文章总结： 该文档探讨安全运营的本质演变，从早期关注攻击检测转向应对海量事件处理与风险理解。作者通过沃尔玛和字节跳动的案例指出，安全运营核心在于构建企业自身的风险认知体系而非单纯依赖技术产品。AISOC主要提升标准化流程效率，但无法替代基于业务上下文的安全判断。最终强调安全投入应聚焦风险控制与业务保障，而非追逐技术概念。 综合评分： 85 文章分类： 安全运营,AI安全,安全建设,威胁情报,解决方案

以前研究检测能力，后来研究安全运营

原创

jishuzhain jishuzhain

OnionSec

2026年6月9日 21:02 广东

在小说阅读器读本章

去阅读

最近看到一家国外安全厂商 Binary Defense 发布AI SOC相关产品介绍，起初以为又是一轮AI营销叙事，但认真思考后发现，这个话题背后其实隐藏着一个更值得关注的问题：安全运营到底在解决什么问题？

刚接触安全的时候，总觉得安全工作的核心价值在于发现攻击。那时候喜欢研究ATT&CK，研究攻击者使用了什么技术、绕过了什么防御、利用了什么漏洞。后来接触越来越多企业安全实践后，慢慢发现事情并没有那么简单。

无论是终端安全、威胁狩猎还是反入侵工作，很多人天然会把关注点放在检测能力上，例如能否发现APT、能否发现未知威胁、能否识别高级攻击者。但如果真正站在企业视角看问题，会发现安全团队面对的现实往往不是发现不了攻击，而是每天产生的海量事件远远超过了人能够处理的数量。

以前总觉得SOC的职责是发现攻击，后来发现SOC更多是在处理信息洪流。终端日志、认证日志、网络流量、云平台事件、安全设备告警持续不断地产生，安全团队最大的挑战很多时候不是缺少线索，而是如何从数以万计的事件中找到真正值得关注的那几个信号。

前段时间接触到沃尔玛的安全团队时，一个很深的感受是他们对安全运营体系建设的重视程度。相比单纯采购产品或者依赖外部托管服务，他们更关注如何将能力沉淀到组织内部。日志标准如何制定、检测规则如何建设、威胁狩猎如何开展、经验如何积累并持续复用，这些事情远比单纯购买一个安全产品更加重要。后来再回头看，会发现企业最终建设的并不是一个SOC平台，而是一套属于自己的安全运营体系。

与此同时，接触字节跳动安全团队时又看到了另一种思路。相比传统SOC关注告警处理效率，他们更加重视反入侵能力本身。检测只是开始，如何理解攻击者意图、如何发现隐藏行为、如何从一次事件还原整个攻击链条，往往才是真正有价值的部分。到了这个阶段，安全工作的核心已经不再是执行流程，而是利用专家经验不断提升整个防御体系的认知能力。

也正是在这样的背景下，我开始重新理解最近几年越来越火的AI SOC。

很多宣传会强调自动调查、自动分析甚至自动响应，甚至会给人一种“无人SOC”即将到来的错觉。但如果抛开营销叙事去看，本质上AI解决的并不是安全问题，而是部分运营环节中的效率问题。过去一个分析师需要花费大量时间阅读日志、关联事件、整理证据、编写报告，现在这些标准化流程开始逐步被机器接管。换句话说，AI真正改变的更像是生产力，而不是安全工作的本质。

回头看安全行业这些年的发展，从SIEM到SOAR，从XDR到如今的AI SOC，几乎每隔几年都会出现新的概念热潮。热潮背后当然存在真实价值，但商业宣传往往会走得比现实落地更远一些。因为对于企业来说，人力成本始终是一项重要开销，而对于厂商来说，“减少用人”远比“提升20%的效率”更容易打动决策者。于是我们经常看到“AI分析师”“AI猎手”“自动化SOC”之类的说法。

