【摘要】本文首先介绍了2025年Gartner北美安全峰会上提出的2025年3个重要网络安全技术，然后详细分析了2025年安全运营4个展望，并据此给出了笔者对未来安全运营发展的4个研判：依托生态型平台，构建主被动结合的能力，组建混合式团队，采用AI增强的流程。

2025年6月初，一年一度的Gartner最大规模的安全与风险峰会在美国举行。本次大会上，AI、尤其是GenAI和AI Agent无疑成为了焦点，除了如何将AI赋能安全的各个领域，更多则是聚焦AI自身的安全。

本文结合此次峰会的材料，以及Gartner相关的报告，着重分析2025年的网络安全运营（SecOps）技术发展趋势。

关键要点

1. 2025年重要的网络安全技术包括：LLM防火墙、xSPM、安全平台。

2. 2025年安全运营领域的四个展望是：最佳单品与生态（平台）之争日趋激烈、混合式安全运营团队已成定局、暴露管理成为安全运营必备、AI增强而非取代安全运营人员。

3. 结合Gartner对当前安全运营的展望，笔者给出未来安全运营的发展趋势：安全运营的平台架构是生态型的，安全运营的组织结构是混合式的，安全运营的关键能力是主被动结合的，安全运营的工作过程是自主化的。

2025年重要的网络安全技术

在《2025年重要网络安全技术》议程中，Neil MacDonald从保障GenAI使用安全、新兴的主动与预防性安全技术、平台融合三个方面给出了三类需要重点关注的网络安全技术。

1）用LLM防火墙保障GenAI使用安全

根据Gartner的一项调查，GenAI位居2025年安全投资之首。因此如何保障GenAI的安全成为关键，AI TRiSM（AI信任、风险与安全管理）技术框架，尤其是这个框架中的AI运行检查与执行技术（指在AI系统运行过程中，对其进行实时监测、分析和控制，以确保系统的安全性、可靠性和合规性的一系列技术和措施）十分重要。而这个技术的一个具体表现形式就是LLM防火墙（如下图所示）。

2）以xSPM为代表的主动与预防性安全技术

Neil将自己的CARTA架构（前身是自适应安全架构）与NIST的CSF做了一个整合，并将整个闭环划分为主动安全和被动安全两个维度（如下图所示）。

Gartner认为，未来的安全一定是主动和被动相结合，而随着DR类被动安全领域近些年的长足发展，焦点将逐步转移到主动安全领域。在2025年，主动安全领域的关键技术是xSPM，即面向特定领域的安全姿态管理【笔者注：这里Posture应翻译为“姿态”，而不是“态势”，以跟“态势感知”（Situational Awareness）中的“态势”保持区别，二者有很大区别】，譬如ASPM（应用安全姿态管理）、SSPM（SaaS安全姿态管理）、DSPM（数据安全姿态管理）。

3）各种安全平台技术盛行

Garnter的调研显示，大型组织使用的安全工具数量的平均值在43个，引入的安全供应商平均值在20个，而其中有62% 的组织目前正在推进安全供应商整合。正如笔者在《2024年安全运营技术趋势回顾》一文所分析的那样，未来几年，包括安全运营在内的各种安全能力整合化将成为一个重要趋势。而整合化的主要表现形式就是各种安全平台。下图展示了一个安全平台的概念框架。

Gartner表示，工具和供应商整合的根本目的不是为了省钱，而是为了降低安全的复杂度。复杂是安全最大的敌人。CISO 希望安全平台整合能够帮助提高员工的工作效率和效益。Gartner认为，大一统的安全平台目前看还很遥远，更多是将某个领域内的多种工具和供应商进行整合，譬如数据安全平台、AI安全平台、CPS（如工控、车联网等）保护平台，又譬如工作空间安全平台、工作负载安全平台、SASE平台等。显然，安全运营平台也是一类安全平台，本文后面将详述。

2025年安全运营展望

在本届峰会上，Gartner分析师Eric Ahlm提出了安全运营的四大展望，分别是：最佳单品与生态（平台）之争、混合式SOC、暴露管理、增强型运营。

首先，最佳单品与生态之争反映了当下盛行的安全平台化战略背景下“融合型安全运营平台”对过去以SIEM为核心、集成各种单项安全工具的“集成型安全运营平台”带来的冲击。

