# 一、基础信息
| 项目 | 内容 |
|---|---|
| 主题 | security operations |
| 发布时间 | 23 July 2021 |
| 目标领域 | Security Operations |
| 数据范围 | 过去 12 个月 |
# 二、背景与驱动因素
| 类别 | 内容 |
|---|---|
| 数字化转型 | 数字化转型 → IT & organization |
| 使用变化 | 使用增加 |
| 场景变化 | 远程办公、移动设备、云服务 |
| 安全影响 | 威胁类型发生转变 |
| 挑战 | 未受监控的第三方及其服务 |
| 需求 | 提升可见性 |
# 三、安全运营核心认知
| 观点 | 说明 |
|---|---|
| 风险不可完全预防 | 安全和风险管理人员无法预防所有风险 |
| 决策方式 | 通过安全运营技术做业务驱动决策 |
| 定义 | 安全运维不是单一团队或技术 |
| 本质 | 是一套执行良好的流程体系 |
| 目标 | 保护组织免受伤害 |
# 四、核心需求
| 类型 | 内容 |
|---|---|
| 能力需求 | 快速检测威胁 |
| 能力需求 | 快速减轻威胁 |
| 能力需求 | 降低暴露风险 |
| 技术要求 | 现代化安全技术 |
# 五、关键技术领域
| 分类 | 技术 |
|---|---|
| 服务类 | 托管安全服务(MSS) |
| 架构类 | 云交付安全技术 |
| 检测响应 | 网络检测与响应(NDR) |
| 工业安全 | 运维技术安全(OT) |
| 验证类 | 破坏与攻击模拟(BAS) |
| 能力特征 | 可见性 + 可验证性 |
| 应急能力 | 响应计划 + 响应测试 |
# 六、技术发展趋势
# 1️⃣ 技术特性趋势
| 方向 | 内容 |
|---|---|
| 可用性 | 更高可用性 |
| 集成能力 | API 交互性增强 |
| 架构趋势 | 网络安全网格架构(Cybersecurity Mesh) |
| 适配能力 | 支持传统 / 云 / 混合 / 企业架构 |
# 2️⃣ AI 与自动化
| 结论 | 说明 |
|---|---|
| AI 是重点 | AI 和自动化是关注焦点 |
| 但非万能 | 技术本身不能解决所有问题 |
# 3️⃣ 方法论转变
| 变化方向 | 内容 |
|---|---|
| 从流程到体系 | 从个人流程 → 技术团队 |
| 从集中到分布 | 去中心化 |
| 从技术驱动到业务驱动 | 安全必须结合业务目标 |
# 七、核心结论(重点)
| 结论 | 含义 |
|---|---|
| 安全 ≠ 技术 | 本质是流程 + 组织能力 |
| 安全运营 = 决策系统 | 用于支持业务风险决策 |
| 可见性是核心 | 没有可见性就没有安全 |
| 自动化是放大器 | 不是替代人 |
| 架构正在演进 | 向 mesh / 云原生发展 |
# 八、Gartner Hype Cycle 五大阶段
| 阶段 | 中文 | 本质 | 风险 |
|---|---|---|---|
| 1 | 技术触发期 | 新概念出现 | 不成熟 |
| 2 | 期望膨胀期 | 被过度宣传 | 泡沫 |
| 3 | 幻灭低谷期 | 现实打脸 | 放弃潮 |
| 4 | 启示爬升期 | 理性应用 | 分化 |
| 5 | 生产成熟期 | 稳定落地 | 同质化 |
# 九、安全运营中的技术分布
# 🧠 1️⃣ 技术触发期(Innovation Trigger)
特点:
- 新概念刚出现
- Demo 多,生产少
- PoC 阶段
安全运营中的代表:
| 技术 | 说明 |
|---|---|
| Cybersecurity Mesh | 安全网格架构(概念驱动) |
| AI-driven SOC | AI 驱动安全运营中心 |
| Autonomous Response | 自动响应(理想化阶段) |
工程解读:
👉 “论文> 产品” 阶段
👉 很多是 vendor PPT 技术
# 2️⃣ 期望膨胀期(Peak of Inflated Expectations)
特点:
- 被厂商疯狂营销
- “什么都能解决”
- 成功案例被放大
安全运营技术:
| 技术 | 为什么在这个阶段 |
|---|---|
| SOAR(自动化编排) | 被吹成 “全自动安全” |
| UEBA(用户行为分析) | AI 识别一切异常 |
| XDR(扩展检测响应) | 一个平台解决所有安全 |
典型问题:
- 误报高
- 集成成本高
- 依赖数据质量
# 3️⃣ 幻灭低谷期(Trough of Disillusionment)
特点:
- 实际效果不达预期
- 企业踩坑
- 开始质疑价值
安全运营技术:
| 技术 | 幻灭原因 |
|---|---|
| UEBA | 精度不足 |
| SOAR | 编排复杂、维护成本高 |
| Threat Intelligence | 情报噪声太多 |
工程本质:
👉 数据问题 > 算法问题
👉 自动化 ≠ 无人化
# 4️⃣ 启示爬升期(Slope of Enlightenment)
特点:
- 找到正确使用方式
- 开始 “场景化落地”
- 技术与业务结合
安全运营技术(你这张图的重点区间):
| 技术 | 正确姿势 |
|---|---|
| NDR(网络检测响应) | 用于横向移动检测 |
| BAS(攻击模拟) | 持续验证防御能力 |
| 云安全运营 | 云原生监控 |
| MSS(托管安全服务) | 外包运营能力 |
关键变化:
👉 从 “技术驱动” → “业务驱动”
👉 从 “工具” → “体系”
# 5️⃣ 生产成熟期(Plateau of Productivity)
特点:
- 已经成为标准能力
- ROI 明确
- 可规模化
安全运营技术:
| 技术 | 状态 |
|---|---|
| SIEM | 成熟但重 |
| EDR | 标配 |
| 日志管理 | 基础设施 |
工程视角:
👉 不再是 “是否用”,而是 “怎么用好”
# 十、核心洞察
# 🔥 1️⃣ 安全行业最大错觉
| 错觉 | 实际 |
|---|---|
| AI 能替代安全分析 | ❌ |
| 自动化能解决问题 | ❌ |
| 买工具 = 有能力 | ❌ |
👉 真正瓶颈:流程 + 数据 + 决策
# 🔥 2️⃣ 真正有价值的阶段
👉 Slope of Enlightenment(启示爬升期)
原因:
- 技术开始 “可落地”
- 竞争差异最大
- 可以做产品创新
👉 你做 AIGC Agent 的最佳切入点就在这里
# 🔥 3️⃣ 对你最关键的机会点
结合你的方向(静态分析 + AIGC)👇
| 方向 | 对应 Hype 阶段 | 机会 |
|---|---|---|
| AI 代码安全分析 | 2→3 | 正在去泡沫 |
| 自动化漏洞修复 | 1→2 | 早期机会 |
| 安全 Agent(SOC Copilot) | 1 | 蓝海 |
| 安全验证(BAS + AI) | 4 | 可落地 |
# 十一、一句话理解整条曲线(工程版)
👉 Hype Cycle 本质是:
技术从 “被吹牛” → “被打脸” → “被正确使用” 的过程
