摘要：根据EY Global Cybersecurity Leadership Insights Study, Statista以及EY Consumer Insights analysis的相关数据显示，近年数据泄露的平均成本已经高达450万美元。Cybersec

企业SOC是否会沦为“僵尸中心”，450万美元的损失背后藏着怎样的安全漏洞？

根据EY Global Cybersecurity Leadership Insights Study, Statista以及EY Consumer Insights analysis的相关数据显示，近年数据泄露的平均成本已经高达450万美元。Cybersecurity Ventures预测，2024年全球因网络攻击造成的经济损失将达到10.5万亿美元，首次突破10万亿美元大关[1]。这一数据在世界经济论坛的报告中被引用，凸显网络犯罪已成为全球第三大“经济体”。网络犯罪和网络安全威胁将作为新出现的风险被世界经济论坛列入未来十年最严重的全球性风险[2]。

面对日益复杂的威胁，您的SOC（安全运营中心）是否真的在发挥作用？本文将深度解析SOC的四大痛点让您在做SOC规划时更胸有成竹，并揭秘如何用“混合模式”实现降本增效。

痛点的背后深层原因

在当前的网络安全实践中，业务需求与安全防护之间存在显著的错位现象。这种错位主要体现在以下两个方面：

错误逻辑

一些企业倾向于以“技术完备性”替代“业务风险优先级”，过度关注监控系统的覆盖范围，而忽视了实际业务风险的评估与应对。这种做法实际上是一种自我安慰，未能真正解决企业面临的安全威胁。

核心矛盾

企业核心资产，如支付系统、工控设备等，未能获得针对性的防护。这些核心资产往往是企业运营的关键环节，但安全资源的分配却未能与其重要性相匹配，导致在面对针对性攻击时，企业核心业务易受冲击，安全防护体系未能有效发挥其保障作用。

优化路径

每个企业的业务流程都独具特色，所面临的安全挑战也不尽相同。电商企业往往更关注支付环节的安全，全力防止交易过程中的信息被盗取；而制造业企业则可能更侧重于生产控制系统的安全，竭力避免生产中断。因此，在规划SOC时，需深入剖析企业的核心业务流程，精准识别其中潜在的安全风险点。通过与各业务部门紧密沟通，全面了解他们在日常运营中所遭遇的安全威胁，如内部员工的误操作、外部黑客的攻击等。

基于对业务流程和安全挑战的深入分析，企业需明确具体的安全防护目标以及可量化的指标。这些指标可以是和业务流程以及防御目标相关的。

此外，这些指标也可以是衡量SOC本身成熟度的指标，例如，依据SOC CMM框架从业务、人员、流程、技术以及服务这五个方面对SOC的成数据进行全面打分评估。企业可以根据自己的安全战略选择合适的成熟度，并根据这个目标制定整改优化计划。

通过制定这些目标和指标不仅为SOC的建设指明了清晰的方向，也为后续运营过程中评估和改进安全防护效果提供了有力依据。

痛点二 异构技术栈与业务架构耦合度失衡引发的资源错配

典型案例深度剖析

某医疗集团采购了某SIEM平台，却因无法解析医疗设备日志，导致这部分的日志没有在监控范围内，没有及时察觉数据泄露问题。最后50万患者隐私泄露。

痛点的背后深层原因

在网络安全领域，产品功能、兼容性与可拓展性至关重要。当前安全产品在技术与业务层面存在异构技术栈与业务架构耦合度失衡问题，背后是技术可用性与运营可信性之间的本质性鸿沟。

从功能看，部分产品仅具基础防护功能，对高级威胁检测等深度安全功能支持不足。兼容性方面，一些产品在面对企业复杂IT架构易与业务系统时，不能与其他安全产品进行集成，成为了安全孤岛。导致安全出现盲区。可拓展性上，业务规模扩大或安全需求升级时，部分产品难以扩展新服务或功能模块适应需求。

这种失衡引发资源错配，使企业安全投入未能获相应效能。一方面，企业可能过度采购复杂功能产品，实际却用不上；另一方面，关键业务环节因产品功能适配不足得不到有效资源配置。长此以往，企业将难以构建高效网络安全防护体系，影响业务稳定与持续发展。企业应重视这一问题，深入评估安全产品，确保其与自身业务架构和技术栈匹配，实现资源合理配置与高效利用，保障业务稳定与数据安全。