其次，当前企业和组织的安全运营人力不足，技能短缺，而面临的安全威胁日益严峻，因此，仅靠企业和组织自身团队力量难以做好安全运营。Gartner近几年一直强调未来的安全运营一定是混合式的，必须将战术性运营工作和通用型安全技能进行外包，构建自营和外包相结合的混合式安全运营模式。

第三，暴露管理（CTEM）一直是Gartner主推的安全项目，代表了主动安全的一个发展方向。暴露管理对于安全运营最大的价值在于让安全运营的工作更加主动，能够在威胁实际发生之前对安全隐患进行消除或规避，而在安全检测与响应环节也能提供大量的上下文（情境）信息，提升检测与响应的精准度和效率。

最后，随着GenAI在安全运营领域的应用模式逐步从早期的AI助理向更高阶的自主智能体演进，GenAI的应用更多体现为智能体，但Gartner认为在可预见的未来，不会出现完全自主的SOC，AI（尤其是智能体）更多还是用于增强SOC，赋能分析师，而不会成为真正独立的“机器人分析师”（队友）。

以下针对上述四个方面，笔者结合自身的实践体会进行详细解读【注：以下4个方面的标题为笔者所取】。

最佳单品与生态（平台）之争：构建生态型安全运营平台

基于SIEM集成各种单品构建安全运营平台面临挑战

Gartner分析师Eric Ahlm表示，长久以来，安全运营平台（SOP）的构建都是采用基于单项最佳产品进行集成的方式，譬如通过采购优秀的SIEM产品、威胁情报服务、CWPP、EDR、NDR、漏扫、ASM、SOAR等，然后以SIEM为纽带进行集成，并整合其他安全设备日志和告警，形成安全运营平台【注：笔者将这种方式定义为“集成型安全运营平台”】。但是这种方式暴露的问题日益突出，最关键的就在于SIEM集成成本、运营成本居高不下，且运营效果不佳。

融合型安全运营平台更好交付安全成果

近几年，出现了一种新的构建安全运营平台构建模式，以Palo Alto Networks（PAN）为先锋，CrowdStrike，SentienlOne，微软等紧随其后的一众大厂纷纷通过提供所谓“原生集成”的安全运营平台和SaaS化服务模式入局SOC市场。这类“原生集成”的安全运营平台最大特点就是将自家的SIEM、EDR、NDR、TIP、SOAR甚至ASM融合到一个平台之下，提供一体化的功能和统一的用户界面，大幅降低平台部署实施和运营的复杂度，提升运营体验，并敢于承诺运营效果【注：笔者将这种方式称之为“融合型安全运营平台”】。以PAN为例，其XSIAM平台一经推出，取得了巨大的业绩突破和飞速的增长，足见其在客户侧的认可程度。Eric表示，这种新的构建模式，迎合了构建安全运营平台的评估标准正在从“该平台具备哪些功能” 转向 “该平台是否真能降低运营复杂度，并交付我们所需的安全成果”的趋势。

笔者认为，融合型安全运营平台之所以能够降低运营复杂度并敢于承诺运营效果，就在于首先将用户侧的集成工作前置到厂商侧，在出厂前就做好了；其次则是在产品设计时仅考虑有限的自有产品间的集成和整合，具有更好的可控性，更容易嵌入预设的场景，开发成本也更低（不用支持五花八门的设备）。而传统的集成型安全运营平台难就难在一方面无法预先确定集成对象，需要保持最大程度的开放性，增加了平台设计开发难度和成本；另一方面平台所能取得的效果依赖于各种集成的第三方设备，有的设备如果接口不完备，或者产生的告警太差，都会影响效果的达成，需要更多的优化时间（和成本），因而不如融合型安全运营平台“容易出效果”。

显然，融合型安全运营平台的这种“提前集成”和“简化融合”策略恰恰使得平台更加易于使用，用户体验更好，更容易出效果，运营成本也更低（协调沟通工作明显减少，平台有问题找一个厂家就好），迎合了用户的期待。

