安全運(yùn)營(yíng)（SecOps）是一個(gè)很泛化的概念。在最廣泛意義上，可以把安全運(yùn)營(yíng)看作是持續(xù)不斷地保障目標(biāo)網(wǎng)絡(luò)安全平穩(wěn)運(yùn)行，達(dá)成組織業(yè)務(wù)戰(zhàn)略目標(biāo)的永續(xù)過(guò)程，以及在這個(gè)過(guò)程中開展的各項(xiàng)運(yùn)營(yíng)工作。

從狹義上來(lái)看，安全運(yùn)營(yíng)的主要工作是威脅事件的運(yùn)營(yíng)以及圍繞這個(gè)威脅事件運(yùn)營(yíng)延伸出來(lái)的資產(chǎn)、漏洞、情報(bào)等等一系列配套運(yùn)營(yíng)工作。Gartner將安全運(yùn)營(yíng)定義為一個(gè)“通過(guò)一套人、流程和技術(shù)來(lái)識(shí)別和管理暴露、監(jiān)測(cè)、檢測(cè)和響應(yīng)網(wǎng)絡(luò)安全威脅與事件，以增加網(wǎng)絡(luò)彈性”的過(guò)程。

安全運(yùn)營(yíng)中心（SOC）作為一個(gè)組織單元，工作內(nèi)容更加聚焦，基本圍繞狹義的安全運(yùn)營(yíng)展開。安全運(yùn)營(yíng)中心通常是指一個(gè)包含一系列流程、人員、技術(shù)等的組織單元，核心目標(biāo)就是抵御網(wǎng)絡(luò)安全威脅、保障目標(biāo)網(wǎng)絡(luò)安全平穩(wěn)運(yùn)行，通常包括威脅事件運(yùn)營(yíng)、資產(chǎn)暴露運(yùn)營(yíng)、安全漏洞運(yùn)營(yíng)、安全情報(bào)運(yùn)營(yíng)、防御策略運(yùn)營(yíng)、態(tài)勢(shì)決策運(yùn)營(yíng)6個(gè)方面的運(yùn)營(yíng)工作。圍繞這個(gè)目標(biāo)，通常會(huì)對(duì)目標(biāo)網(wǎng)絡(luò)實(shí)施持續(xù)的檢測(cè)、監(jiān)測(cè)、分析、調(diào)查、響應(yīng)、報(bào)告、修復(fù)。

安全運(yùn)營(yíng)平臺(tái)（SOP），或者稱作SOC平臺(tái)，早期也叫安全管理平臺(tái)（簡(jiǎn)稱安管平臺(tái)），是指安全運(yùn)營(yíng)中心的核心技術(shù)支撐平臺(tái)，集成安全運(yùn)營(yíng)中心所需的各種數(shù)據(jù)、技術(shù)、工具和流程，為各級(jí)安全運(yùn)營(yíng)人員提供一個(gè)便捷易用的工作臺(tái)，以便開展安全運(yùn)營(yíng)工作。

SOC的演進(jìn)過(guò)程存在多條平行的時(shí)間線?？梢詮?/span>SOC平臺(tái)的技術(shù)演進(jìn)角度去梳理時(shí)間線，譬如本文；可以從SOC應(yīng)用領(lǐng)域的擴(kuò)張角度去梳理時(shí)間線，研究SOC從最初應(yīng)用于傳統(tǒng)IT基礎(chǔ)設(shè)施，逐步延伸到云、OT、物聯(lián)網(wǎng)，車聯(lián)網(wǎng)等新領(lǐng)域的過(guò)程；可以從SOC部署模式的角度去梳理時(shí)間線，研究SOC如何從云下部署發(fā)展到后來(lái)的云寄生部署、云原生部署，以及由此帶來(lái)的SOC業(yè)務(wù)模式從產(chǎn)品交付到SaaS服務(wù)交付的轉(zhuǎn)變過(guò)程；還可以從SOC服務(wù)的角度去梳理時(shí)間線，研究托管安全服務(wù)（MSS）的歷史，看其如何衍生出托管檢測(cè)與響應(yīng)（MDR）、協(xié)管安全監(jiān)測(cè)服務(wù)（CMSMS）。毫無(wú)疑問，SOC平臺(tái)視角是SOC演進(jìn)過(guò)程的最重要時(shí)間線，無(wú)論SOC應(yīng)用領(lǐng)域如何擴(kuò)展，無(wú)論SOC是在云下還是云上，也無(wú)論MSS提供商的服務(wù)模式如何變化，它們所依托的SOC平臺(tái)發(fā)展進(jìn)程都是一樣的。

本文所指的SOC1.0、SOC2.0、SOC3.0和SOC4.0都是針對(duì)SOP、SOC平臺(tái)、安全管理平臺(tái)而言的。

2.1  概述

從2000年SOC進(jìn)入中國(guó)到2025年的25年間，SOC平臺(tái)經(jīng)歷了3個(gè)明顯的代際疊加演進(jìn)過(guò)程。從最初面向資產(chǎn)的SOC1.0到面向業(yè)務(wù)的SOC2.0，再到數(shù)據(jù)驅(qū)動(dòng)的SOC3.0，每個(gè)時(shí)代的SOC平臺(tái)都具有鮮明的時(shí)代烙印，體現(xiàn)了SOC建設(shè)需求、目標(biāo)和技術(shù)要求的不斷演變。

• SOC1.0身處中國(guó)網(wǎng)絡(luò)安全的萌芽期。這時(shí)期的SOC1.0主要對(duì)標(biāo)ISO17799以及后來(lái)的ISO27000系列標(biāo)準(zhǔn)，以期落實(shí)信息安全管理體系（ISMS）的核心要求和使用規(guī)則。SOC1.0側(cè)重于構(gòu)建以資產(chǎn)為中心的ISMS技術(shù)支撐平臺(tái)。

• SOC2.0時(shí)代是中國(guó)網(wǎng)絡(luò)安全的合規(guī)時(shí)代，等級(jí)保護(hù)成為當(dāng)時(shí)中國(guó)網(wǎng)絡(luò)安全市場(chǎng)的首要推動(dòng)力。這時(shí)期的SOC2.0形成了以合規(guī)為導(dǎo)向、以業(yè)務(wù)信息系統(tǒng)保障為核心的設(shè)計(jì)思路。SOC2.0成為了一個(gè)面向等保合規(guī)的、功能較為完備的集中化安全管理平臺(tái)。

• SOC3.0時(shí)代是中國(guó)網(wǎng)絡(luò)安全回歸對(duì)抗本質(zhì)的時(shí)代，這時(shí)期的SOC3.0經(jīng)歷了從合規(guī)到對(duì)抗、從管理到運(yùn)營(yíng)的疊加演進(jìn)，確立了數(shù)據(jù)驅(qū)動(dòng)SOC的技術(shù)路線。SOC3.0成為了一個(gè)基于大數(shù)據(jù)分析架構(gòu)的，具備一定智能和主動(dòng)能力的安全運(yùn)營(yíng)平臺(tái)。

2.2  SOC1.0

2000年前后，SOC概念開始進(jìn)入中國(guó)。經(jīng)過(guò)約4年左右的摸索，第一代SOC平臺(tái)（SOC1.0）的定義在2004年基本成形，并迎來(lái)了一波建設(shè)的熱潮。

SOC1.0定義：以資產(chǎn)為核心，以安全事態(tài)（Event）管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事態(tài)分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。

SOC1.0在系統(tǒng)設(shè)計(jì)上向ISO17799以及后來(lái)的ISO27000系列標(biāo)準(zhǔn)靠攏，參照信息安全管理體系（ISMS）的要求和實(shí)用規(guī)則，以實(shí)現(xiàn)集中化的安全管理為目標(biāo)，設(shè)計(jì)出了第一代SOC平臺(tái)，當(dāng)時(shí)也叫安全管理平臺(tái)。

由于當(dāng)時(shí)國(guó)內(nèi)安全建設(shè)尚處于早期，需求不夠清晰，加之受限于國(guó)內(nèi)技術(shù)水平，多源數(shù)據(jù)采集和安全分析能力十分薄弱，缺少核心技術(shù)，很多SOC的理念未能很好落地。這時(shí)候，很多國(guó)內(nèi)SOC平臺(tái)都集成了國(guó)外的SIEM產(chǎn)品作為內(nèi)核。SOC1.0漸漸遭遇發(fā)展瓶頸。

