本文節(jié)選自安全牛最新發(fā)布的《AI賦能主動防御技術(shù)應(yīng)用指南（2025版）》報告。 （掃描下方二維碼可下載完整報告）

AI賦能的主動防御無疑是未來企業(yè)網(wǎng)絡(luò)安全的應(yīng)對趨勢，但對于大多數(shù)企業(yè)而言，AI賦能安全聽起來不知從何下手。是否需要一下子投入大量資金購買昂貴的AI平臺？還是可以從現(xiàn)有的安全工具開始升級？本文打破你的困惑，基于專業(yè)的AI賦能主動防御成熟度模型，為你提供一份清晰、可操作的落地路線圖。無論你的企業(yè)處于哪個階段，都能找到“小步快跑”的實戰(zhàn)路徑，最終實現(xiàn)安全體系的“智能免疫”。

人工智能驅(qū)動的主動防御的實施是一個系統(tǒng)性持續(xù)優(yōu)化的復(fù)雜過程，不可能一蹴而就，應(yīng)遵循由淺入深、由點到面、由易到難的原則。組織可基于成熟度框架，結(jié)合自身實際情況，采用循序漸進建設(shè)方法，穩(wěn)步推進各階段建設(shè)，才能充分發(fā)揮人工智能在網(wǎng)絡(luò)安全領(lǐng)域的潛力，構(gòu)建堅不可摧的安全防線。

L1：基礎(chǔ)探索階段

基礎(chǔ)探索階段是企業(yè)AI安全能力建設(shè)的起點，通過引入單點AI能力，建立初步安全數(shù)據(jù)基礎(chǔ)，為后續(xù)系統(tǒng)化AI安全建設(shè)奠定基礎(chǔ)。此階段重在認知提升、數(shù)據(jù)準(zhǔn)備和單點驗證，雖然效果有限但可快速獲得價值感知。企業(yè)在該階段處于初步認知AI潛力，缺乏系統(tǒng)規(guī)劃的狀態(tài)。

建設(shè)目標(biāo)：通過引入單設(shè)備AI能力，提升單點效率：降低特定攻擊類型（如已知惡意軟件）的誤報/漏報。

應(yīng)用實施重點是通過在特定安全產(chǎn)品（如防病毒軟件AV、Web應(yīng)用防火墻WAF、終端檢測與響應(yīng)EDR）中集成AI檢測功能，提升單點防護能力。

L1：基礎(chǔ)探索階段

具體建設(shè)步驟：

AI安全基礎(chǔ)認知與規(guī)劃準(zhǔn)備：核心是建立團隊對AI安全價值的初步共識與宏觀理解。組織團隊成員了解AI在模式識別、異常檢測等方面的基本能力，并明確通過AI輔助降低傳統(tǒng)殺毒軟件的誤報率的初步愿景。

具體建設(shè)步驟：

安全數(shù)據(jù)基礎(chǔ)梳理與初步收集：核心是識別并初步建立核心安全日志的集中收集機制。應(yīng)制定關(guān)鍵安全日志來源清單，如防火墻、終端防護軟件（EPP/AV）、Web服務(wù)器、認證服務(wù)器等，選擇集中式日志管理工具，配置關(guān)鍵系統(tǒng)開啟并轉(zhuǎn)發(fā)重要日志，主要關(guān)注從防火墻讀取的連接/阻斷日志、EPP發(fā)送的惡意軟件告警，以及認證服務(wù)器的登錄事件日志。例如，配置服務(wù)器發(fā)送安全日志（EventID4624/4625登錄事件）或防火墻配置Syslog轉(zhuǎn)發(fā)。