应该说，集成型安全运营平台的设计之初也是结果导向的，但受限于用户现有条件（例如需要被集成的设备各不相同，接口开放性和标准化程度参差不齐），很难提前设定较高预期。

构建融合型安全运营平台并非简单加法

需要特别指出的是，融合型安全运营平台尽管在提前整合的单点产品数量上做了精简，但整合的深度却大大提升，绝不是将几个自家的产品整到一起再包个外壳了事（可以看作“全家桶1.0”），是一种深度的产品融合，可以看作是“全家桶2.0”。这种融合平台通常具有统一的管理控制台，统一的策略管理，统一的数据存储，高度一致的用户体验（如用户界面），等等。以Palo Alto Networks为例，尽管其EDR、SOAR、ASM等产品都收购自不同的公司，但是他们将这些产品融合的时候进行了重构，最终做出来的XSIAM在使用SIEM、EDR、SOAR、ASM等功能时界面完全一致，后台的数据也完全融合。这其实体现了安全平台厂商在产品整合、架构设计、研发管理方面的深厚功底。反观国内，很多大厂一直难以将自身的各种安全产品进行融合，更不用说收购进来的产品融合了，何况还有不少OEM的东西。这不仅是技术问题，也是管理问题。

此外，要做出优秀的融合型平台，其单项产品能力也基本上要属于一流水平之列，否则综合能力也难优秀。譬如，PAN在2023年的RSAC大会上就表示平台的各种能力不仅是“原生集成”的，各单项能力也都必须是同类最佳的。这对平台厂商提出了很高的要求，国外也没有几个大厂能够有这种实力。放眼国内，当前即便是主流的单项能力尚有较大提升空间，此时大谈融合自身多个单项能力的平台可以做到优秀实在有些牵强。因此，国内即便有融合安全运营平台的需求，供给侧也比较勉强。

选择集成型SOP还是融合型SOP？

那么，未来属于融合型安全运营平台吗？情况没那么简单。

对于很多用户而言，引入安全运营平台并不是从安全建设之初就发生的，他们大都会首先进行基础设施的安全建设，采购和部署边界安全设备，然后是主机和端点安全，应用安全，等等。这个过程基本都会采用选择同类最佳/最优产品的策略，部署很多最佳/最优单品。等到他们考虑部署安全运营平台的时候，只能基于现有条件采购集成型安全运营平台，将他们现有的最佳单品进行集成，捎带补充一些单点能力。如果这个时候采用融合型安全运营平台，势必要废弃现有的部分（甚至所有）单点产品。因此，单看平台本身，可能融合型安全运营平台成本低，但从整个安全体系建设来看，反而可能更高。

如果用户改变上述那种阶段性安全建设的方法，转而在一开始总体安全规划的时候就把安全运营考虑进去并在一开始就部署安全运营平台，则的确更值得考虑融合型安全运营平台策略。但这时用户可能又需要考虑其他的问题：将安全体系的大部分甚至全部托付给一个厂商是否可行？风险多大？厂商能否提供全局最佳/最优的解决方案？安全威胁总是不断变化，这个厂商以后能够持续提供应对新威胁的新能力，或者是否会有意排斥更好的产品和技术，是否会被厂商“锁定”？如果以后要切换供应商，成本有多高？Garnter认为，融合型安全运营平台的困境在于不可避免的产生“供应商锁定”担忧。

进一步分析，融合型安全运营平台能够满足客户的所有运营需求吗？显然不可能。即便客户部署了融合型平台，依然可能需要或多或少地引入第三方安全遥测设备或者工具，即便现在不需要引入，未来也可能需要引入。这就导致了一个悖论。融合型平台可以减少供应商，但不可能归为一个供应商。8月份，在LinkedIn上有人发出一个题为“安全整合将在2026年消亡”的帖子，表示“平均而言，整合的企业运行着1个主要供应商的平台，外加12-18个平台无法完全处理的专用工具”，进而引发热烈的讨论【注：上述LinkedIn帖子建议看下面的讨论，则更加精彩】。

因此，哪种方式更好不能一概而论，必须根据用户实际情况和自身规划而定。事实上，正如Garnter的SIEM市场报告所言，SIEM市场增长率在17%以上，足见以SIEM为核心的集成型安全运营平台的重要市场地位。当然，以SIEM为核心的集成型安全运营平台将不再是唯一选择。而即便是集成型安全运营平台自身也需要重构，譬如《SOC不相信厂商整合》一文介绍了一种新型的集成型安全运营平台架构。

根据Gartner的分析，大型和SecOps成熟度更高的客户更倾向于集成型安全运营平台，而中型客户则可能更倾向于融合型安全运营平台，对于中小型客户则建议优先考虑MSS/MDR而非自建平台。