2.3 SOC2.0

又經(jīng)過(guò)5年的發(fā)展，在2009年，第二代SOC平臺(tái)（SOC2.0）出現(xiàn)。

SOC2.0定義：以業(yè)務(wù)信息系統(tǒng)為核心，通過(guò)面向業(yè)務(wù)的安全建模與業(yè)務(wù)風(fēng)險(xiǎn)管理流程，采用主動(dòng)被動(dòng)相結(jié)合的方法采集業(yè)務(wù)系統(tǒng)的各種安全信息，從業(yè)務(wù)視角進(jìn)行數(shù)據(jù)的標(biāo)準(zhǔn)化、監(jiān)測(cè)、分析、審計(jì)、報(bào)警、響應(yīng)、存儲(chǔ)和報(bào)告的一體化安全管理系統(tǒng)，力求安全與業(yè)務(wù)戰(zhàn)略對(duì)齊。

SOC2.0迅速在國(guó)內(nèi)得到廣泛認(rèn)同，獲得了巨大成功，確立了安全管理平臺(tái)這個(gè)細(xì)分市場(chǎng)的定位和價(jià)值。

首先，SOC2.0在理念上進(jìn)行了拔高，實(shí)現(xiàn)了安全運(yùn)營(yíng)從資產(chǎn)視角到業(yè)務(wù)視角的提升，指出安全運(yùn)營(yíng)的目標(biāo)就是保障業(yè)務(wù)信息系統(tǒng)的持續(xù)運(yùn)行，而安全運(yùn)營(yíng)的過(guò)程就是業(yè)務(wù)安全風(fēng)險(xiǎn)管理的過(guò)程。

其次，SOC2.0在概念上將SOC和安全管理平臺(tái)的關(guān)系、SOC和NOC的關(guān)系、安全運(yùn)營(yíng)與安全合規(guī)的關(guān)系進(jìn)行了厘清。

第三，SOC2.0在平臺(tái)功能設(shè)計(jì)上，緊扣《等級(jí)保護(hù)基本要求》中三級(jí)及以上信息系統(tǒng)要求建立安全管理中心的合規(guī)要求，建立起了一個(gè)面向等保合規(guī)（也包含ISMS等其它合規(guī)）的、功能較為完備的集中化安全管理平臺(tái)。

最后，在技術(shù)上，SOC2.0推動(dòng)作為SOC核心的多源數(shù)據(jù)融合與關(guān)聯(lián)分析引擎技術(shù)走向成熟，大幅提升了安全數(shù)據(jù)的采集能力和威脅事件的分析能力，并開啟了態(tài)勢(shì)感知技術(shù)的工程化實(shí)踐之路。技術(shù)的成熟，推動(dòng)國(guó)產(chǎn)化SOC平臺(tái)逐步成為主流。

以等保合規(guī)為重要契機(jī)，SOC2.0憑借理念的提升、概念的厘清、功能的匹配、技術(shù)的成熟，推動(dòng)SOC經(jīng)歷了一波發(fā)展高潮。

也是在這個(gè)時(shí)期，國(guó)內(nèi)的賽迪顧問（CCID）開始將支撐SOC的安全管理平臺(tái)作為一個(gè)重要安全細(xì)分市場(chǎng)納入《中國(guó)信息安全產(chǎn)品市場(chǎng)分析年度報(bào)告》的分析之中。

2012年，Gartner發(fā)布了一份名為《信息安全正在成為大數(shù)據(jù)分析問題》的報(bào)告，揭開了數(shù)據(jù)驅(qū)動(dòng)安全時(shí)代的序幕。同年，Splunk成為全球第一家大數(shù)據(jù)上市公司。

而伴隨著國(guó)內(nèi)網(wǎng)絡(luò)安全建設(shè)的鋪開，國(guó)內(nèi)的企業(yè)和組織也逐漸面臨大數(shù)據(jù)帶來(lái)的挑戰(zhàn)，一方面是每天產(chǎn)生的安全數(shù)據(jù)不斷擴(kuò)張，另一方面則是以APT為代表的新型威脅的興起。SOC2.0的諸多技術(shù)局限性逐步凸顯：

• 數(shù)據(jù)處理能力有限，缺乏有效的架構(gòu)支撐：當(dāng)前分析工具在小數(shù)據(jù)量時(shí)有效，在大數(shù)據(jù)量時(shí)難以為繼，海量異構(gòu)高維數(shù)據(jù)的融合、存儲(chǔ)和管理遇到困難；

• 威脅識(shí)別能力有限，缺乏安全智能：安全分析以基于規(guī)則的關(guān)聯(lián)分析為主，只能識(shí)別已知并且已描述的攻擊，難以識(shí)別復(fù)雜的攻擊，無(wú)法識(shí)別未知的攻擊；

• 安全預(yù)判能力有限，缺乏對(duì)抗能力：安全運(yùn)營(yíng)以被動(dòng)應(yīng)急響應(yīng)為主，難以對(duì)風(fēng)險(xiǎn)進(jìn)行提前的評(píng)估與研判，總是疲于救火。

在這種情況下，SOC2.0必須順勢(shì)而變。

2.4  SOC3.0

2015年，基于大數(shù)據(jù)技術(shù)的SOC3.0（有的也叫NGSOC）【注：這里的NGSOC是指代一類SOC平臺(tái)，而非具體品牌型號(hào)，后同】出現(xiàn)，SOC平臺(tái)進(jìn)入第三代。

SOC3.0定義：以大數(shù)據(jù)分析架構(gòu)為支撐，以保障業(yè)務(wù)系統(tǒng)安全為導(dǎo)向，構(gòu)建起以數(shù)據(jù)為核心的安全運(yùn)營(yíng)平臺(tái)，強(qiáng)調(diào)更加主動(dòng)、智能地對(duì)企業(yè)和組織的網(wǎng)絡(luò)安全進(jìn)行管理和運(yùn)營(yíng)。

SOC3.0標(biāo)志著安全運(yùn)營(yíng)進(jìn)入了數(shù)據(jù)驅(qū)動(dòng)的時(shí)代。

首先，SOC3.0全面采用大數(shù)據(jù)分析技術(shù)架構(gòu)，海量、高速、多樣的數(shù)據(jù)采集、存儲(chǔ)、分析與展現(xiàn)成為了現(xiàn)實(shí)，極大拓展了SOC的數(shù)據(jù)規(guī)模和處理性能。

其次，SOC3.0引入了威脅情報(bào)數(shù)據(jù)，通過(guò)將網(wǎng)絡(luò)中遭受的攻擊告警和資產(chǎn)信息與威脅情報(bào)的比對(duì)，實(shí)現(xiàn)了更加主動(dòng)、更加精準(zhǔn)的威脅檢測(cè)與預(yù)警。

第三，SOC3.0推動(dòng)了以UEBA（用戶與實(shí)體行為分析）和NBA（網(wǎng)絡(luò)行為分析）為代表的基于人工智能（AI）和機(jī)器學(xué)習(xí)（ML）的異常檢測(cè)技術(shù)的落地，與關(guān)聯(lián)分析技術(shù)形成SOC的雙核動(dòng)力，大幅提升了SOC的智能化水平。

隨著2014年網(wǎng)絡(luò)安全上升為國(guó)家戰(zhàn)略，以及2016年的419講話，中國(guó)網(wǎng)絡(luò)安全事業(yè)進(jìn)入一個(gè)新的歷史階段。面對(duì)這個(gè)歷史機(jī)遇，以大數(shù)據(jù)分析技術(shù)為契機(jī)，中國(guó)市場(chǎng)開啟了SOC升級(jí)換代和大規(guī)模部署的進(jìn)程，數(shù)據(jù)驅(qū)動(dòng)的SOC3.0取得了巨大成就。而2016年的419講話更是給作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知基石的SOC3.0帶來(lái)了新的巨大市場(chǎng)增量。

在SOC3.0時(shí)代，SOC的使用場(chǎng)景和設(shè)計(jì)理念也開啟了從合規(guī)優(yōu)先到對(duì)抗優(yōu)先、以管理為主到以運(yùn)營(yíng)為主的轉(zhuǎn)變過(guò)程，并推動(dòng)SOC3.0的持續(xù)升級(jí)。