部署具備內(nèi)置AI能力的通用安全產(chǎn)品：核心是利用現(xiàn)有成熟產(chǎn)品中自帶的AI能力，快速提升特定防護點的效能。應(yīng)部署內(nèi)置集成AI能力的特定安全產(chǎn)品，如帶有AI威脅檢測引擎的下一代防病毒軟件（AV），內(nèi)置AI模塊以識別異常Web攻擊的WAF，或具備AI行為分析能力的終端檢測與響應(yīng)（EDR）產(chǎn)品，并確保其AI功能已開啟。例如，AV產(chǎn)品中的AI會分析終端生成的可疑文件行為或程序執(zhí)行特征，通過AI識別未知惡意軟件家族的變種，從而減少對傳統(tǒng)簽名庫的依賴并降低對合法程序的誤報；WAF中的AI則分析Web應(yīng)用接收到的HTTP/HTTPS請求，識別SQL注入、XSS攻擊的變體，減少對靜態(tài)規(guī)則的依賴；EDR中的AI通過對進程行為鏈的分析，識別無文件攻擊、勒索病毒的早期加密行為，提升對新型攻擊的檢測能力。

部署具備內(nèi)置AI能力的通用安全產(chǎn)品

完成指標(biāo)：

• 核心日志源覆蓋率：關(guān)鍵日志來源的接入比例（例如，50%的核心防火墻和EPP日志已接入），反映數(shù)據(jù)基礎(chǔ)的初步建設(shè)。

• 特定攻擊類型誤報率降低：針對AV/WAF/EDR等產(chǎn)品中AI功能，其特定攻擊類型的誤報率是否有初步降低（例如，AV對未知惡意軟件的誤報率降低5%）。

• AI功能檢測率提升：AI功能對特定未知威脅的檢出率是否有初步提升。

主要挑戰(zhàn)：

• 數(shù)據(jù)孤島：安全數(shù)據(jù)分散在眾多系統(tǒng)中，統(tǒng)一收集和管理面臨困難，制約了數(shù)據(jù)基礎(chǔ)與治理的提升。

• AI技術(shù)認知不足：安全團隊成員對AI的基本原理和應(yīng)用不熟悉，可能導(dǎo)致不切實際的期望或抵觸。

• 單點效果不明顯：初期AI輔助功能可能效果有限，影響安全效果與業(yè)務(wù)價值的初步感知。

L2：局部試點階段

企業(yè)已形成AI應(yīng)用意愿，應(yīng)聚焦能夠快速驗證AI價值、數(shù)據(jù)相對可控且能解決實際痛點的場景，進行小范圍針對性驗證。

此階段的建設(shè)目標(biāo)是發(fā)現(xiàn)威脅：識別傳統(tǒng)方式難以感知的潛在威脅，擴大威脅發(fā)現(xiàn)范圍。其應(yīng)用實施的重點是AI行為分析：利用用戶與實體行為分析（UEBA）、網(wǎng)絡(luò)流量分析（NTA）等，識別特定場景（如員工異常行為、特定網(wǎng)絡(luò)流量異常）的偏離模式。企業(yè)應(yīng)選擇小步快跑、精而準(zhǔn)的試點場景，避免大而全的陷阱，該階段的核心是聚焦能夠快速驗證AI價值、數(shù)據(jù)相對可控且能解決實際痛點的場景。

L2：局部試點階段

通常選擇的特定場景如：

告警降噪與智能分類場景。針對某一類高頻且誤報率高的入侵檢測系統(tǒng)（IDS）告警，通過導(dǎo)入歷史告警數(shù)據(jù)給AI模型學(xué)習(xí)，實現(xiàn)AI自動將告警分類為真實攻擊或誤報，從而減少分析師手動處理量，發(fā)揮AI技術(shù)應(yīng)用深度在告警優(yōu)化上的能力。

快速溯源與知識問答場景。針對異常登錄事件，利用AI分析認證日志、VPN日志、用戶活動日志，快速關(guān)聯(lián)用戶歷史行為、登錄IP地理位置、時間，輔助分析師判斷其風(fēng)險等級并快速溯源，發(fā)揮AI驅(qū)動的威脅狩獵與情報的能力。同時，可將內(nèi)部安全文檔和常見問題導(dǎo)入AI進行知識問答訓(xùn)練，提供步驟指導(dǎo)。實現(xiàn)輔助分析師快速判斷風(fēng)險等級并提供溯源線索；如向AI提問如何處理異常登錄事件？AI給出步驟指導(dǎo)，初步發(fā)揮安全知識圖譜的應(yīng)用。

