FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

随着告警量和人员倦怠达到临界点，越来越多的安全领导者正在依赖 AI 来承担分流、检测工程和威胁狩猎等关键任务。

一项覆盖 282 位来自不同行业安全负责人的综合调研揭示了现代安全运营中心（SOC）所面临的严峻现实：告警数量已经达到不可持续的水平，导致团队不得不放弃对部分关键威胁的调查。研究主要在美国企业中展开，结果显示，AI 在安全运营中的角色已从"实验性尝试"转变为"必不可少"，因为团队正在努力应对持续增长的告警洪流。

整体来看，行业正处于一个临界点：传统 SOC 模式在巨大压力下摇摇欲坠，而 AI 驱动的解决方案正在成为前进的主流方向。

警报量达到临界点

安全团队正被海量告警淹没，企业平均每天要处理 960 条告警。大型企业的处境更加艰难，平均每天面对超过 3,000 条告警，且这些告警来自约 30 种不同的安全工具。

如此庞大的数量带来了根本性的运营危机。SOC 团队必须在极端时间压力下做出艰难的检测与调查决策。调研表明，告警疲劳已不只是心理负担，而是一种可量化的运营风险 。

调查仍旧缓慢而依赖人工

数据本身凸显了问题规模：完成一次告警调查平均需要 70 分钟，而在此之前，告警平均要等待 56 分钟才会有人开始处理。换句话说，大量告警根本无法及时被关注。

尤其是在处理需要立即响应的高优先级事件时，这样的延迟是无法接受的，甚至可能放大攻击的影响。例如，CrowdStrike 的最新威胁报告显示，商业邮件入侵（BEC）类攻击平均只需 48 分钟即可演变为严重事件 。

不堪重负的SOC 的隐性代价

调查显示，40% 的安全告警因人力和资源不足而完全无人处理。更令人担忧的是，61% 的安全团队承认曾忽视过一些告警，而这些告警最终被证明是关键性安全事件。

这意味着 SOC 在根本层面上出现了崩溃：负责保护企业的团队被迫放弃近一半潜在威胁的调查。这并非疏忽，而是对"不可能完成的工作量"的被动妥协。

SOC团队在全天候运营中苦苦挣扎

调研还揭示出持续性运营的关键缺口。许多企业无法保证 7×24 小时的 SOC 覆盖，夜间与周末等"空窗期"由少量人员值守，但面对的告警量与白天高峰无异。

分析师的倦怠已从单纯的人力资源问题转变为可量化的运营风险。为了减轻压力，部分团队甚至默认"屏蔽部分检测规则"，这种方式虽然能暂时缓解工作量，但也带来了潜在的安全盲点。

由于网络安全分析本身的高度专业化，加之人才短缺，企业很难快速扩编 SOC 队伍来匹配不断增长的告警数量。

AI：从试验到战略重点

AI 在安全运营中的角色正快速上升，已经跻身与云安全、数据安全并列的三大优先事项之一。这代表着安全领导者正在把 AI 视作提升运营成功的关键能力。

目前，已有 55% 的安全团队在生产环境中使用AI助手或副驾 ，以支持告警分流和调查。 未来趋势同样明确：尚未部署 AI 的团队中，60% 计划在一年内开始评估 AI SOC 方案。整体来看，未来三年内预计 60% 的 SOC 工作负载将由 AI 承担 。

AI 的核心应用场景

安全团队明确指出了 AI 能带来直接价值的关键领域：

• 告警分流（67%）
• 检测调优（65%）
• 威胁狩猎（64%）

这些任务主要集中在调查的早期阶段，AI 能帮助筛选出更有意义的告警、补充上下文，并承担重复性分析。目标并非"取代人工判断"，而是加速工作流，让分析师聚焦在更高价值的任务上 。

仍存障碍，但势头不可阻挡

尽管前景明朗，但安全领导者也提到了一些落地障碍：

• 数据隐私问题
• 集成复杂度
• AI 可解释性的需求

这些因素仍然影响了部分企业的采纳速度。

未来 SOC 的工作模式

调研勾勒出一个清晰的趋势：未来 SOC 将是 AI**+ 人类的混合模式** 。AI 负责常规分析与自动化任务，而人类分析师专注于复杂调查与战略决策。

衡量成功的关键指标也在演变。除了传统的告警关闭率外，更多企业将关注 平均调查时间（MTTI）和平均响应时间（MTTR）的缩短 。AI 还能作为培训工具，加速新 SOC 分析师的成长速度。

通过 AI 增强实现全面覆盖，SOC 将能够在更低人力投入下调查更多告警，降低因人力瓶颈带来的风险。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）