近些年來(lái)，以大數(shù)據(jù)技術(shù)架構(gòu)為基礎(chǔ)，SOC3.0引入了更多AI和ML算法，以期提升暴露評(píng)估、威脅檢測(cè)、態(tài)勢(shì)評(píng)估與預(yù)測(cè)等關(guān)鍵能力。到2019年，國(guó)內(nèi)又進(jìn)一步將安全編排自動(dòng)化與響應(yīng)（SOAR）技術(shù)落地，將編排自動(dòng)化技術(shù)帶入了SOC3.0，以期提升安全響應(yīng)的自動(dòng)化水平和響應(yīng)速度。

與大數(shù)據(jù)同時(shí)發(fā)展起來(lái)的云計(jì)算也被引入到了SOC3.0。一方面是用SOC3.0保障云計(jì)算的安全，另一方面則是SOC3.0自身的云化。

在這個(gè)時(shí)期，以端點(diǎn)檢測(cè)與響應(yīng)（EDR）、網(wǎng)絡(luò)檢測(cè)與響應(yīng)（NDR）、可擴(kuò)展檢測(cè)與響應(yīng)（XDR）為代表的邊緣檢測(cè)與響應(yīng)技術(shù)的興起，以及以攻擊面管理（ASM）、暴露評(píng)估平臺(tái)（EAP）、對(duì)抗暴露驗(yàn)證（AEV）為代表的暴露管理技術(shù)的重裝上陣，改變了SOC的部署架構(gòu)，促使SOC3.0的技術(shù)架構(gòu)逐步開始向分布式和多體模式轉(zhuǎn)變。

與此同時(shí)，SOC的運(yùn)營(yíng)者越來(lái)越重視SOC的組織和流程建設(shè)。從SOC3.0時(shí)代開始，越來(lái)越多使用SOC的單位都建立起了專門的SOC部門、組織、崗位職責(zé)、運(yùn)營(yíng)流程、工作場(chǎng)所和運(yùn)營(yíng)隊(duì)伍。而SOC平臺(tái)也開始提供面向運(yùn)營(yíng)的功能。尤其是SOAR的引入，讓安全事件響應(yīng)平臺(tái)（SIRP）成為SOC3.0中重要的運(yùn)營(yíng)工具。

但這些改進(jìn)，依然將SOC定格在了SOC3.0時(shí)代，因?yàn)檫@并未給SOC帶來(lái)根本的革新，而用戶在SOC3.0時(shí)代所遇到的困境沒有得到根本性的解決。

盡管SOC3.0取得了很大的成功，但此時(shí)的安全運(yùn)營(yíng)平臺(tái)也逐漸變得不堪重負(fù)，用戶的不滿日益突出。

• 缺乏實(shí)戰(zhàn)：名為安全運(yùn)營(yíng)，實(shí)際上更多是在做安全分析，偏重面向?qū)＜矣脩舻墓δ茉O(shè)計(jì)，缺乏面向真正運(yùn)營(yíng)人員的分角色運(yùn)營(yíng)流程梳理和運(yùn)營(yíng)功能設(shè)計(jì)，導(dǎo)致安全運(yùn)營(yíng)平臺(tái)的用戶體驗(yàn)差、易用性差。有的平臺(tái)雖然進(jìn)行了這方面的設(shè)計(jì)，但卻沒有跟實(shí)際負(fù)責(zé)運(yùn)營(yíng)的團(tuán)隊(duì)拉通，在理念和工作方式上嚴(yán)重脫節(jié)，設(shè)計(jì)和使用兩張皮，同樣導(dǎo)致運(yùn)營(yíng)效果不佳。

• 數(shù)據(jù)過(guò)載：大數(shù)據(jù)技術(shù)的加持，提升數(shù)據(jù)處理量，但也帶來(lái)了數(shù)據(jù)沼澤，大量的告警和事件積壓，真假難辨、誤報(bào)頻頻，負(fù)責(zé)研判和響應(yīng)處置的運(yùn)營(yíng)人員不堪重負(fù)，極易產(chǎn)生工作疲勞，運(yùn)營(yíng)效果大打折扣。長(zhǎng)此以往，導(dǎo)致工作倦怠、人才流失。

• 自動(dòng)化水平偏低：當(dāng)前以SOAR為基礎(chǔ)的響應(yīng)自動(dòng)化對(duì)于緩解運(yùn)營(yíng)疲勞作用有限，囿于用戶運(yùn)營(yíng)流程和規(guī)程不健全，劇本開發(fā)成本高、劇本適應(yīng)性低，運(yùn)營(yíng)自動(dòng)化難以普及。

•  智能化程度有限：現(xiàn)有的智能化更多應(yīng)用于分散的安全運(yùn)營(yíng)功能點(diǎn)，對(duì)于整體的安全運(yùn)營(yíng)過(guò)程還是以人的智力為主，對(duì)人的要求依然很高，距離安全運(yùn)營(yíng)者的期望還有較大差距。

• 定制化能力非常薄弱：安全運(yùn)營(yíng)平臺(tái)的可定制性和可擴(kuò)展性不夠，要么無(wú)法定制，要么定制周期過(guò)長(zhǎng)、成本過(guò)高，導(dǎo)致安全運(yùn)營(yíng)的實(shí)際使用落后于不斷增長(zhǎng)的安全需求和持續(xù)變化的對(duì)抗形勢(shì)。

• 運(yùn)營(yíng)價(jià)值難以體現(xiàn)：SOC建設(shè)的價(jià)值如何？平臺(tái)雖有大量數(shù)據(jù)，但都是安全數(shù)據(jù)，缺少運(yùn)營(yíng)過(guò)程數(shù)據(jù)和驗(yàn)證數(shù)據(jù)，缺乏對(duì)運(yùn)營(yíng)價(jià)值的度量，安全運(yùn)營(yíng)自身的數(shù)字化水平不足。

4.1生成式AI為SOC的變革帶來(lái)重大機(jī)遇

AI從一開始就應(yīng)用于SOC平臺(tái)，基于規(guī)則推理的關(guān)聯(lián)分析就是符號(hào)主義AI在SOC中的典型應(yīng)用。2015年，Gartner發(fā)表了一份智能SOC的報(bào)告，指出要利用高級(jí)安全分析來(lái)落地智能化SOC，采用機(jī)器學(xué)習(xí)（ML）算法識(shí)別未知威脅的異常檢測(cè)技術(shù)開始盛行。此后，還出現(xiàn)了其它用于提升暴露評(píng)估、告警研判、態(tài)勢(shì)評(píng)估與預(yù)測(cè)等關(guān)鍵能力的AI和ML算法。

但是，上述傳統(tǒng)AI通常聚焦SOC中某些專門的問題，采用專門的算法進(jìn)行復(fù)雜的設(shè)計(jì)與開發(fā)，并且不同的問題往往需要使用不同的算法和模型，具有很強(qiáng)的專業(yè)性，對(duì)開發(fā)人員的技術(shù)要求很高。安全運(yùn)營(yíng)是一個(gè)過(guò)程，是一系列流程、規(guī)程和操作的集合。傳統(tǒng)AI雖然解決了安全運(yùn)營(yíng)過(guò)程中的一些關(guān)鍵難題，但卻不能將整個(gè)運(yùn)營(yíng)過(guò)程串起來(lái)，對(duì)整體運(yùn)營(yíng)幫助有限，還需要安全運(yùn)營(yíng)人員的大量工作。

2022年底以大語(yǔ)言模型（LLM）為代表的生成式AI（GenAI）技術(shù)的爆火讓一切開始變得不同。

作為一種公認(rèn)的顛覆性技術(shù)，GenAI近兩年迅速席卷各行各業(yè)，并在安全運(yùn)營(yíng)領(lǐng)域取得了令人驚嘆的效果，因?yàn)樗『猛昝赖負(fù)糁辛水?dāng)下安全運(yùn)營(yíng)的三大痛點(diǎn)：人才短缺、工作倦怠、技能不足。

Gartner分析指出，如果說(shuō)2023年是GenAI開局之年，2024年則應(yīng)是最小可?產(chǎn)品（MVP）??其道之年，?2025年可能會(huì)是GenAI集成到安全?作流程中并提供真正價(jià)值的元年。

不到兩年，GenAI在安全運(yùn)營(yíng)中的應(yīng)用模式迅速?gòu)脑缙诘闹悄芰奶?，發(fā)展到后來(lái)的AI助理/副駕，再到現(xiàn)在基于GenAI的智能體，將安全運(yùn)營(yíng)帶入了自主式AI（Agentic AI）時(shí)代。