具體建設(shè)步驟：

L2：局部試點階段

獲取特定試點數(shù)據(jù)并部署專門的行為分析型AI工具：核心是精準(zhǔn)數(shù)據(jù)準(zhǔn)備，并引入聚焦行為分析的AI解決方案。應(yīng)從日志中提取試點場景所需的數(shù)據(jù)（例如，認證日志、VPN日志和部分用戶活動日志用于異常登錄檢測），并與廠商合作，部署用于行為分析的AI工具或解決方案，例如UEBA模式、NTA模塊，或具備高級行為分析能力的EDR平臺。接著，針對某個部門或非關(guān)鍵業(yè)務(wù)系統(tǒng)部署AI工具，并設(shè)置參數(shù)，明確哪些數(shù)據(jù)字段對應(yīng)用戶ID、IP地址等。并讓AI工具進行基線學(xué)習(xí)，觀察并學(xué)習(xí)什么是正常行為（例如，張三通常在工作日上午9點到下午6點從公司網(wǎng)絡(luò)IP登錄，外地出差會通過特定VPNIP登錄）。

AI告警監(jiān)測與初步威脅情報驗證：核心是驗證AI檢測的準(zhǔn)確性，結(jié)合威脅情報進行初步確認。應(yīng)復(fù)核AI工具產(chǎn)生的所有告警，評估其準(zhǔn)確性，以驗證AI技術(shù)應(yīng)用深度的初步效果。對于AI標(biāo)記的任何可疑指標(biāo)（如IP、域名），需手動交叉驗證公共威脅情報庫來確認其惡意性，初步發(fā)揮AI驅(qū)動的威脅狩獵與情報的能力。

完成指標(biāo)：

• 試點場景誤報率降低：例如，特定IDS告警的誤報率降低15%。

• 試點場景新增威脅發(fā)現(xiàn)數(shù)量：AI發(fā)現(xiàn)傳統(tǒng)方法未曾發(fā)現(xiàn)的異常（例如，新增3起內(nèi)部異常登錄）。

• 初步威脅溯源效率提升：例如，異常登錄事件的初步分析時間縮短10%。

主要挑戰(zhàn)：

• 數(shù)據(jù)質(zhì)量差距：用于試點的數(shù)據(jù)可能仍存在不一致或缺失，影響AI準(zhǔn)確性，是數(shù)據(jù)基礎(chǔ)與治理的持續(xù)挑戰(zhàn)。

• 內(nèi)部系統(tǒng)整合難：獲取和連接特定數(shù)據(jù)到AI工具的集成工作可能遇到困難，影響安全運營流程的順暢。

• 投資回報（ROI）差距：初期單點試點效果可能不顯著，難以有效量化和展現(xiàn)其全部價值，影響安全效果與業(yè)務(wù)價值的初步評估。

L3：體系融合階段

企業(yè)在該階段已經(jīng)完成規(guī)劃全局AI安全戰(zhàn)略，將AI能力賦能威脅檢測與響應(yīng)。

在此階段，建設(shè)目標(biāo)是提升運營效率：通過自動化和智能輔助，減少人工分析負擔(dān)，加快事件處理。其應(yīng)用實施的重點包括安全數(shù)據(jù)湖/中臺構(gòu)建以統(tǒng)一多源安全數(shù)據(jù)，為AI模型提供集中化數(shù)據(jù)支撐；SOAR集成AI，將AI檢測結(jié)果與安全編排自動化與響應(yīng)（SOAR）平臺集成，實現(xiàn)AI輔助事件分析和部分自動化響應(yīng)；以及AI驅(qū)動的威脅狩獵與情報，基于AI生成的線索，縮短威脅調(diào)查時間（TTR）。

L3：體系融合階段

具體建設(shè)步驟：

構(gòu)建統(tǒng)一數(shù)據(jù)平臺與數(shù)據(jù)治理體系：核心是實現(xiàn)多源異構(gòu)安全數(shù)據(jù)的集中納管、標(biāo)準(zhǔn)化與治理，為AI能力提供統(tǒng)一數(shù)據(jù)底座。應(yīng)首先構(gòu)建中央安全數(shù)據(jù)平臺與數(shù)據(jù)治理體系。構(gòu)建統(tǒng)一的數(shù)據(jù)平臺，配置所有關(guān)鍵安全日志源（防火墻、EDR、AD、DNS、云活動日志等）發(fā)送所有相關(guān)日志和遙測數(shù)據(jù)到該數(shù)據(jù)平臺，為安全知識圖譜的構(gòu)建和所有AI能力的數(shù)據(jù)基礎(chǔ)奠定堅實基礎(chǔ)。