笔者认为，选择哪种模式的平台，取决于客户构建安全体系的技术路线。

生态型安全运营平台或可占据一席之地

在峰会上，Gartner分析师Eric将融合型安全运营平台的出现看作SOC建设从“功能导向”到“结果导向”的一种转变，并将这种新的模式称作“生态化方法（Ecosystems Approach）”。笔者十分欣赏“生态”这个词，并且认为生态这个概念可以扩大一下，不仅指代狭义的“全家桶2.0”式的融合型安全运营平台所代表的某个厂商的内部生态，更可以指代某种相关单点产品和平台厂商之间建立生态联盟条件下为客户提供的“生态型安全运营平台”。而这种模式可能更适合当前的中国市场。

进一步分析，笔者认为，正是在“结果导向”的带动下，传统的集成型安全运营平台存在的顽疾已经很难保证结果的有效性，而国外出现的融合型安全运营平台在国内暂时还不具备大规模落地的可行性，因此需要一种折衷的方案，即“生态型安全运营平台”。该方案需要将平台所需能力的整合尽可能放到提供给客户之前，但整合的产品不需要完全来自同一个厂商，而是来自一个生态联盟。这个联盟成员之间开放标准化的、能够深度整合的接口，并提前进行整合，形成一个统一的多体架构和具有较高一致性的平台操作界面。同时，该方案保留在客户侧进一步按需集成的能力。生态型安全运营平台介于融合型和集成型之间，既能一定程度上简化平台的复杂度和运营成本，又不至于落入“供应商锁定”的困境。

自建还是外包：构建混合式安全运营团队

安全运营工作仅靠自身力量难以为继

多年来，Gartner一直有一个统计数据——对于大部分客户而言，一个安全运营中心要真正运营起来，至少需要12个人的团队。这就意味着，大部分用户的安全运营中心靠自身团队是运营不起来的，其结果就是顾此失彼，或者挑重要的干，遗留大量安全隐患。那么AI和自动化呢？对不起，Gartner已经把这些因素考虑进去了。为什么？后面会讲，这里暂不展开。

安全运营结合内外部力量是大势所趋

安全以人为本，安全运营更是无人不可。当前企业和组织的安全运营团队人手明显不足，并且由于预算和技能等原因，基本没法补齐。这时候，安全运营团队必须聚焦关键工作，而将一般性常规工作尽可能的进行外包，建立起一个混合式安全运营团队，实现混合安全运营（自己运营+委托运营）。这里的外包可以是人员驻场外包，也可以是远程运营服务外包。同时，外包比重或大或小，视不同客户而定。

在美国，混合安全运营已经成为主流，并且以远程服务为主。笔者相信，混合安全运营未来在中国市场也将成为主流，但短期内以驻场外包/托管为主。IDC数据显示，2024年中国托管安全服务市场规模为43.6亿元人民币。

如何构建成功的混合式 SOC？Gartner建议从 “战略性资源分配” 的角度思考。首先，所有的安全运营目标（工作）都要分配到角色，然后所有角色都要落实到人，不论是内部成员还是外包人员【笔者注：如果购买的是远程外包服务，则应落实到服务接口人】。其次，识别战略性工作，对于那些需要深度理解业务背景、需要单位特定知识或特定决策的战略性工作及其对应的角色，应该落实到单位内部团队成员上。第三，识别战术性工作，对于那些非本单位独有的常规性的任务和可以通过专业安全能力完成的任务（技术与战术层面工作），则可以委托给外包团队（安全运营服务提供商）。下图提供了一个分工示意，并展示了不同类型的服务提供商可以承担的角色【笔者注：Gartner提供的这个分工示意图是针对“狭义SOC”】。

Gartner指出，未来所有SOC都将采用混合模式。即便企业拥有足够人力独立运营 SOC，也不应排斥外包或托管服务，而应主动接纳这一模式，将其作为内部能力的重要补充。

当然，一个单位选择哪些战术性工作进行外包要视情况而定，并非所有的战术性工作都必须外包。

安全运营服务是大势所趋，但缺乏有效的平台支撑

可以预见，随着混合安全运营模式的持续发展与成熟，安全运营服务将成为网络安全领域的重要细分市场，一批专业的安全运营服务提供商也将随之崛起。对于这类服务商而言，单纯依靠人力外包（即 “卖人头”）的模式必定难以为继，要实现可持续发展，必须构建专属的安全运营服务平台，并配套标准化的服务流程与专业化的运营团队。其中，安全运营服务平台是服务成败的核心支柱，整个团队的协作效率、服务流程的落地质量，都需依托该平台才能有效运转，最终实现服务能力的稳定输出。