Agentic AI是一個(gè)以GenAI（如LLM）為思考中樞的，能夠自主或部分自主的進(jìn)行決策并采取行動(dòng)，以完成既定目標(biāo)的系統(tǒng)，具有自主性、適應(yīng)性和持續(xù)學(xué)習(xí)的特點(diǎn)。

GenAI以及由此衍生出來(lái)的Agentic AI相較于傳統(tǒng)AI，使SOC的效能獲得了極大的提升。

GenAI具有較高的普適應(yīng)。不同于傳統(tǒng)AI的專用性，GenAI向通用AI（AGI）邁出了一步，一個(gè)模型能夠解決多個(gè)問題。安全運(yùn)營(yíng)的每個(gè)領(lǐng)域、運(yùn)營(yíng)過(guò)程的每個(gè)環(huán)節(jié)都可以利用GenAI，簡(jiǎn)化工作過(guò)程、提升工作效率。在GenAI的賦能下，SOC的整體運(yùn)營(yíng)效率可以獲得巨大提升。

GenAI具有較強(qiáng)的普惠性。GenAI通過(guò)自然語(yǔ)言交互的體驗(yàn)方式，降低了對(duì)應(yīng)用型技能（如編碼、特定規(guī)則的語(yǔ)法、工具調(diào)用等）的要求，讓廣大運(yùn)營(yíng)人員可以更快上手，更便捷的進(jìn)行操作，更聚焦安全運(yùn)營(yíng)領(lǐng)域的業(yè)務(wù)型技能（如特定威脅響應(yīng)的戰(zhàn)法、獨(dú)特的安全知識(shí)等）。此外，隨著Agentic AI技術(shù)的快速發(fā)展，開發(fā)各種安全運(yùn)營(yíng)智能體所需的應(yīng)用型技能要求正在變得越來(lái)越低。

基于GenAI的Agentic AI具有很強(qiáng)的自主性。Agentic AI特別適合用于安全運(yùn)營(yíng)領(lǐng)域，很多流程性的安全運(yùn)營(yíng)任務(wù)都可以借助基于Agentic AI的智能體實(shí)現(xiàn)，提升安全運(yùn)營(yíng)的自主性和智能自動(dòng)化水平，減輕工作壓力。

基于GenAI的Agentic AI具有很強(qiáng)的協(xié)作性，將AI從工具變成了“伙伴”。傳統(tǒng)AI更多像是一個(gè)個(gè)工具，由人來(lái)調(diào)用。而Agentic AI則讓AI成為了工具的使用者，能夠主動(dòng)地使用各種工具，包括傳統(tǒng)AI。Agentic AI的這個(gè)特性特別契合安全運(yùn)營(yíng)，因?yàn)榘踩\(yùn)營(yíng)的過(guò)程主要就是調(diào)用各種工具進(jìn)行協(xié)作的過(guò)程。

GenAI讓知識(shí)價(jià)值快速釋放。以往安全運(yùn)營(yíng)專家的各種知識(shí)（譬如各種安全通用知識(shí)和安全報(bào)告，各類安全情報(bào)，基于資產(chǎn)和漏洞的安全姿態(tài)，告警研判、事件調(diào)查與響應(yīng)的技戰(zhàn)術(shù)方法，包括日志解析規(guī)則、關(guān)聯(lián)分析規(guī)則、劇本在內(nèi)的各種安全內(nèi)容，以往的事件響應(yīng)報(bào)告，甚至用戶操作手冊(cè)）需要事先經(jīng)過(guò)特定的轉(zhuǎn)換（甚至代碼開發(fā)）才能加載到安全運(yùn)營(yíng)平臺(tái)中，進(jìn)而發(fā)揮作用。同時(shí)，這些知識(shí)的驗(yàn)證、更新過(guò)程也同樣繁瑣，甚至無(wú)法閉環(huán)。GenAI和智能體則能夠以近乎自然語(yǔ)言的形式接收、驗(yàn)證和更新這些知識(shí)，并將它們充分的連接起來(lái)，催動(dòng)安全運(yùn)營(yíng)平臺(tái)的運(yùn)轉(zhuǎn)，讓知識(shí)價(jià)值快速釋放。而隨著GenAI和智能體在安全運(yùn)營(yíng)中的應(yīng)用門檻不斷降低，安全運(yùn)營(yíng)領(lǐng)域的專業(yè)知識(shí)將顯得尤為重要。

基于上述特征，以LLM為核心的GenAI和Agentic AI的興起為SOC的變革帶來(lái)重大機(jī)遇，新一代SOC平臺(tái)呼之欲出。

必須指出，GenAI不是對(duì)傳統(tǒng)AI的替代，盡管GenAI具有很多優(yōu)秀特性，但在針對(duì)很多專門的運(yùn)營(yíng)問題時(shí)，傳統(tǒng)AI依然有效，而且表現(xiàn)得更加高效。當(dāng)前GenAI自身存在的諸多不確定也限制了其發(fā)揮，需要利用傳統(tǒng)AI予以約束。在工程實(shí)踐中，不應(yīng)追求單一類型的AI包打天下，而是要從從性價(jià)比的角度，按需使用最合適的AI。這種將多種不同AI技術(shù)整合到一起的AI技術(shù)稱作復(fù)合式AI（Composite AI）。根據(jù)Gartner的定義，復(fù)合式AI是指組合利用不同AI技術(shù)（包括GenAI、數(shù)據(jù)科學(xué)、機(jī)器學(xué)習(xí)、知識(shí)圖譜等技術(shù)）來(lái)提高學(xué)習(xí)效率，以生成層次更豐富的知識(shí)表示的AI。

此外，DeepSeek橫空出世，使得本地化部署LLM的性價(jià)比大幅提升，進(jìn)一步加速了LLM在企業(yè)側(cè)的落地過(guò)程，進(jìn)而帶動(dòng)了AI賦能的新一代SOC平臺(tái)的落地進(jìn)程。

4.2  AI賦能的SOC4.0

在以LLM為核心的GenAI和Agentic AI的加持下，AI賦能的SOC4.0誕生，SOC平臺(tái)進(jìn)入第四代。SOC4.0也可以稱作Agentic SecOps Platform。

SOC4.0定義：SOC4.0是一個(gè)AI賦能的、數(shù)據(jù)與流程雙輪驅(qū)動(dòng)的、自動(dòng)化優(yōu)先的實(shí)戰(zhàn)化安全運(yùn)營(yíng)平臺(tái)。這里，AI是安全運(yùn)營(yíng)能效的加速器，數(shù)據(jù)與流程是驅(qū)動(dòng)安全運(yùn)營(yíng)平臺(tái)的原動(dòng)力，自動(dòng)化和實(shí)戰(zhàn)化是安全運(yùn)營(yíng)平臺(tái)的核心設(shè)計(jì)理念。同時(shí)，無(wú)論如何演變，SOC始終遵循風(fēng)險(xiǎn)管理思想，以實(shí)現(xiàn)網(wǎng)絡(luò)彈性、保障業(yè)務(wù)平穩(wěn)運(yùn)行為目標(biāo)。

SOC4.0是AI賦能的，但又不僅僅是AI賦能的。

首先，AI賦能是SOC4.0的核心特征，Agentic AI則是SOC4.0的標(biāo)志。AI將滲透到SOC4.0的方方面面和運(yùn)營(yíng)過(guò)程的各個(gè)環(huán)節(jié)，包括讓數(shù)據(jù)驅(qū)動(dòng)和流程驅(qū)動(dòng)更加高效，讓自動(dòng)化更加智能，讓平臺(tái)更加實(shí)戰(zhàn)化，全方位提升運(yùn)營(yíng)效能。