數(shù)據(jù)治理，貫穿始終：核心是確保數(shù)據(jù)質(zhì)量與合規(guī)性，實現(xiàn)數(shù)據(jù)的標(biāo)準(zhǔn)化與智能化。應(yīng)制定并采用通用的數(shù)據(jù)標(biāo)準(zhǔn)和規(guī)范，實現(xiàn)不同設(shè)備和系統(tǒng)之間的數(shù)據(jù)格式統(tǒng)一，方便AI進行數(shù)據(jù)交換和共享。例如，定義統(tǒng)一的源IP、目標(biāo)IP、事件時間等字段命名和格式，并通過數(shù)據(jù)質(zhì)量檢查工具定期監(jiān)控數(shù)據(jù)質(zhì)量。同時，數(shù)據(jù)安全合規(guī)至關(guān)重要，需建立完善的數(shù)據(jù)安全管理制度，確保所有收集和用于AI訓(xùn)練的數(shù)據(jù)在整個生命周期內(nèi)（采集、存儲、處理、分析）的安全性與合規(guī)性，例如，對敏感的用戶行為數(shù)據(jù)進行脫敏處理。

整合AI能力與核心安全運營平臺集成，實現(xiàn)AI檢測結(jié)果與SIEM/SOAR的無縫集成，提升事件分析效率，啟動初步自動化響應(yīng)。應(yīng)將AI分析引擎的輸出（如AI生成的告警、風(fēng)險評分）集成到SIEM系統(tǒng)，以富化現(xiàn)有告警或創(chuàng)建高可信度新告警。確保AI與SOAR平臺之間通過API接口順暢通信。SOAR平臺將利用自動化威脅情報富化機制，當(dāng)SIEM中生成告警時，自動調(diào)用威脅情報API，查詢告警中的IP、域名、文件哈希等指標(biāo)，并將查詢結(jié)果（如該IP為已知惡意IP）附加到告警中，實現(xiàn)初步的威脅情報判斷自動化。發(fā)揮AI智能威脅預(yù)測和智能決策與自動化響應(yīng)的初期協(xié)同。

開發(fā)基本的SOAR自動化劇本（結(jié)合基線與初步威脅情報）：核心是針對常見、高置信度AI告警實現(xiàn)基礎(chǔ)的自動化處理。應(yīng)為AI檢測結(jié)果創(chuàng)建簡單的自動化劇本。例如，若AI檢測到某外部IP被威脅情報確認為惡意并嘗試掃描端口，SOAR自動調(diào)用防火墻API將該IP加入臨時黑名單，并創(chuàng)建工單。若AI檢測到員工賬戶出現(xiàn)異常登錄（基線偏離），但風(fēng)險較低，SOAR可自動發(fā)送通知給員工確認，并記錄事件。發(fā)揮AI安全運營流程與自動化的初步提升。

AI驅(qū)動的威脅狩獵與情報：應(yīng)提升威脅狩獵的效率和精準(zhǔn)度，配置AI持續(xù)分析數(shù)據(jù)，根據(jù)異常行為基線偏離和已整合的威脅情報，生成高風(fēng)險線索或異常模式集群，提供給威脅狩獵團隊。

持續(xù)優(yōu)化：應(yīng)設(shè)定明確的量化指標(biāo)，與組織的業(yè)務(wù)目標(biāo)相關(guān)聯(lián)，清晰地反映AI賦能的價值。如事件響應(yīng)時間（MTTR/MTTI）縮短率（目標(biāo)縮短20%）、威脅監(jiān)測率提升（目標(biāo)提升10%）、告警降噪率（目標(biāo)降低30%）以及安全運營成本降低（目標(biāo)降低5%）。接下來應(yīng)持續(xù)測量效果，可視化展示。企業(yè)應(yīng)持續(xù)測量效果并可視化展示上述指標(biāo)，例如，用餅圖展示AI已過濾XX%的誤報告警，用折線圖展示MTTI從X小時降至Y小時，從而向管理層和業(yè)務(wù)部門直觀展示AI帶來的價值。