但现实情况可能没有那么戏剧化。

如果一个企业缺少完整的日志采集能力，缺少资产管理体系，缺少检测规则建设能力，缺少对业务的理解，那么再先进的AI也无法凭空创造出不存在的数据。很多SOC项目最终效果不佳，并不是因为分析能力不足，而是因为观测能力不足。模型能够消费数据，却无法创造数据；能够利用经验，却无法自动积累经验。

这也是我后来逐渐意识到的一件事：AI能够帮助分析结果，却无法替代定义问题的人。

安全行业真正稀缺的能力从来不是点击按钮或者处理告警，而是知道什么值得关注、什么值得检测、什么行为真正代表风险。很多攻击之所以能够被发现，并不是因为某个模型突然变得足够聪明，而是因为安全团队知道什么行为符合业务逻辑，什么行为偏离正常基线。真正有价值的判断往往来自上下文，来自经验，来自对企业自身环境的长期理解。

从这个角度再去看反入侵工作，也许会有不同的理解。以前总觉得反入侵工作的重点在于掌握更多攻击技术，后来发现攻击技术固然重要，但更重要的是建立对企业整体运行状态的理解。攻击链分析、威胁狩猎、检测工程、事件响应，这些工作的价值最终都指向同一个目标：帮助组织更好地理解自身风险。

后来我发现，企业建设SOC、建设反入侵体系、建设AI能力，最终目标都不是为了拥有这些系统本身。没有企业会因为部署了更多告警规则而获得竞争优势，也没有企业会因为拥有更大的SOC团队而天然成功。所有安全投入最终都指向同一个目标：降低风险，保障业务持续运行。

从这个角度再看AI SOC，问题或许就不再是它能否替代分析师，而是它能否帮助企业以更低的成本获得同样甚至更好的风险控制能力。如果答案是肯定的，那么它就有价值；如果答案是否定的，那么再先进的技术也只是新的概念包装。

过去几个月阅读了很多关于攻击者、ATT&CK、终端检测与响应以及零信任相关的内容，最近回头再看，最大的变化或许不是掌握了多少技术细节，而是开始把关注点从攻击者转移到系统本身，从检测能力转移到运营能力，从单点产品转移到整体体系。

以前研究攻击者，后来研究攻击面；以前研究检测能力，后来研究安全运营。再往后看，或许安全运营本身也不是终点，它最终指向的是组织如何积累认知、如何理解风险以及如何持续做出正确决策。

技术会变化，产品会迭代，概念也会不断更新。SOAR留下了自动化思想，XDR留下了跨域关联能力，而AI SOC正在推动安全运营进一步提升效率。但如果因此认为AI能够替代安全专家，甚至实现完全无人化安全运营，或许又陷入了另一种技术乐观主义。因为安全工作的本质从来不是处理告警，而是理解风险；不是执行流程，而是做出判断。前者容易被自动化，后者至今仍然高度依赖经验、上下文以及对业务的理解。

回想今天和同行交流时，曾经聊过一个被APT潜伏数年的案例。当时大家讨论各种安全产品、各种安全理念，最后发现真正值得解决的问题或许并没有那么复杂。做好权限治理、做好身份控制、解决最关键的几个风险点，往往比继续堆叠新的概念更有价值。后来越来越觉得，方法和手段终究只是手段，解决问题才是目的。商业世界里从来不存在绝对正确的方案，只有在特定预算、特定场景和特定风险下的最优解。

想到这里，反而对未来少了一些焦虑。技术浪潮总会一波接着一波，今天讨论AI SOC，明天还会出现新的概念。但真正能够穿越周期的，往往不是某个产品，也不是某项技术，而是那些能够把业务、系统、攻击者和风险连接起来的人。

想起王阳明的一句话：“知是行之始，行是知之成。”很多答案并不在产品宣传里，也不在概念热潮中，而是在一次次真实的问题、真实的业务场景和真实的风险权衡里慢慢浮现出来。回头再看，那些曾经追逐过的概念与技术，或许都只是路上的风景；而真正重要的答案，其实一直藏在问题本身之中。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain jishuzhain《以前研究检测能力，后来研究安全运营》