其次，數(shù)據(jù)與流程雙輪驅(qū)動(dòng)不僅是SOC4.0的基本特征，更是所有SOC的基本特征，刻畫了安全運(yùn)營(yíng)的技術(shù)本質(zhì)。數(shù)據(jù)是安全運(yùn)營(yíng)的源泉和動(dòng)力，在數(shù)據(jù)的驅(qū)動(dòng)下，源源不斷地發(fā)現(xiàn)問題、分析問題、解決問題、總結(jié)問題。流程是安全運(yùn)營(yíng)的依據(jù)和手段，是安全運(yùn)營(yíng)持續(xù)運(yùn)轉(zhuǎn)的紐帶，通過(guò)平臺(tái)連接人、運(yùn)營(yíng)工具、網(wǎng)絡(luò)安全防御設(shè)施，實(shí)現(xiàn)協(xié)同防御、聯(lián)防聯(lián)控。同時(shí)，數(shù)據(jù)驅(qū)動(dòng)與流程驅(qū)動(dòng)二者在安全運(yùn)營(yíng)中各有側(cè)重，且緊密相連，相互轉(zhuǎn)化。以往，我們片面強(qiáng)調(diào)數(shù)據(jù)驅(qū)動(dòng)安全運(yùn)營(yíng)，忽略了流程驅(qū)動(dòng)運(yùn)營(yíng)的重要性，使得安全運(yùn)營(yíng)平臺(tái)更像一個(gè)安全分析平臺(tái)，而缺乏實(shí)戰(zhàn)化的日常安全運(yùn)營(yíng)支撐能力。因此，在SOC4.0時(shí)代，必須將數(shù)據(jù)驅(qū)動(dòng)和流程驅(qū)動(dòng)放到同等的地位，統(tǒng)一進(jìn)行設(shè)計(jì)。一方面，要用基于安全數(shù)據(jù)編織的新一代安全數(shù)據(jù)架構(gòu)來(lái)實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)，另一方面，要用基于安全編排的新一代安全運(yùn)營(yíng)流程架構(gòu)來(lái)實(shí)現(xiàn)流程驅(qū)動(dòng)。同時(shí)，AI（尤指GenAI和Agentic AI）也是數(shù)據(jù)與流程驅(qū)動(dòng)的。要想真正實(shí)現(xiàn)AI賦能，就必須先建立好數(shù)據(jù)與流程驅(qū)動(dòng)的安全運(yùn)營(yíng)平臺(tái)技術(shù)底座。如果說(shuō)AI是SOC的倍增器，相當(dāng)于SOC的“0”（十倍）、“00”（百倍）、“000”（千倍），那么數(shù)據(jù)和流程驅(qū)動(dòng)就是SOC的那個(gè)“1”。沒有好的數(shù)據(jù)和流程驅(qū)動(dòng)的SOC是無(wú)法被AI賦能的。

第三，自動(dòng)化優(yōu)先作為SOC4.0的關(guān)鍵特征和設(shè)計(jì)理念之一，體現(xiàn)了對(duì)安全運(yùn)營(yíng)過(guò)程中人與機(jī)器之間協(xié)作關(guān)系的重新適配。在SOC4.0時(shí)代，安全運(yùn)營(yíng)的組織、流程將進(jìn)行全面改造，建立起以自動(dòng)化為優(yōu)先的組織結(jié)構(gòu)和運(yùn)營(yíng)流程，依托自動(dòng)化安全運(yùn)營(yíng)平臺(tái)，重新調(diào)配人員配置、崗位職責(zé)、工作流程和規(guī)程，讓人的價(jià)值在合適的地方得到真正發(fā)揮。

第四，實(shí)戰(zhàn)化作為SOC4.0的另一個(gè)關(guān)鍵特征和設(shè)計(jì)理念，體現(xiàn)了以人為本、面向協(xié)作、價(jià)值交付的平臺(tái)使用模式。在SOC4.0時(shí)代，要為安全運(yùn)營(yíng)組織的每個(gè)角色提供相適應(yīng)的無(wú)摩擦用戶體驗(yàn)，提升團(tuán)隊(duì)內(nèi)部和跨團(tuán)隊(duì)之間的協(xié)作性，提升安全運(yùn)營(yíng)平臺(tái)自身的數(shù)字化水平，并建立SOC有效性驗(yàn)證和價(jià)值評(píng)估體系。

5.1 AI賦能：以Agentic AI為基礎(chǔ)，用復(fù)合式AI賦能SOC4.0

AI是SOC4.0的核心特征。盡管SOC早就應(yīng)用了AI，但直到以LLM為代表的GenAI的出現(xiàn)，以及GenAI演進(jìn)而來(lái)的Agentic AI在SOC領(lǐng)域的應(yīng)用，才使得SOC真正進(jìn)入了全面AI時(shí)代。如前所述，這是由GenAI和Agentic AI超越以往AI所具備的普適性、普惠性、自主性、協(xié)作性，以及知識(shí)快速激活等特性所決定的。

進(jìn)一步地，Agentic AI是AI賦能SOC4.0的標(biāo)志性特征，基于GenAI的Agentic AI技術(shù)特別適用于安全運(yùn)營(yíng)的工作過(guò)程。Agentic AI將LLM的思考力和智能體（AI Agent）的行動(dòng)力結(jié)合起來(lái)，借助知識(shí)檢索和工具調(diào)用，一方面可以主動(dòng)獲取安全分析所需的情境（上下文）數(shù)據(jù)，基于更多的相關(guān)性數(shù)據(jù)進(jìn)行思考、理解和內(nèi)容生成，做出更全面的研判和調(diào)查；另一方面可以編排各種安全控制指令，調(diào)整安全防御體系的工作姿態(tài)，做出更恰當(dāng)?shù)捻憫?yīng)。而借助多智能體（也叫集群智能體）技術(shù)，能夠?qū)⒄麄€(gè)思考和行動(dòng)的過(guò)程分解到不同的智能體上，讓每個(gè)細(xì)化的目標(biāo)執(zhí)行過(guò)程更加專業(yè)精準(zhǔn)，最終更好的實(shí)現(xiàn)整體目標(biāo)。Gartner預(yù)測(cè)，到2028年，用于威脅檢測(cè)和事件響應(yīng)的多智能體占AI部署的?例將從5%升?70%。

同時(shí)，GenAI和Agentic AI不是對(duì)傳統(tǒng)AI的替代，在針對(duì)很多專門的運(yùn)營(yíng)問題時(shí)，傳統(tǒng)AI依然有效，而且表現(xiàn)得更加高效。SOC4.0從實(shí)戰(zhàn)出發(fā)，使用更廣泛意義的復(fù)合式AI技術(shù)去賦能SOC，根據(jù)不同的應(yīng)用場(chǎng)景，采用最合適的AI去解決問題。

在SOC4.0時(shí)代，AI將滲透到安全運(yùn)營(yíng)的方方面面和運(yùn)營(yíng)過(guò)程的各個(gè)環(huán)節(jié)，包括讓數(shù)據(jù)驅(qū)動(dòng)和流程驅(qū)動(dòng)更加高效，讓自動(dòng)化更加智能，讓平臺(tái)更加實(shí)戰(zhàn)化，全方位提升運(yùn)營(yíng)效能。

必須謹(jǐn)記，GenAI自身還有很多問題亟待解決，譬如安全性、準(zhǔn)確性、可解釋性、可信度、數(shù)據(jù)安全與隱私問題，等等。在利用AI賦能SOC的時(shí)候，必須通過(guò)多種手段對(duì)AI加以約束，盡可能降低風(fēng)險(xiǎn)。必要的時(shí)候，應(yīng)采購(gòu)額外的專業(yè)AI安全防護(hù)系統(tǒng)。

最后，AI賦能不等于AI萬(wàn)能。正如Gartner所言，AI取代SOC中的人類職責(zé)是虛幻的。

5.2  數(shù)據(jù)驅(qū)動(dòng)：用基于安全數(shù)據(jù)編織的數(shù)據(jù)架構(gòu)驅(qū)動(dòng)SOC4.0

數(shù)據(jù)驅(qū)動(dòng)是SOC的技術(shù)本質(zhì)之一，體現(xiàn)了“數(shù)據(jù)驅(qū)動(dòng)安全”的思想。從技術(shù)層面看，安全運(yùn)營(yíng)的本質(zhì)就是將海量的、分散的多元異構(gòu)安全數(shù)據(jù)變成安全洞察、形成決策，并付諸行動(dòng)的過(guò)程。