強調(diào)商業(yè)價值：通過L2和L3階段的小而成功的案例，展示AI賦能的巨大潛力，并以此為基礎(chǔ)，逐步擴大應(yīng)用范圍，爭取更多預(yù)算。持續(xù)向領(lǐng)導(dǎo)匯報AI如何提高安全運營效率、降低運營成本、提升威脅檢測能力、降低安全風(fēng)險、增強客戶信任、提升品牌形象等商業(yè)價值。

完成指標(biāo)：

• 安全數(shù)據(jù)湖覆蓋率：整合關(guān)鍵日志源到數(shù)據(jù)平臺的比例（例如，接入70%的關(guān)鍵日志源）。

• 告警降噪率：AI過濾掉的低價值或誤報告警數(shù)量比例（例如，降低40%）。

• MTTI縮短率：平均事件調(diào)查時間因AI輔助而縮短的比例（例如，縮短25%）。

• 基本自動化率：常規(guī)安全任務(wù)或初步響應(yīng)步驟的自動化比例（例如，10%的Level1告警已實現(xiàn)完全自動化）。

主要挑戰(zhàn)：

• AI復(fù)合型人才稀缺：既懂網(wǎng)絡(luò)安全又懂AI技術(shù)的人才難以招聘和培養(yǎng)，影響組織能力與人才發(fā)展。

• AI模型信任問題：安全分析師可能對AI自動化決策的準(zhǔn)確性和可靠性存在疑慮，挑戰(zhàn)治理、風(fēng)險與合規(guī)（GRC）中對信任的建立。

• 數(shù)據(jù)治理復(fù)雜：跨部門、多源異構(gòu)數(shù)據(jù)的整合、清洗和標(biāo)準(zhǔn)化工作量巨大，是數(shù)據(jù)基礎(chǔ)與治理的持續(xù)難點。

L4：智能協(xié)同階段

企業(yè)在該階段已實現(xiàn)跨產(chǎn)品、跨領(lǐng)域AI協(xié)同，形成全局安全邊界。

建設(shè)目標(biāo)是實現(xiàn)威脅預(yù)判：提前識別攻擊意圖，并通過全局協(xié)同實現(xiàn)多層次的防御。應(yīng)用實施的重點包括AI全棧關(guān)聯(lián)分析，對終端、網(wǎng)絡(luò)、云、應(yīng)用等多源數(shù)據(jù)進行AI分析，構(gòu)建完整攻擊鏈圖；AI動態(tài)策略調(diào)整，根據(jù)實時威脅和業(yè)務(wù)風(fēng)險動態(tài)調(diào)整防御策略；以及AI驅(qū)動紅藍對抗，利用AI模擬攻擊，持續(xù)評估并提升防御體系。

L4：智能協(xié)同階段

具體建設(shè)步驟：

實現(xiàn)全棧數(shù)據(jù)整合與高級關(guān)聯(lián)分析：核心是強化基線與威脅情報融合，達到全面、實時的數(shù)據(jù)覆蓋，并利用AI實現(xiàn)跨域數(shù)據(jù)的高級關(guān)聯(lián)。應(yīng)將所有IT和OT（工業(yè)控制）環(huán)境中的相關(guān)安全數(shù)據(jù)源都持續(xù)饋送到安全數(shù)據(jù)湖，例如完整的ActiveDirectory日志、DNS日志（用于可疑域名查詢）、EDR遙測數(shù)據(jù)（進程執(zhí)行、文件哈希、內(nèi)存訪問）、身份提供商日志（Okta、AzureAD）、應(yīng)用層日志。隨后，實施高級AI模型（如圖神經(jīng)網(wǎng)絡(luò)），自動關(guān)聯(lián)來自不同安全域的碎片化事件，構(gòu)建完整的攻擊鏈視圖。例如，AI能關(guān)聯(lián)一個異常的郵件附件點擊（端點數(shù)據(jù)）到隨后的內(nèi)部網(wǎng)絡(luò)掃描（網(wǎng)絡(luò)數(shù)據(jù)），再到云端API的異常調(diào)用（云數(shù)據(jù)），從而發(fā)現(xiàn)復(fù)雜的APT攻擊。這些多維度數(shù)據(jù)用于構(gòu)建更精準(zhǔn)的多維度行為基線，并進行高級威脅情報的融合與推理，提升AI智能威脅預(yù)測和行為異常檢測的能力。