优化路径

在网络安全产品的选型过程中，安全产品的兼容性与可拓展性成为企业关注焦点。一款具备良好兼容性的安全产品，能够无缝融入现有技术架构，与不同系统及平台稳定协作，如：公司定制化应用、二次开发的应用、云上特有日志等。这是基础性保障。同时，优秀的产品应具备可拓展性，通过灵活配置与功能扩展，适应企业不同发展阶段的需求变化，为未来业务拓展预留空间，从而在技术生态中发挥持久效用。

购买决策前，POC测试是不可或缺的环节。通过在小范围的安装集成，并进行模拟真实攻击场景与业务流程测试，可全面评估安全产品的防护效能与适配度，确保其在复杂环境下的可靠性。此外，购买后的隐形成本不容忽视，包括维护费用、人员培训成本以及因产品不稳定导致的业务中断损失等。企业需综合考量这些因素，制定全面的安全产品采购策略，以实现长期稳定的网络安全防护。

痛点三 效能黑洞：告警疲劳引发的运营崩塌

典型案例深度剖析

某银行SOC日均告警超1.2万条，其中86%为误报，分析师每天浪费5小时筛噪音。

痛点的背后深层原因

安全产品的购入只是一个开始而不是结束

在信息安全领域，安全产品的购入绝非终点，而是运营挑战的起点。许多组织在部署安全产品后，面临最棘手的问题之一便是告警疲劳。安全系统会产生大量告警信息，其中夹杂着大量误报和低优先级事件，这使得安全团队难以区分真正威胁。随着时间推移，安全人员会对告警变得麻木，甚至可能忽略关键威胁，导致安全运营效能大幅下降。此外，频繁的告警处理耗费大量人力和时间资源，分散了团队对其他重要安全任务的注意力，进一步削弱了整体安全防护能力，最终可能引发运营体系的全面崩塌。

优化路径

在选择安全产品及解决方案时，应尽量规避“黑盒”类型。那些内置不可更改默认规则的方案存在显著运维风险。因为不透明规则可能导致大量无意义告警，使安全团队难以甄别真实威胁。此外，频繁与供应商沟通确认规则内容会极大降低工作效率，延误威胁响应时机。因此，优选规则透明、可定制化程度高的安全产品，是缓解告警疲劳、优化安全运营的重要前提。

尽可能充分利用平台的机器学习与人工智能功能来自动化调优检测规则。通过智能算法对历史数据和实时流量的分析，能够精准识别异常行为模式，有效降低误报率。同时，定期安排专业人员对检测规则进行研判、调整和确认。这种“智能+人工”的协同方式，不仅能提高告警的准确性，还能使检测规则紧跟网络安全威胁的演变趋势，从而减少不必要告警对运营工作的干扰。

根据每日的告警实际情况，及时对策略规则进行动态调整。例如，基于频繁出现的特定类型告警添加黑名单，阻止已知恶意IP或行为；对于误报较多的告警对象添加白名单，避免无意义干扰。同时，根据业务发展和安全需求的变化，灵活调整告警阈值和优先级，确保告警机制始终与企业当前的安全态势相匹配，以此提升安全运营的效率和效果。

痛点四 组织协同断层——SOC不是安全部门的独角戏！

典型案例深度剖析

某制造业企业SOC发现生产制造系统异常，但因与OT部门流程割裂，响应延迟48小时，直接损失超2亿元；

大部分的企业SOC与其他的业务部门存在一定的协作壁垒。

痛点的背后深层原因

在组织内部，网络安全中心（SOC）团队与其他部门之间的协同断层，根源在于认知差异、沟通障碍与组织结构限制。SOC专注于网络安全威胁检测与响应，而其他部门更关注自身运营目标，对网络安全优先级和复杂性理解不足，导致协同困难。网络安全的专业术语和技术概念，对非专业人员理解门槛较高，容易造成信息误解或沟通不畅。此外，部门间相对独立，缺乏整合机制和共享平台，使得SOC难以获取关键信息，影响协同效率。

在跨国企业中，这种协同断层更为复杂。不同地区分支机构面临不同网络安全威胁，需制定本地化安全策略，但全球统一安全标准与本地灵活应对难以平衡。时区、语言、文化差异进一步增加跨部门、跨地区沟通协作难度。不同地区团队对安全事件优先级和处理方式看法不同，导致应对全球性网络安全事件时，无法有效协同，影响组织安全防护效能。

优化路径

在组织内部，网络安全中心（SOC）团队与其他部门之间的协同优化，首要任务是明确职责划分。SOC团队应专注于网络安全威胁的检测、分析与响应，而其他部门如IT运维、业务单元等则需明确自身在安全事件中的角色与任务。通过制定跨部门的安全政策与流程，确保各部门在事件处理中各司其职，避免职责重叠或空白。同时，建立跨部门的沟通机制与共享平台，使SOC团队能够及时获取其他部门的关键信息，打破信息孤岛，提升协同效率。