從SOC3.0開始，安全運(yùn)營(yíng)平臺(tái)的數(shù)據(jù)技術(shù)架構(gòu)已經(jīng)完全基于大數(shù)據(jù)技術(shù)，但隨著安全建設(shè)的不斷深入，尤其是數(shù)據(jù)驅(qū)動(dòng)的GenAI的引入，現(xiàn)有的安全數(shù)據(jù)技術(shù)架構(gòu)再次遇到瓶頸，數(shù)據(jù)驅(qū)動(dòng)正在變成垃圾驅(qū)動(dòng)。典型的問題譬如：（1）大數(shù)據(jù)越來(lái)越分散，數(shù)據(jù)集中的代價(jià)越來(lái)越高，這不僅體現(xiàn)在邊緣檢測(cè)的興起導(dǎo)致的數(shù)據(jù)引力問題，也體現(xiàn)在安全運(yùn)營(yíng)所需的大數(shù)據(jù)集合日益分散（譬如很多企業(yè)的日志數(shù)據(jù)中心、資產(chǎn)數(shù)據(jù)中心、暴露面數(shù)據(jù)中心、情報(bào)數(shù)據(jù)中心都是分散建設(shè)的），還有的單位存在多套不同的安全管理平臺(tái)、安全運(yùn)營(yíng)平臺(tái)、態(tài)勢(shì)感知平臺(tái)的問題。傳統(tǒng)的大數(shù)據(jù)技術(shù)，以及所謂的“安全數(shù)據(jù)中臺(tái)”設(shè)計(jì)思路遭遇挑戰(zhàn)。（2）新的數(shù)據(jù)不斷涌現(xiàn)，不同數(shù)據(jù)間的關(guān)系日趨復(fù)雜，現(xiàn)有數(shù)據(jù)架構(gòu)存在缺陷，導(dǎo)致情境數(shù)據(jù)難以有效利用，阻礙了安全數(shù)據(jù)的價(jià)值釋放。（3）日益復(fù)雜的安全數(shù)據(jù)自身安全與隱私問題對(duì)現(xiàn)有數(shù)據(jù)架構(gòu)提出了各種挑戰(zhàn)。（4）更重要的在于，AI賦能是建立在數(shù)據(jù)基礎(chǔ)之上的，如果沒有標(biāo)準(zhǔn)化、邏輯統(tǒng)一和高質(zhì)量的安全數(shù)據(jù)，AI應(yīng)用的結(jié)果也只能還是“垃圾進(jìn)，垃圾出”，而現(xiàn)有的數(shù)據(jù)架構(gòu)已經(jīng)很難再有所作為。因此，必須用新的數(shù)據(jù)架構(gòu)去驅(qū)動(dòng)SOC4.0！

幸運(yùn)的是，在數(shù)據(jù)管理與分析領(lǐng)域，已經(jīng)提出了新的可以應(yīng)對(duì)上述挑戰(zhàn)的新型數(shù)據(jù)架構(gòu)設(shè)計(jì)理念和框架，即數(shù)據(jù)編織（Data Fabric）。

數(shù)據(jù)編織作為新型跨不同來(lái)源和位置的數(shù)據(jù)集成與管理的設(shè)計(jì)范式，旨在建立一套按需編排的數(shù)據(jù)管道和可擴(kuò)展的自動(dòng)化數(shù)據(jù)服務(wù)框架，連接各種數(shù)據(jù)管理技術(shù)和流程，簡(jiǎn)化數(shù)據(jù)集成過(guò)程，實(shí)現(xiàn)無(wú)縫的數(shù)據(jù)治理、訪問與分發(fā)。

對(duì)于SOC4.0而言，安全數(shù)據(jù)編織就是對(duì)安全運(yùn)營(yíng)中的所有安全要素信息采用數(shù)據(jù)編織的思想，以元數(shù)據(jù)為基礎(chǔ)，統(tǒng)一數(shù)據(jù)模型和數(shù)據(jù)治理，編排數(shù)據(jù)管道，構(gòu)建邏輯上統(tǒng)一的數(shù)據(jù)層，并持續(xù)監(jiān)控?cái)?shù)據(jù)質(zhì)量。如果傳統(tǒng)的安全運(yùn)營(yíng)平臺(tái)數(shù)據(jù)架構(gòu)是構(gòu)建一個(gè)傳統(tǒng)重量級(jí)數(shù)據(jù)中臺(tái)的話，那么基于安全數(shù)據(jù)編織的安全運(yùn)營(yíng)平臺(tái)數(shù)據(jù)架構(gòu)則旨在建立一個(gè)輕量級(jí)的數(shù)據(jù)中臺(tái)。

與此同時(shí)，在數(shù)據(jù)管理與分析領(lǐng)域，數(shù)據(jù)架構(gòu)的工程化實(shí)踐越來(lái)越成熟，現(xiàn)代數(shù)據(jù)棧（MDS）的興起，為安全運(yùn)營(yíng)平臺(tái)的數(shù)據(jù)架構(gòu)設(shè)計(jì)提供了一套可供參考的最佳實(shí)踐。

SOC4.0必須基于安全數(shù)據(jù)編織的思想，采用現(xiàn)代數(shù)據(jù)棧的最佳實(shí)踐，摒棄舊的大數(shù)據(jù)架構(gòu)，構(gòu)建新一代安全數(shù)據(jù)架構(gòu)。新一代安全數(shù)據(jù)架構(gòu)應(yīng)包括數(shù)據(jù)治理、數(shù)據(jù)編排、數(shù)據(jù)集成、數(shù)據(jù)存算、數(shù)據(jù)分析、數(shù)據(jù)呈現(xiàn)、數(shù)據(jù)分發(fā)7個(gè)構(gòu)件。基于新一代安全數(shù)據(jù)架構(gòu)，實(shí)現(xiàn)按需集成數(shù)據(jù)，簡(jiǎn)化數(shù)據(jù)管理，釋放數(shù)據(jù)價(jià)值，為安全運(yùn)營(yíng)平臺(tái)的AI化和自動(dòng)化提供堅(jiān)實(shí)的數(shù)據(jù)底座，以實(shí)現(xiàn)高效的數(shù)據(jù)驅(qū)動(dòng)的安全運(yùn)營(yíng)。

5.3  流程驅(qū)動(dòng)：用基于安全編排的流程架構(gòu)驅(qū)動(dòng)SOC4.0

流程驅(qū)動(dòng)是SOC的技術(shù)本質(zhì)之一，真正閉環(huán)的安全運(yùn)營(yíng)過(guò)程是數(shù)據(jù)驅(qū)動(dòng)和流程驅(qū)動(dòng)疊加的結(jié)果。譬如，通過(guò)數(shù)據(jù)驅(qū)動(dòng)的分析識(shí)別的安全事件需要觸發(fā)響應(yīng)流程，進(jìn)而通過(guò)響應(yīng)流程實(shí)現(xiàn)事件的處置閉環(huán)。又譬如，數(shù)據(jù)驅(qū)動(dòng)的資產(chǎn)和漏洞分析必定要觸發(fā)資產(chǎn)和漏洞處置流程。還有時(shí)候，也存在流程驅(qū)動(dòng)觸發(fā)數(shù)據(jù)驅(qū)動(dòng)的過(guò)程，譬如通過(guò)預(yù)警通報(bào)接收流程接收到來(lái)自外部的預(yù)警通報(bào)信息后，導(dǎo)入平臺(tái)進(jìn)行數(shù)據(jù)驅(qū)動(dòng)的分析的過(guò)程。

長(zhǎng)期以來(lái)，人們都忽略了流程驅(qū)動(dòng)的重要性，將流程獨(dú)立于平臺(tái)之外，僅存在于安全運(yùn)營(yíng)人員的心中，或者僅僅進(jìn)行簡(jiǎn)單的設(shè)計(jì)，導(dǎo)致大部分安全運(yùn)營(yíng)平臺(tái)更傾向于一個(gè)分析平臺(tái)，而不是響應(yīng)處置平臺(tái)，安全運(yùn)營(yíng)的大量流程沒有著落。

一個(gè)完整的安全運(yùn)營(yíng)平臺(tái)必須是數(shù)據(jù)與流程雙輪驅(qū)動(dòng)的。數(shù)據(jù)是安全運(yùn)營(yíng)的源泉和動(dòng)力，在數(shù)據(jù)的驅(qū)動(dòng)下，源源不斷地發(fā)現(xiàn)問題、分析問題、解決問題、總結(jié)問題。流程是安全運(yùn)營(yíng)的依據(jù)和手段，是安全運(yùn)營(yíng)持續(xù)運(yùn)轉(zhuǎn)的紐帶，通過(guò)平臺(tái)連接人、運(yùn)營(yíng)工具、網(wǎng)絡(luò)安全防御設(shè)施，實(shí)現(xiàn)協(xié)同防御、聯(lián)防聯(lián)控。數(shù)據(jù)和流程分別驅(qū)著動(dòng)安全運(yùn)營(yíng)的兩種狀態(tài)：數(shù)據(jù)驅(qū)動(dòng)的分析態(tài)和流程驅(qū)動(dòng)的運(yùn)行態(tài)。只有數(shù)據(jù)驅(qū)動(dòng)沒有流程驅(qū)動(dòng)的安全運(yùn)營(yíng)平臺(tái)只能叫做安全分析平臺(tái)，而只有流程驅(qū)動(dòng)沒有數(shù)據(jù)驅(qū)動(dòng)的安全運(yùn)營(yíng)平臺(tái)只能叫做安全運(yùn)營(yíng)工作辦理平臺(tái)（安全OA）。