實施AI驅(qū)動的動態(tài)安全策略：核心是基于基線異常與威脅情報確認，賦能AI根據(jù)實時威脅態(tài)勢，自動推薦甚至執(zhí)行安全策略調(diào)整。應(yīng)對AI識別出的高置信度關(guān)鍵威脅（例如，通過行為異常檢測發(fā)現(xiàn)的勒索病毒行為，或通過深度威脅情報關(guān)聯(lián)確認為國家級攻擊），配置SOAR劇本以觸發(fā)自動化遏制動作。可通過SOAR平臺調(diào)用API，在網(wǎng)絡(luò)設(shè)備（如防火墻、SDN控制器）上實現(xiàn)網(wǎng)絡(luò)微隔離；調(diào)用EDR平臺API隔離受感染主機；或調(diào)用身份提供商API實現(xiàn)多因素認證（MFA）。例如，AI檢測到某內(nèi)部服務(wù)器出現(xiàn)偏離其正常基線的異常網(wǎng)絡(luò)流量，且該流量的目標(biāo)IP被高級威脅情報確認為某個活躍APT組織的C2服務(wù)器。AI會立即推薦/自動執(zhí)行將該服務(wù)器微隔離到僅允許必要通信的區(qū)域，或臨時收緊相關(guān)用戶的訪問權(quán)限。

開展主動式AI驅(qū)動的威脅狩獵與情報：核心是融合基線與威脅情報洞察，利用AI更深入地發(fā)現(xiàn)潛伏威脅，并從狩獵中反哺情報。應(yīng)配置AI在海量數(shù)據(jù)中識別微妙的異常行為和潛在攻擊指標(biāo)，融合復(fù)雜行為基線偏離和深度關(guān)聯(lián)的威脅情報。AI會提供優(yōu)先級高的狩獵線索（例如，用戶A在非工作時間訪問了敏感數(shù)據(jù)，其設(shè)備還與一個最新威脅情報中提及的惡意域名進行了通信－可能存在內(nèi)部威脅與外部攻擊的融合），并富化上下文信息。同時，應(yīng)開展AI驅(qū)動的紅隊演練，部署AI驅(qū)動的模糊測試工具用于發(fā)現(xiàn)應(yīng)用程序漏洞，或自動化滲透測試框架利用AI探索攻擊路徑，并配置AI生成新型攻擊模式或?qū)箻颖?，用于測試AI防御系統(tǒng)對變異威脅的響應(yīng)能力和韌性，提升AI自身防御和AI驅(qū)動的威脅狩獵與情報的實戰(zhàn)能力。

完成指標(biāo)：

• 檢測威脅的平均時間：AI在威脅造成損害前預(yù)測或檢測威脅的平均時間（例如，將檢測時間從48小時縮短到2小時），體現(xiàn)安全效果與業(yè)務(wù)價值的提升。