定期有效的事件响应演练是提升SOC团队与其他部门协同能力的关键举措。演练应涵盖多种安全场景，模拟真实攻击，让SOC团队与相关部门在模拟环境中磨合协作机制。通过演练，各部门能够熟悉在安全事件中的应对流程与职责，提高应急反应速度与协同作战能力。演练后，应进行全面复盘，总结经验教训，优化事件响应流程与策略，确保在真实安全事件发生时，能够迅速、有序地联合应对，最大限度降低安全事件对组织的影响。

安全运营中心（SOC）是企业网络安全体系的核心枢纽。根据企业规模、行业属性与安全需求的差异，SOC部署模式主要分为三种：自建SOC，适用于强管控行业，强调自主可控与深度定制；托管SOC，面向中小企业，提供灵活且经济的安全防护；混合SOC，为复杂架构企业量身定制，融合自建与托管优势，实现分级防护与全球联动。以下将深入探讨这三种模式的适用场景及企业特征。

强管控行业的SOC自建策略

在金融、政府/军工、能源等强管控领域，自建SOC 是满足严格安全需求的关键选择。这些行业因涉及用户资金安全、国家机密信息以及关键基础设施保障，需遵循相关法律法规的硬性要求，实现数据的自主可控与本地化留存。

适用于自建SOC的企业通常具备较强的安全预算和专业团队，能够投入超千万资金，并拥有50人以上专职安全人员。同时，这类企业已构建覆盖全网的日志采集体系，对检测规则有深度定制需求，以精准应对自身业务环境中的潜在威胁。

中小企业的托管SOC解决方案

对于零售/电商、医疗/教育、制造业中小厂等中小企业，托管SOC成为其应对安全挑战的有效途径。这些行业面临着业务波动大、IT人员不足、工控系统基础监控需求等困境，难以承担自建SOC的成本与复杂性。

选择托管SOC的企业一般面临预算，招聘以及自身技术能力不足等问题，需要快速建立专业的安全监控服务，以弥补自身安全能力的不足，确保业务的稳定运行。

复杂架构企业的混合SOC模式

跨国集团、多业态集团以及上市企业等面临复杂业务架构与多样化安全需求，混合SOC模式为其提供了定制化的安全运营方案。这类企业需满足数据本地化要求，同时实现全球SOC联动；或在多业态经营中对核心业务自建SOC，非核心系统外包；又或因财报审计要求，实现安全服务的权责分离。

混合SOC适用于业务系统横跨云/管/端/OT多个领域的复杂企业架构，能够针对不同系统实施分级防护。同时，对于存在历史遗留系统，如老旧ERP等无法完全迁移至新平台的企业，混合SOC模式也能有效整合新旧系统，提供全面的安全保障。

为什么全托管模式和混合模式逐渐成为主流选择？

► 成本可控性

核心系统防护投入占80%，非核心系统节省60%成本；

► 合规灵活性

境内数据本地留存，境外攻击分析依托全球SOC网络；

► 技术互补性

自建团队专注业务规则，供应商提供基础设施和通用威胁库。

安永团队SOC规划以及托管SOC服务

安永团队的专业网络安全咨询团队提供的SOC规划服务，能够帮助企业完成在中国区域的SOC规划与建设。该服务结合企业的安全战略目标和业务需求，设定SOC的成熟度目标和运营模式，评估SOC所使用安全工具的优劣势，提供整改或后续行动计划，并预估未来SOC预算。这使企业对其在中国的SOC有清晰的目标与计划，也助于企业更好地遵循中国网络安全法律法规。

同时，安永团队在中国拥有自己的网络安全运营中心，可以向企业提供SOC的托管服务。它充分整合先进的网络安全技术，致力于帮助企业主动识别并有效管理应用安全风险。持续监测潜在威胁，一旦遭遇真实攻击，迅速展开调查，评估其影响。我们的网络安全运营MSOC服务也可根据不同的客户，从人员，平台以及运营流程这三个维度进行定制化的交付。及时解决各类隐患，为企业数字化运营提供可靠保障，增强其安全韧性，助力企业在数字时代稳健前行，无惧网络安全挑战。

注释：

[1]https://cybersecurityventures.com/cybersecurity-almanac-2024/

[2]https://www.weforum.org/stories/2025/01/global-risks-report-2025-bleak-predictions/

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

来源：安永EY