SOC4.0強(qiáng)調(diào)要將數(shù)據(jù)驅(qū)動(dòng)和流程驅(qū)動(dòng)放到同等的地位，統(tǒng)一進(jìn)行設(shè)計(jì)。從流程驅(qū)動(dòng)的角度而言，SOC4.0必須以工作流引擎為底座，構(gòu)建基于安全編排的新一代運(yùn)營(yíng)流程架構(gòu)。

安全編排（Security Orchestration）概念并不新鮮，SOC3.0中就存在，它是安全編排響應(yīng)與自動(dòng)化（SOAR）系統(tǒng)的一項(xiàng)關(guān)鍵技術(shù)。安全編排是將企業(yè)和組織在安全運(yùn)營(yíng)過(guò)程中涉及的不同系統(tǒng)或者一個(gè)系統(tǒng)內(nèi)部不同組件的安全功能封裝后形成的安全能力和人工檢查點(diǎn)按照一定的邏輯關(guān)系組合到一起，以完成某個(gè)特定的安全運(yùn)營(yíng)過(guò)程和規(guī)程。安全編排是將安全運(yùn)營(yíng)相關(guān)的工具/技術(shù)、流程和人員等各種能力整合到一起的一種協(xié)同工作方式。

在實(shí)現(xiàn)安全編排方面，傳統(tǒng)的SOAR存在明顯的缺陷。一方面，SOAR對(duì)于機(jī)器到機(jī)器的協(xié)作流程編排有效，但對(duì)人到人的協(xié)作流程編排卻難以支撐。另一方面，SOAR的安全編排都是靜態(tài)的、固定式編排，一旦流程發(fā)生變化，就必須由安全運(yùn)營(yíng)人員手工更新，維護(hù)成本很高。

因此，SOC4.0的新一代流程架構(gòu)必須采用Agentic AI賦能的智能化雙流程編排引擎架構(gòu)模式。其中一個(gè)引擎面向機(jī)器到機(jī)器的協(xié)作流程編排，表現(xiàn)形式為劇本。該引擎以劇本高速運(yùn)行為設(shè)計(jì)目標(biāo)，滿足需要機(jī)器速度進(jìn)行響應(yīng)處置的應(yīng)用場(chǎng)景需求。另一個(gè)引擎面向人到人的協(xié)作流程編排，表現(xiàn)形式為服務(wù)流程。該引擎支持復(fù)雜的流程流轉(zhuǎn)，滿足各類安全運(yùn)營(yíng)類辦公場(chǎng)景的需求。同時(shí)，劇本和服務(wù)流程可以互相引用，實(shí)現(xiàn)跨人機(jī)處理的復(fù)雜應(yīng)用場(chǎng)景。進(jìn)一步地，在雙引擎基礎(chǔ)之上，引入Agentic AI技術(shù)，用基于GenAI的智能體進(jìn)一步提升流程運(yùn)行的智能化水平，將靜態(tài)、固定式的流程變成動(dòng)態(tài)、自適應(yīng)的流程，將與機(jī)器（各種設(shè)備和系統(tǒng)）的API接口MCP化，實(shí)現(xiàn)智能自適應(yīng)協(xié)作。

必須謹(jǐn)記的是，機(jī)械式安全編排和智能化安全編排各有優(yōu)劣勢(shì)，不應(yīng)片面追求智能化流程，應(yīng)該分場(chǎng)合使用，發(fā)揮出各自的優(yōu)勢(shì)。譬如，劇本具有很強(qiáng)的一致性，且執(zhí)行速度快，可用于確定的流程場(chǎng)景。而智能體適合沒有流程或者現(xiàn)有流程有缺陷的場(chǎng)景，可以智能地進(jìn)行規(guī)劃，耗費(fèi)相對(duì)較長(zhǎng)的反復(fù)思考時(shí)間，自適應(yīng)地完成預(yù)定任務(wù)。當(dāng)某個(gè)智能體順利完成任務(wù)后，經(jīng)用戶確認(rèn)，應(yīng)將工作流程進(jìn)行恰當(dāng)?shù)墓袒?，變成某種“劇本”，以便后續(xù)可以更加一致高速地運(yùn)行。此外，當(dāng)前的工程實(shí)踐中，Agentic AI也不是純靠GenAI思考的，也需要某種“靜態(tài)工作流”的輔助。

5.4  自動(dòng)化優(yōu)先的SOC4.0

自動(dòng)化優(yōu)先是SOC4.0的關(guān)鍵特征之一。Gartner預(yù)測(cè)，到2027年，由于自動(dòng)化程度的提高和超大規(guī)模擴(kuò)展策略，25%的常見SOC任務(wù)的成本效率將提高50%。

如果把自動(dòng)化看作一項(xiàng)技術(shù)，那么自動(dòng)化優(yōu)先就代表一種SOC的設(shè)計(jì)理念。

從技術(shù)角度看，自動(dòng)化必須深度嵌入安全運(yùn)營(yíng)平臺(tái)的數(shù)據(jù)架構(gòu)和流程架構(gòu)之中。數(shù)據(jù)編織架構(gòu)是原生自動(dòng)化的，從數(shù)據(jù)自動(dòng)化采集，到基于規(guī)則或者基于模型的自動(dòng)化數(shù)據(jù)分析，再到各類安全報(bào)表報(bào)告的自動(dòng)定期生成和分發(fā)。面向流程的編排引擎也是原生自動(dòng)化的，不論是劇本編排還是服務(wù)流程的編排，流程節(jié)點(diǎn)都是基于規(guī)則自動(dòng)跳轉(zhuǎn)。

從設(shè)計(jì)理念角度看，自動(dòng)化優(yōu)先體現(xiàn)了對(duì)安全運(yùn)營(yíng)過(guò)程中人與機(jī)器之間協(xié)作關(guān)系的重新適配，從而使得SOC4.0與其它SOC顯著不同。

在SOC4.0之前，安全運(yùn)營(yíng)組織和流程基本都是建立人工處理的基礎(chǔ)之上的。譬如很多企業(yè)和組織建立了監(jiān)測(cè)、研判、處置團(tuán)隊(duì)，或者L1、L2、L3三線團(tuán)隊(duì)，通過(guò)有組織的分工協(xié)作，實(shí)現(xiàn)對(duì)安全告警和事件的閉環(huán)響應(yīng)。這些組織基本上采用金字塔機(jī)構(gòu)，負(fù)責(zé)監(jiān)測(cè)或者L1團(tuán)隊(duì)人員最多，往上逐漸減少，表明監(jiān)測(cè)告警的工作量最大。隨著安全運(yùn)營(yíng)平臺(tái)的不斷升級(jí)迭代，自動(dòng)化水平不斷提升，各級(jí)團(tuán)隊(duì)越來(lái)越多依賴自動(dòng)化來(lái)提升自身的工作效率，但整個(gè)團(tuán)隊(duì)設(shè)置和流程設(shè)計(jì)基本上沒有變化。隨著自動(dòng)化運(yùn)營(yíng)的成熟和智能化運(yùn)營(yíng)的引入，現(xiàn)有的組織和流程阻礙了運(yùn)營(yíng)效能的提升。

在SOC4.0時(shí)代，安全運(yùn)營(yíng)的組織、流程將進(jìn)行全面改造，建立起以自動(dòng)化為優(yōu)先的組織結(jié)構(gòu)和運(yùn)營(yíng)流程，依托自動(dòng)化安全運(yùn)營(yíng)平臺(tái)，重新調(diào)配人員配置、崗位職責(zé)、工作流程和規(guī)程，讓人的價(jià)值在合適的地方得到真正發(fā)揮。譬如，L1團(tuán)隊(duì)人員將大幅減少甚至取消，分流到其它團(tuán)隊(duì)，告警的分類分級(jí)和安全事件的生成工作已經(jīng)盡可能地交給安全運(yùn)營(yíng)平臺(tái)智能自動(dòng)的執(zhí)行。L2團(tuán)隊(duì)的工作起點(diǎn)不是對(duì)事件進(jìn)行規(guī)程化的調(diào)查，而是基于安全運(yùn)營(yíng)平臺(tái)自動(dòng)化事件調(diào)查的結(jié)果進(jìn)行研判。處置團(tuán)隊(duì)則更多的是與相關(guān)安全事件的責(zé)任部門、IT部門進(jìn)行溝通協(xié)商，確定處置方案，真正的處置指令執(zhí)行交由安全運(yùn)營(yíng)平臺(tái)自動(dòng)執(zhí)行。然后，各個(gè)環(huán)節(jié)節(jié)約下來(lái)的編制投入到安全運(yùn)營(yíng)有效性驗(yàn)證、價(jià)值評(píng)估、常態(tài)化攻防對(duì)抗演練、滲透測(cè)試等其它更重要且缺乏人手的工作中去。

