的企業(yè)面臨不同的安全需求和合規(guī)需求，本地自建ISOC可以提供更高的定制化和靈活性，但需要更強的技術(shù)實力。云端的ISOC提供的功能通常是標準化的，定制化能力有限。并且本地自建通常更容易實現(xiàn)與其他內(nèi)部系統(tǒng)進行深度集成。

企業(yè)在選擇ISOC部署模式時，需要綜合考慮并根據(jù)自身的實際情況做出最佳選擇。

問題4：如何轉(zhuǎn)變思路，從而獲得高層領(lǐng)導的支持？

在ISOC建設(shè)過程中，我們經(jīng)常會遇到這樣的挑戰(zhàn)：如何讓領(lǐng)導充分了解ISOC的價值，并持續(xù)投入經(jīng)費？ISOC建設(shè)需要資金的支持，如果無法證明ISOC的價值，就很難獲得領(lǐng)導的支持。要解決這個問題，我們需要轉(zhuǎn)變思路，從“技術(shù)驅(qū)動”轉(zhuǎn)變?yōu)椤皟r值驅(qū)動”，用數(shù)據(jù)說話，用事實證明ISOC能夠為組織帶來真正的價值。

安全牛分析

領(lǐng)導關(guān)注的不是技術(shù)本身，而是技術(shù)能夠帶來的價值。讓我們用數(shù)據(jù)和事實，贏得領(lǐng)導的信任和支持，建議：

1. 明確指標量化：在ISOC建設(shè)之初，需要設(shè)定明確的量化指標，如事件響應(yīng)時間、威脅監(jiān)測率、運營成本降低等。這些指標應(yīng)該與組織的業(yè)務(wù)目標相關(guān)聯(lián)，能夠清晰地反映ISOC的價值；
2. 持續(xù)測量效果：通過持續(xù)測量和分析，我們可以了解ISOC的實際效果，并及時調(diào)整優(yōu)化?？梢远ㄆ诎l(fā)布ISOC的運營報告，向領(lǐng)導展示其成果和價值；
3. 可視化展示：將量化指標和分析結(jié)果以可視化的方式呈現(xiàn)，一目了然地了解ISOC的價值?？梢圆捎脠D表、儀表盤等方式，直觀地展示ISOC的運營情況；
4. 從點著手，逐步擴大：通過一個小而成功的案例，展示ISOC的潛力，并以此為基礎(chǔ)，逐步擴大應(yīng)用范圍，爭取更多預算?？梢赃x擇一些容易量化和展示的場景，如知識問答、事件溯源等；
5. 強調(diào)商業(yè)價值：不僅要強調(diào)ISOC的技術(shù)優(yōu)勢，更要強調(diào)其商業(yè)價值。例如：ISOC可以提高安全運營效率，降低運營成本；可以提升威脅檢測能力，降低安全風險；可以增強客戶信任，提升品牌形象；
6. 構(gòu)建安全運營成熟度模型：使用該模型來簡化組織在流程、技術(shù)和人員方面的成熟度。通過評估模型顯示持續(xù)性的改進，這對于獲得更多的預算和保持持續(xù)性改進至關(guān)重要。