以自动化优先和实战化为设计理念的新一代安全运营平台

当前，以Agentic AI为核心的复合式AI成为了重塑安全运营平台的关键技术，而AI赋能必须依托安全运营平台自身的原动力：数据驱动和流程驱动。只有基于新的数据架构和流程架构，才能实现全新的数据加流程双轮驱动的安全运营平台，AI才能有效赋能。

有了AI赋能的、数据与流程双轮驱动的安全运营平台技术架构后，还需要用新的设计理念去指引新一代安全运营平台的功能设计。

面向未来的安全运营，有两个关键的设计理念。

自动化优先

从设计理念角度看，自动化优先体现了对安全运营过程中人与机器之间协作关系的重新适配，也是对未来安全运营（不仅是安全运营平台）的基本要求。

当前的安全运营组织和流程基本都是建立人工处理的基础之上的。譬如，现在很多企业和组织建立了监测、研判、处置团队，或者L1、L2、L3三线团队，通过有组织的分工协作，实现对安全告警和事件的闭环响应。这些组织基本上采用金字塔机构，负责监测或者L1团队人员最多，往上逐渐减少，表明监测告警的工作量最大。随着安全运营平台的不断升级迭代，自动化水平不断提升，各级团队越来越多依赖自动化来提升自身的工作效率，但整个团队设置和流程设计基本上没有变化。随着自动化运营的成熟和智能化运营的引入，现有的组织和流程阻碍了运营效能的提升。

面向未来，安全运营的组织、流程须进行全面改造，建立以自动化为优先的组织结构和运营流程，依托自动化安全运营平台，重新调配人员配置、岗位职责、工作流程和规程，让人的价值在合适的地方得到真正发挥。譬如，L1团队人员将大幅减少甚至取消，分流到其它团队，告警的分类分级和安全事件的生成工作已经尽可能地交给安全运营平台智能自动的执行。L2团队的工作起点不是对事件进行规程化的调查，而是基于安全运营平台自动化事件调查的结果进行研判。处置团队则更多的是与相关安全事件的责任部门、IT部门进行沟通协商，确定处置方案，真正的处置指令执行交由安全运营平台自动执行。然后，各个环节节约下来的编制投入到安全运营有效性验证、价值评估、常态化攻防对抗演练、渗透测试等其它更重要且缺乏人手的工作中去。

必须指出的是，自动化优先的安全运营组织和流程设计的目标是完善组织结构、简化运营流程、提升运营效率，但并不意味着减少人员。事实上，安全运营的工作类型有很多，还有很多工作岗位缺乏人手。自动化优先意味着安全运营团队可以重新优化岗位设置，让现有的人员编制发挥出最佳的效益。现在很多人认为AI和自动化将削减现有的安全团队人员编制，这是对安全运营的误读，需要澄清。

自动化优先作为一个设计理念，体现在新一代安全运营平台功能设计的方方面面，并且要以一个可灵活定制的、基于编排的流程架构驱动的安全协作中心为依托。

最后，自动化优先不等于自动化一切，自动化只是手段不是目标，安全运营最终还是面向人的。与其指望实现端到端的全过程安全运营自动化（也不可能），不如聚焦于关键任务和工作流程的自动化来得更实在。对自动化优先这个设计理念的拿捏尺度决定了这个平台的最终效果，是对设计者的考验。

实战化

从设计理念角度看，实战化体现了以人为本、面向协作、价值交付的平台使用模式，本质上就是要让安全运营平台简单、好用。笔者在《从Gartner2022年魔力象限看SIEM未来发展》一文的最后就呼吁要重视分析师体验，要尽可能去互联互通，本质上就是要求加强实战化。

具体来说，实战化可以从以下四方面入手。

首先，要为安全运营组织的每个角色提供相适应的UI和简洁的用户体验，让他们无摩擦地使用平台。【现实是大部分平台在设计时都只考虑到有个超级管理员在使用它】

其次，要加强流程架构驱动的安全协作中心的功能设计，让安全运营流程能够真正落到平台上，同时要支持多样化的协同工作模式，便于运营人员之间、跨安全和业务团队之间交流分享，便于各类安全工具、设备和系统之间协同工作。【现实是大部分平台的设计都跟运营流程解耦，“我设计我的，你用你的”，设计者和使用者脱节，设计者更多是取悦采购者而非真正的使用者】

第三，要加强平台自身数字化的功能设计，实现安全运营的数字化，对数据处理、流程运行和人员工作等过程进行全程记录，对安全运营平台中的数据、安全内容、流程进行有效性验证和价值评估，对安全运营人员实施绩效考核。【现实是大家都在喊要建立安全运营指标体系，但实际上都是流于表面，实际上也做不起来，因为根本就没有这方面的数据支撑】

最后，还需要考虑如何让平台的使用者便捷地、与时俱进地扩展SOC平台的业务能力。【现实是平台大都是“即用即抛”型的，说好的“无缝扩展”，在一两年后大都只能是“重新采购”，能利旧就很不错了】

小结

结合本文，以及《是时候重新定义安全运营平台了》和《仅靠AI不足以重新定义安全运营平台》，笔者给出结论：未来的安全运营平台是一个AI赋能的、数据与流程双轮驱动的、自动化优先的实战化安全运营平台。

是的，这就是笔者认定的未来SOC！请随我一起，迈向AI赋能的SOC新时代。

【参考资料】

重塑安全运营平台的进程始于2023年，是一个必然的演进过程。因此，要想完整理解这个进程，就应该从2023年的业界发展进程开始去探究。

仅靠AI不足以重新定义安全运营平台

是时候重新定义安全运营平台了

2024年安全运营技术趋势回顾

从Gartner2024年北美安全峰会看安全运营的技术趋势

从RSAC2024看SOC发展趋势

从Garnter2023年北美安全与风险管理峰会看SIEM和SOC的发展趋势