自動(dòng)化優(yōu)先的流程設(shè)計(jì)要求盡可能地將機(jī)器與機(jī)器之間多步交互變成完全自動(dòng)化的，同時(shí)盡可能地減少人與機(jī)器、人與人之間的交互步驟，充分發(fā)揮自動(dòng)化的能力，簡(jiǎn)化流程。

自動(dòng)化優(yōu)先的安全運(yùn)營(yíng)組織和流程設(shè)計(jì)的目標(biāo)是完善組織結(jié)構(gòu)、簡(jiǎn)化運(yùn)營(yíng)流程、提升運(yùn)營(yíng)效率，但并不意味著減少人員。SOC4.0體系之下，還有很多安全運(yùn)營(yíng)工作尚待開展，亟需大量人員投入，譬如安全內(nèi)容開發(fā)運(yùn)營(yíng)、威脅獵捕、有效性驗(yàn)證、對(duì)抗演練，等等。

對(duì)于安全運(yùn)營(yíng)平臺(tái)而言，自動(dòng)化優(yōu)先意味著需要平臺(tái)提供有力的支撐，重點(diǎn)是要提供一個(gè)可靈活定制的、基于編排的流程架構(gòu)驅(qū)動(dòng)的安全協(xié)作中心。

最后，自動(dòng)化優(yōu)先不等于自動(dòng)化一切，自動(dòng)化只是手段不是目標(biāo)，安全運(yùn)營(yíng)最終還是面向人的。正如Gartner所言，永遠(yuǎn)不會(huì)有完全自動(dòng)化的SOC，與追求端到端自動(dòng)化相比，聚焦于關(guān)鍵任務(wù)和工作流程的自動(dòng)化更加有效。

5.5  實(shí)戰(zhàn)化的SOC4.0

實(shí)戰(zhàn)化作為SOC4.0的另一個(gè)關(guān)鍵特征，體現(xiàn)了以人為本、面向協(xié)作、價(jià)值交付的平臺(tái)使用模式，本質(zhì)上就是要讓安全運(yùn)營(yíng)平臺(tái)簡(jiǎn)單、好用。SOC4.0要從多個(gè)方面入手，不斷提升平臺(tái)的實(shí)戰(zhàn)化水平，增強(qiáng)安全運(yùn)營(yíng)人員和各級(jí)管理者的獲得感。

SOC4.0要為安全運(yùn)營(yíng)組織的每個(gè)角色提供相適應(yīng)的UI和簡(jiǎn)潔的用戶體驗(yàn)，讓他們無(wú)摩擦地使用平臺(tái)。

SOC4.0要加強(qiáng)流程架構(gòu)驅(qū)動(dòng)的安全協(xié)作中心的功能設(shè)計(jì)，讓安全運(yùn)營(yíng)流程能夠真正落到平臺(tái)上，同時(shí)要支持多樣化的協(xié)同工作模式，便于運(yùn)營(yíng)人員之間、跨安全和業(yè)務(wù)團(tuán)隊(duì)之間交流分享，便于各類安全工具、設(shè)備和系統(tǒng)之間協(xié)同工作。

SOC4.0要加強(qiáng)平臺(tái)自身數(shù)字化的功能設(shè)計(jì)，實(shí)現(xiàn)安全運(yùn)營(yíng)的數(shù)字化，對(duì)數(shù)據(jù)處理、流程運(yùn)行和人員工作等過(guò)程進(jìn)行全程記錄，對(duì)安全運(yùn)營(yíng)平臺(tái)中的數(shù)據(jù)、安全內(nèi)容、流程進(jìn)行有效性驗(yàn)證和價(jià)值評(píng)估，對(duì)安全運(yùn)營(yíng)人員實(shí)施績(jī)效考核。

SOC4.0還需要考慮如何讓平臺(tái)的使用者便捷地、與時(shí)俱進(jìn)地?cái)U(kuò)展SOC平臺(tái)的業(yè)務(wù)能力。

回首過(guò)去，安全運(yùn)營(yíng)平臺(tái)從面向資產(chǎn)的SOC1.0到面向業(yè)務(wù)的SOC2.0，再到數(shù)據(jù)驅(qū)動(dòng)的SOC3.0的疊加演進(jìn)過(guò)程，也是中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)從合規(guī)導(dǎo)向回歸到對(duì)抗本質(zhì)的疊加演進(jìn)過(guò)程。數(shù)據(jù)驅(qū)動(dòng)SOC已經(jīng)成為共識(shí)，安全運(yùn)營(yíng)平臺(tái)在技術(shù)上實(shí)現(xiàn)了巨大進(jìn)步。大數(shù)據(jù)技術(shù)、威脅情報(bào)、AI、SOAR等技術(shù)的應(yīng)用，讓安全運(yùn)營(yíng)平臺(tái)處理和分析數(shù)據(jù)的規(guī)模越來(lái)越大，安全運(yùn)營(yíng)過(guò)程也越來(lái)越主動(dòng)、智能和自動(dòng)。

審視當(dāng)下，安全運(yùn)營(yíng)平臺(tái)依然面對(duì)諸多挑戰(zhàn)，包括：實(shí)戰(zhàn)化程度不夠、大數(shù)據(jù)導(dǎo)致數(shù)據(jù)過(guò)載和工作疲勞、平臺(tái)的智能化和自動(dòng)化水平亟待提升、安全運(yùn)營(yíng)價(jià)值難以體現(xiàn)、定制擴(kuò)展能力薄弱，等等。SOC3.0的數(shù)據(jù)架構(gòu)、流程架構(gòu)、智能化程度和自動(dòng)化水平已經(jīng)無(wú)法驅(qū)動(dòng)安全運(yùn)營(yíng)進(jìn)一步提升。

近兩年，生成式AI為SOC的變革帶來(lái)重大機(jī)遇。以LLM為核心的GenAI和Agentic AI在傳統(tǒng)AI的基礎(chǔ)之上，憑借普適化、普惠化、協(xié)作化、自主化和知識(shí)價(jià)值快速釋放等特性，使安全運(yùn)營(yíng)效能獲得了極大提升，AI賦能的SOC4.0應(yīng)運(yùn)而生。

SOC4.0是一個(gè)AI賦能的、數(shù)據(jù)與流程雙輪驅(qū)動(dòng)的、自動(dòng)化優(yōu)先的實(shí)戰(zhàn)化安全運(yùn)營(yíng)平臺(tái)。同時(shí)，無(wú)論如何演變，SOC始終遵循風(fēng)險(xiǎn)管理思想，以實(shí)現(xiàn)網(wǎng)絡(luò)彈性、保障業(yè)務(wù)平穩(wěn)運(yùn)行為目標(biāo)。

SOC4.0采用以Agentic AI為核心的復(fù)合式AI賦能安全運(yùn)營(yíng)，采用基于安全數(shù)據(jù)編織的新一代數(shù)據(jù)架構(gòu)和基于安全編排的新一代流程架構(gòu)的雙輪模式驅(qū)動(dòng)安全運(yùn)營(yíng)，采用自動(dòng)化優(yōu)先和面向?qū)崙?zhàn)的設(shè)計(jì)理念。

展望未來(lái)，隨著AI的能力越來(lái)越強(qiáng)大，AI應(yīng)用門檻將不斷降低，AI應(yīng)用方式將越來(lái)越便捷，SOC4.0的智能化水平將不斷提升。安全運(yùn)營(yíng)將始終以人為本，以數(shù)據(jù)和流程為底座，AI永遠(yuǎn)不能取代人，而是增強(qiáng)人、賦能數(shù)據(jù)和流程。

未來(lái)已來(lái)！現(xiàn)在開始，邁入AI賦能的SOC4.0（Agentic SecOps Platform）時(shí)代！