然而，当前国内安全运营服务市场仍面临显著短板，绝大部分服务商缺乏真正自主可控的安全运营服务平台，导致运营团队管理与服务流程推进难以实现规范化、规模化，进而引发两大核心问题：一是运营效果无法量化评估，服务价值难以直观呈现；二是运营质量缺乏稳定保障，难以满足企业对安全服务的持续性需求。具体来看，当前服务商的平台建设主要存在两种困境：部分服务商基于开源平台与工具进行定制开发，虽能搭建基础服务框架，但后续维护成本高、系统适应性差，难以扩大业务规模；另一部分服务商采购市场上的商业化通用平台，但这类平台多面向企业自建 SOC 设计，缺乏针对服务商场景的运营管理功能（如团队协作、流程管控、服务计费等），导致服务商难以充分发挥平台价值，不仅运营效率未获提升，更造成前期投入的投资回报率（ROI）极低。

因此，国内的安全运营服务提供商急需一个自主可控的安全运营服务平台。相比之下，国外已经出现了不少专门面向安全运营服务提供商的运营平台，为他们提供了更好的选择。

重视CTEM：构建主被动结合的安全运营能力

安全运营需要暴露（资产和弱点）运营

随着近些年在TDIR（威胁检测、调查与响应）领域的大力投入，业内在被动安全运营这方面已经取得了长足的进步，人们又开始将目光放到了主动安全运营领域。毫无疑问，安全运营需要主被动结合的能力。

Gartner认为，暴露管理将成为未来主动安全运营的重点技术，并能提升被动安全的效能。如下图所示，暴露管理包括暴露评估和暴露验证两个部分，对安全运营而言，能够实现更全面的感知资产态势，更好的优化安全措施，更高效的进行调查，及早减少误报，等等。

Gartner一直强调，基于暴露管理的持续威胁暴露管理（CTEM）体系将成为安全运营体系中的重要组成部分。

在Gartner宇宙中，持续威胁暴露管理(Continuous Threat Exposure Management，简称CTEM)是一套包含技术、流程和人员在内的系统性、集成化、迭代性的方法和体系，让企业和组织有意识地持续并一致地评估其数字资产和物理资产的可见性、脆弱性和可访问性，以持续优化提升安全姿态。Gartner将CTEM看作是一个过程和方法，而将暴露管理（Exposure Management，简称EM）看作是支撑CTEM的技术集合。

Gartner在2024年的安全运营展望中就包含了CTEM，今年则再次强调了这个趋势。笔者在Gartner 2024年安全运营展望中提到了CTEM的价值在于为SOC提供上下文，以及提升SOC自身的弹性/韧性，现在依然如此。

Gartner对暴露管理领域的概念进行整合

值得一提的是，在2025年，Gartner对EM技术集合进行了重新梳理，将诸多细分技术进行了大刀阔斧的整合，以顺应其对未来安全技术整合趋势的判断，也符合国际市场上相关厂商的实际动向。

首先，EM（也叫TEM）以后就只有两大细分，分别是暴露评估平台（EAP）和对抗性暴露验证（AEV），即EM = EAP + AEV。其它技术统统被整合。

其次，将原来独立存在的攻击面管理（ASM）技术族中的网络资产攻击面管理（CAASM）和外部攻击面管理（EASM）统统标记为“过时”，不再称作独立技术，被整合到EM，或者EAP和AEV中，成为它们的一组组功能点。而原ASM中的数字风险保护服务（DRPS）则被整合到威胁情报平台与服务（TIPS）中去了。

此外，原来的漏洞评估（VA）、漏洞优先级技术（VPT）都已经被整合到EAP中。而原来的突破与攻击模拟（BAS）、自动化渗透测试服务（PTaaS）都已经被整合到AEV中。

以后，Gartner将针对EAP和AEV出具研究报告，而不再单独研究ASM了。Gartner在2025年中国网络安全成熟度曲线报告中表示：

暴露管理正在向预防性安全（Preemptive Cybersecurity）方向发展

峰会上，分析师Peter Firstbrook深入分析了GenAI对网络安全带来的影响，包括推动安全运营技术进步，以及对手利用GenAI带来的挑战。而为了应对这些挑战，Gartner认为，未来不能单纯等待对手的攻击，在攻击中（甚至攻击后）去防护、检测与响应，而应该更进一步，在对手攻击之前就采取迷惑（Deceive）、阻断（Disrupt）、拒止（Deny）等预防性（preemptive）手段，进行网络威慑（Cyber Deterrence），并将相关技术归为“预防性安全（Preemptive Cybersecurity）”。

