目前各組織正積極升級SOC到智能化安全運營（ISOC），但是在建設ISOC過程中常遇到各種挑戰(zhàn)。針對這些挑戰(zhàn)，安全牛在 2025 年通過針對企業(yè)用戶和廠商的訪談調研，匯總了以下常見問題，并提供了相應的應對建議：

問題1：企業(yè)現(xiàn)在是否應該建設大而全的智能化安全運營平臺

在智能化安全運營（ISOC）建設過程中，我們經常會遇到一個誤區(qū)，認為一定要建設一個龐大的、無所不能的AI平臺，才能實現(xiàn)安全運營的自動化。然而，由于AI技術應用的不成熟，這種“大而全”的思路，往往會導致項目周期長、投入大、效果不明顯，甚至可能導致項目失敗。根據安全牛訪談，在實際項目中，更精細的場景可以解決AI的誤報等問題，快速體現(xiàn)AI的價值，建議ISOC建設不應追求“大而全”，應該“小步快跑”，“精而準”地快速實現(xiàn)急需解決的特定精細場景。

安全牛分析

AI在安全運營中的價值，智能化安全運營（ISOC）建設應該“小步快跑”，不應追求“大而全”，而是應體現(xiàn)“精而準”。簡單來說，就是從最容易上手、能夠快速產生價值的場景入手，逐步推進ISOC建設。這種方法的核心思想是：擇那些能夠快速解決實際問題、提升安全運營效率的場景，逐個著手，逐步擴大應用范圍，避免“一口吃個胖子”。然后通過不斷的反饋和優(yōu)化，不斷提升AI在安全運營中的應用效果。比如知識問答、某類安全事件的溯源和自動化響應。

由此帶來的好處是：

• 快速見效：小場景落地快，能夠快速展現(xiàn)ISOC的價值，增強團隊信心。通過實際的應用案例，讓領導和同事看到AI在安全運營中的潛力；
• 降低風險：小步快跑，降低項目風險，避免“大而全”帶來的不確定性?？梢栽谛》秶鷥冗M行測試和驗證，及時發(fā)現(xiàn)和解決問題；
• 持續(xù)優(yōu)化：通過不斷地迭代和優(yōu)化小場景，我們可以逐步積累經驗，為后續(xù)的ISOC建設打下堅實的基礎?？梢詫⒊晒Φ慕涷瀼椭频狡渌麍鼍埃鸩綌U大AI的應用范圍；
• 更精準的回報投資：可以在小場景中更輕松地確定投資回報率，可以更有效地申請到更多的預算。

問題2：在ISOC建設過程中會面臨哪些數(shù)據治理的挑戰(zhàn)

在ISOC建設的道路上，首先會遇到一個巨大的挑戰(zhàn)——數(shù)據治理。數(shù)據是ISOC的基礎，沒有高質量的數(shù)據，自動化、智能化的安全運營就類似于空中樓閣。不僅如此，數(shù)據治理問題在現(xiàn)實中，往往比我們想象得要復雜。

我們經常會遇到以下數(shù)據挑戰(zhàn)：

• 數(shù)據孤島問題：組織內部通常配置來自不同廠商、不同型號的安全設備，這些設備產生的數(shù)據格式各不相同，彼此之間缺乏互通性，形成一個“數(shù)據孤島”；
• 數(shù)據質量問題：安全設備產生的數(shù)據可能存在錯誤、缺失、重復等問題，這些質量低的數(shù)據會嚴重影響人工智能的分析和判斷，導致誤報、漏報等情況；
• 數(shù)據量爆炸問題：隨著安全設備的普及和網絡流量的增長，安全數(shù)據量呈爆炸式增長。如何高效存儲、處理和分析海量數(shù)據，成為亟待解決的問題；
• 數(shù)據合規(guī)性問題：數(shù)據通常包含敏感信息，如用戶信息、業(yè)務數(shù)據等。在數(shù)據采集、存儲、處理和分析過程中，應注意利用匿名、混淆等技術進行處理。

安全牛分析

因為組織往往忽視在規(guī)劃階段明確數(shù)據需求的重要性。沒有明確的目標，無法預知為什么需要哪些數(shù)據，也無法選擇合適的設備，到建設后期才發(fā)現(xiàn)數(shù)據中斷，往往為時已晚，成本高昂。數(shù)據是ISOC的基石，只有打好數(shù)據基礎，我們才能充分發(fā)揮AI的潛力，讓安全運營真正智能起來。

對此，安全牛建議：

• 規(guī)劃先行，目標明確：在ISOC建設之初，需充分了解自身的風險狀況和業(yè)務需求，明確需要哪些數(shù)據來支撐安全運營。例如：若需進行用戶行為分析，則需要設備能夠提供詳細的用戶日志，若需進行流量分析，則需要設備能夠提供全面的網絡流量數(shù)據；
• 設備選型、數(shù)據匹配：在選擇安全設備時，不僅要關注其功能，更要關注其數(shù)據輸出能力，確保能夠提供所需的數(shù)據?？梢砸笤O備廠商提供詳細的數(shù)據字典，了解其數(shù)據格式和內容；
• 數(shù)據治理，貫穿始終：數(shù)據治理不是一蹴而就的，而是一個持續(xù)的過程。要建立完善的數(shù)據治理體系，包括數(shù)據采集、存儲、清理、轉換、分析等階段。采用數(shù)據湖、數(shù)據倉庫等技術，實現(xiàn)數(shù)據的集中存儲和管理；
• 數(shù)據智能化：制定并采用通用的數(shù)據標準，實現(xiàn)不同設備和系統(tǒng)之間的數(shù)據交換和共享；
• 數(shù)據安全合規(guī)：建立完善的數(shù)據安全管理制度，確保數(shù)據在整個生命周期內的安全性。