预防性安全技术中就包含自动化暴露管理。

作为当前暴露管理技术的升级版，Gartner认为自动化暴露管理解决方案具备持续评估攻击面、优先排序漏洞与暴露点以进行修复的能力。在当前多云、混合基础设施与 AI 驱动新兴技术交织的复杂技术环境中，手动及时管理漏洞已无可能。自动化暴露管理工具可对全环境进行可扩展的持续监控，通过自动化技术提供有关组织暴露态势的实时、情境化洞察，进而支持更精准的威胁狩猎、更合理的风险优先级排序，以及更及时、可落地的修复指导。

简言之，自动化暴露管理聚焦于持续验证真正可被利用的风险，模拟攻击者在当前环境中的行动路径，并在这些路径被实际利用前将其阻断。而这有赖于安全数据编织、智能模拟和智能体技术的应用。

顺便提一下，就在10月20日，Gartner宣布了2026年十大战略技术，Preemptive Cybersecurity位列其中。

暴露运营需要全新的底层架构支撑

放眼国内，CTEM所代表的正是安全运营中的“资配漏补”工作，对应了国内安全运营中心6大运营职能中的资产运营和漏洞/弱点运营。长期以来，国内的安全运营平台在支撑资产运营和漏洞运营方面显得十分薄弱，基本也就只做到了资产维护和漏洞维护，还远远到不了运营的程度。

取代还是增强：构建AI赋能的安全运营流程

Gartner在2024年的安全运营展望中就深入分析了GenAI技术对安全运营带来的变革，包括GenAI的应用部署模式、应用类型、安全运营用例、存在的缺陷，GenAI和自动化的关系及如何共同构建超大规模安全运营体系。

GenAI已经成为安全领域的投资重点

Gartner的调研显示，用户侧的GenAI部署率已经达到37%。

在网络安全预算中，GenAI位列所有投资项目的综合第二，单项第一。

目前GenAI在安全中的应用场景分布如下：

AI增强而非取代安全运营人员，但运营团队将重构

Gartner在2024年就表示AI主要还是增强而非替代员工，今年依然持这个观点。Eric Ahlm在大会上引述《永远不会有（完全）自主化SOC》报告的结论：AI在真正成为“队友”之前将在很长一段时间内充当安全运营工具。Gartner给AI使用者的审慎建议是：将AI用于增强而非取代安全运营人员。

但是，安全运营人员的某些工作的确将被逐步替代。真相就在于随着GenAI的深入赋能，安全运营的组织、职能和流程将发生变化，安全运营人员的工作将不断从低级重复性岗位转向更高级的岗位，而那些高级岗位长期空缺。在笔者《迈向AI赋能的SOC4.0时代》一文的5.4小节对此有深入分析。

Gartner展示了一张安全运营工作分布图，形象地阐释了上述观点。

上图表明，在没有AI单纯依赖人工的情况下，100个人工时将完全消耗在告警分诊、调查和响应等环节，但是威胁猎捕、防御优化等工作无暇顾及。而在AI赋能之后，同样100个人工时则大幅降低了在告警分诊、调查和响应方面的投入（共计50个人工时），而将高达50个人工时分配到了威胁猎捕和防御优化上，让安全运营工作更加完备。与此同时，AI为安全运营团队贡献了额外的70个人工时，并主要集中在告警分诊和调查等重复性、战术性工作环节。综合来看，在AI赋能下，安全运营团队在维持总人工时不变的情况下，获得了170%人工时的产能，还使得安全运营工作更加完备。

笔者认为，对于国内客户而言，在安全运营投入长期不足的情况下，引入AI能力，可以在同样规模的投资下进一步缩小上述差距。

AI和自动化共同增强安全运营

Gartner表示，AI不等于自动化。AI和自动化将各有发挥之处，二者需要结合使用。

对于AI（特指智能体）而言，典型的赋能场景包括：

• 减少误报：实现告警自动富化，为每条告警收集并汇总相关背景信息，绘制攻击路径，在分析师查看前就过滤掉明显的误报。

• 支持调查：在分析师着手调查事件前，AI 会获取威胁情报、构建攻击时间线，并提供丰富的初始背景信息。

• 生成检测规则：AI 摄入威胁情报（CTI）报告，提取指标（IoCs），自动生成 SIEM 或终端检测与响应（EDR）规则，省去手动编写规则的繁琐工作。

• 辅助报告撰写：利用 AI 对海量数据进行汇总与结构化处理，用于常规状态报告或详细的事件调查结果报告。

与此同时，（以SOAR为代表的）自动化技术仍然有重要价值，并可以在很多场景中继续发挥作用：

• 工作流程编码化：譬如自动执行标准操作程序（SOP），流程化的沟通与审批。

• 常见任务执行：譬如钓鱼调查、执行遏制行动、调用应用API等。

而当AI和自动化紧密结合后，就得到了Agentic AI（自主式AI），并表现为中高级自主智能体，推动安全运营迈入自主化时代。

2025年7月份，Gartner发布了一份题为《Agentic AI集成将区分TDIR平台的赢家和输家》的报告，认为“Agentic AI代表了AI能力的重大飞跃，从简单的自动化迈向自主决策和目标导向的执行。在威胁检测和事件响应（TDIR）平台的背景下，这一转变意义深远，改变了安全运营中心（SOC）的运作方式，使其更加注重Premetive（暂译为“预防性”）网络安全方法”。显然，Gartner认为Agentic AI将决定未来安全运营平台的成败。

过度使用自动化和AI的隐忧

Gartner分析师Craig Porter在题为《2025年网络安全顶级预测》的主题演讲中表示：“到2030年，由于过度依赖自动化和AI，75%的SOC团队的基础安全分析技能将会退化。”

Gartner认为，当SOC团队越来越依赖AI（尤其是LLM和Agentic AI）后，接触分析流程的机会变得有限，从而降低隐性知识的积累。同时，自然语言功能会削弱对新技能的需求以及对现有技能的维持，而且批判性思维和创新技术将受到影响。

为此，Gartner建议SOC团队要明确哪些SOC职能应持续保持人工主导，清晰定义人在回路之中（HITL）的要求。同时，应制定预案，以应对AI失效的风险。

自动化+智能化，推动SOC的自主化

Garnter分析师Kevin Schmidt在另一个题为的《AI-Enhanced SOC: Bridging the Gap to Advanced Automation in 2025》的主题演讲中表示，在自动化和超大规模化战略的牵引下，到2027年将有25%的常规SOC任务的成本效益提升50%以上。自动化和AI智能化将共同推动SOC迈向自主化阶段，直至实现高度自主化，但不会有完全的自主化。某种意义上而言，自主化等于自动化+智能化，自主化是智能自动化。

下表是对Gartner的SOC自主化演进各阶段的说明。

总之，SOC运营模式的演进是自动化深度提升 + AI辅助人机协作迭代 + 智能自动化升级的过程：

• 手动SOC是基础建设期，核心靠人工落地流程，这一阶段的流程沉淀很重要；

• 半自动化SOC进入工具化阶段，通过自动化解放重复劳动；

• LLM增强型SOC聚焦人机协作，AI成为分析师的 “智能助手”；

• 自主化SOC探索AI 主导 + 人类监督的高级形态，AI承担更核心的决策与执行工作。

作为对照，笔者也绘制过一个SOC自主化迭代模型。当前我们正处于从SOC3.0到SOC4.0的过渡阶段（SOC3.X是个中间状态）。

其中，SOC3.0是指以大数据架构为支撑的、数据驱动的、应用传统AI技术和SOAR技术的安全运营平台。SOC3.X指在SOC3.0基础上，初步应用了LLM的安全运营平台。SOC4.0则指基于安全数据编织架构的、数据与流程双轮驱动的、应用Agentic AI技术的自主化安全运营平台（Agentic SecOps Platform，简称ASOP）。

总结

展望未来，安全运营的平台架构是生态型的，安全运营的组织结构是混合式的，安全运营的关键能力是主被动结合的，安全运营的工作过程是自主化（Agentic AI赋能）的。笔者所在的睿安致远团队将致力于为合作伙伴搭建生态型安全运营平台，提供主被动结合的安运营能力，打造AI赋能的增强型安全运营流程，支撑起最终用户的混合式安全运营组织。