問題3：企業(yè)應選擇本地還是云端的部署模式？

企業(yè)在建設智能化安全運營中心（ISOC）時，面臨的一個關鍵決策是選擇哪種部署模式：本地部署、云端或混合模式。不同的部署模式各有優(yōu)劣。

本地部署模式

本地部署可以更好地滿足其對數(shù)據安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發(fā)和集成。大型組織通常擁有龐大而復雜的自主IT基礎設施、完善的安全運營體系和專業(yè)的安全團隊，面臨復雜的安全威脅和嚴格的合規(guī)要求，安全預算相對充裕，對數(shù)據安全和可控性有更高的要求。建議對于具備以上特點的大型組織，本地部署可以更好地滿足其對數(shù)據安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發(fā)和集成。但是注意，本地部署ISOC的前期投入，需要專業(yè)的團隊進行建設和運維。

云端模式；

云端模式可以降低ISOC的建設和運維成本，并提供專業(yè)級的安全運營服務，中小型組織的特點是IT基礎設施相對簡單，安全團隊規(guī)模有限或缺乏，安全預算有限，對安全運營的專業(yè)性要求較高，但自身難以滿足。建議中小型組織選擇云端的ISOC通常是更經濟、更高效的選擇，可以使中小型組織也能夠享受到先進的安全防護能力。

混合模式（本地+云）

混合模式結合本地部署和SaaS模式的優(yōu)點，可以根據不同的業(yè)務需求和安全需求，將不同的安全功能部署在本地或云端。建議對于一些大型組織，可以考慮采用混合模式?？梢詫⒑诵牡陌踩珨?shù)據和安全功能部署在本地，將一些非核心的安全功能部署在云端，或者將云端作為本地ISOC的補充和擴展。

需要考慮的其他因素：

1. 專業(yè)的安全運營團隊。自建ISOC需要專業(yè)的安全團隊進行建設、運維和管理。如果企業(yè)缺乏專業(yè)的安全團隊，云端的ISOC或托管安全服務（MSSP）可能是更合適的選擇。
2. IT基礎設施和安全體系。企業(yè)要考慮IT基礎設施的規(guī)模和復雜程度，ISOC需要與現(xiàn)有的IT基礎設施進行集成。如果IT基礎設施龐大而復雜，本地自建ISOC的負載和成本會更高。并且ISOC需要與現(xiàn)有的安全設備和系統(tǒng)進行聯(lián)動。如果企業(yè)缺乏基本的安全設備和能力，ISOC可能無法有效地工作。
3. 數(shù)據安全性和合規(guī)性。對于數(shù)據安全和隱私保護有要求的企業(yè)（例如金融、醫(yī)療等行業(yè)），可能更傾向于本地自建ISOC，以保證數(shù)據的安全和可控。
4. 預算和成本。本地自建ISOC的前期投入較多，包括硬件、軟件、人力等方面的投入。SaaS化的ISOC通常采用訂閱模式，前期投入較低，但長期成本需要綜合考慮。
5. 定制化和靈活需求。不同的企業(yè)面臨不同的安全需求和合規(guī)需求，本地自建ISOC可以提供更高的定制化和靈活性，但需要更強的技術實力。云端的ISOC提供的功能通常是標準化的，定制化能力有限。并且本地自建通常更容易實現(xiàn)與其他內部系統(tǒng)進行深度集成。

企業(yè)在選擇ISOC部署模式時，需要綜合考慮并根據自身的實際情況做出最佳選擇。

問題4：如何轉變思路，從而獲得高層領導的支持？

在ISOC建設過程中，我們經常會遇到這樣的挑戰(zhàn)：如何讓領導充分了解ISOC的價值，并持續(xù)投入經費？ISOC建設需要資金的支持，如果無法證明ISOC的價值，就很難獲得領導的支持。要解決這個問題，我們需要轉變思路，從“技術驅動”轉變?yōu)椤皟r值驅動”，用數(shù)據說話，用事實證明ISOC能夠為組織帶來真正的價值。

安全牛分析

領導關注的不是技術本身，而是技術能夠帶來的價值。讓我們用數(shù)據和事實，贏得領導的信任和支持，建議：

1. 明確指標量化：在ISOC建設之初，需要設定明確的量化指標，如事件響應時間、威脅監(jiān)測率、運營成本降低等。這些指標應該與組織的業(yè)務目標相關聯(lián)，能夠清晰地反映ISOC的價值；
2. 持續(xù)測量效果：通過持續(xù)測量和分析，我們可以了解ISOC的實際效果，并及時調整優(yōu)化?？梢远ㄆ诎l(fā)布ISOC的運營報告，向領導展示其成果和價值；
3. 可視化展示：將量化指標和分析結果以可視化的方式呈現(xiàn)，一目了然地了解ISOC的價值。可以采用圖表、儀表盤等方式，直觀地展示ISOC的運營情況；
4. 從點著手，逐步擴大：通過一個小而成功的案例，展示ISOC的潛力，并以此為基礎，逐步擴大應用范圍，爭取更多預算?？梢赃x擇一些容易量化和展示的場景，如知識問答、事件溯源等；
5. 強調商業(yè)價值：不僅要強調ISOC的技術優(yōu)勢，更要強調其商業(yè)價值。例如：ISOC可以提高安全運營效率，降低運營成本；可以提升威脅檢測能力，降低安全風險；可以增強客戶信任，提升品牌形象；
6. 構建安全運營成熟度模型：使用該模型來簡化組織在流程、技術和人員方面的成熟度。通過評估模型顯示持續(xù)性的改進，這對于獲得更多的預算和保持持續(xù)性改進至關重要。