• 跨域威脅關(guān)聯(lián)率：安全運營流程與自動化的協(xié)同效率。

• 動態(tài)策略調(diào)整速度：AI推薦/部署安全策略的速度（例如，策略更新速度提升5倍）。

• 威脅狩獵效率：APT發(fā)現(xiàn)率提升（例如，APT發(fā)現(xiàn)率提升20%）。

主要挑戰(zhàn)：

• AI模型管理復(fù)雜性：協(xié)調(diào)和維護眾多相互關(guān)聯(lián)的AI模型極具挑戰(zhàn)性。

• AI倫理與合規(guī)挑戰(zhàn)：確保AI決策的透明度、可解釋性和責(zé)任歸屬，避免潛在倫理風(fēng)險。

• 對抗性AI風(fēng)險：如何提升自身AI防御系統(tǒng)對攻擊者利用AI發(fā)起更復(fù)雜攻擊的魯棒性。

L5：主動免疫階段

此階段是AI賦能主動防御的最高境界，企業(yè)已實現(xiàn)AI驅(qū)動安全治理，體系持續(xù)自適應(yīng)，自我進化。

建設(shè)目標(biāo)是構(gòu)建智能韌性：實現(xiàn)安全體系的自適應(yīng)、自我優(yōu)化和預(yù)測性防御。

應(yīng)用實施的重點包括AI賦能安全治理，驅(qū)動動態(tài)評估、安全策略優(yōu)化和決策支持；AI持續(xù)學(xué)習(xí)與進化，利用對抗性學(xué)習(xí)自動適應(yīng)新型威脅；以及AI驅(qū)動自主編排，實現(xiàn)安全策略自動生成與執(zhí)行，系統(tǒng)自我實現(xiàn)修復(fù)。

L5：主動免疫階段

具體建設(shè)步驟：

企業(yè)應(yīng)實現(xiàn)AI驅(qū)動的戰(zhàn)略洞察與治理。包括實施AI驅(qū)動的風(fēng)險評估工具，通過關(guān)聯(lián)脆弱性掃描、實時威脅情報（包括AI自身從異常行為和對抗性模擬中生成的情報）、資產(chǎn)關(guān)鍵度等，持續(xù)分析企業(yè)風(fēng)險態(tài)勢，為戰(zhàn)略決策提供依據(jù)。AI還將分析安全開支效率，并推薦最佳資源分配方案，以符合COBIT的治理原則。AI還能進行預(yù)測性合規(guī)審計，主動識別潛在合規(guī)漏洞并建議糾正措施。

實現(xiàn)AI驅(qū)動的戰(zhàn)略洞察與治理：核心是將AI應(yīng)用于最高層級的安全戰(zhàn)略規(guī)劃與決策支持。應(yīng)利用AI驅(qū)動的風(fēng)險評估工具，通過關(guān)聯(lián)脆弱性掃描、實時威脅情報（包括AI自身從異常行為和對抗性模擬中生成的情報）、資產(chǎn)關(guān)鍵度等，持續(xù)分析企業(yè)風(fēng)險態(tài)勢，為戰(zhàn)略決策提供依據(jù)。利用AI分析安全開支效率，并推薦最佳資源分配方案，進行合規(guī)審計，主動識別潛在合規(guī)漏洞并建議糾正措施。提升AI賦能治理、風(fēng)險與合規(guī)（GRC）能力。

實現(xiàn)高度自治的安全運營：核心是結(jié)合基線與威脅情報驅(qū)動，自動化管理整個事件響應(yīng)生命周期，實現(xiàn)策略的自主生成與部署。應(yīng)配置AI管理整個事件響應(yīng)生命周期，從檢測、分析（由基線和威脅情報驅(qū)動）到遏制、清除和恢復(fù)，安全專家主要負責(zé)高風(fēng)險場景的最終驗證。如當(dāng)AI檢測到復(fù)雜的勒索軟件變種（基于對新型行為的理解和威脅情報更新），能夠自主識別受感染主機、通過網(wǎng)絡(luò)微隔離進行遏制、收集取證數(shù)據(jù)、分析惡意軟件特征、生成修復(fù)建議，并自動化部署補丁到未受感染系統(tǒng)，整個過程無需人工干預(yù)。并實施生成自主策略，利用AI創(chuàng)建優(yōu)化的安全策略，以響應(yīng)新興威脅或業(yè)務(wù)需求變化（由AI對最新威脅情報和內(nèi)部行為基線變化的理解驅(qū)動），實現(xiàn)防御態(tài)勢的持續(xù)自適應(yīng)。同時，強調(diào)商業(yè)價值，通過L2和L3階段的小而成功的案例，展示AI賦能的巨大潛力，并以此為基礎(chǔ)，逐步擴大應(yīng)用范圍，爭取更多預(yù)算。持續(xù)向領(lǐng)導(dǎo)匯報提高安全運營效率、降低運營成本、提升威脅檢測能力、降低安全風(fēng)險、增強客戶信任、提升品牌形象等商業(yè)價值。

實現(xiàn)自我修復(fù)與韌性增強：核心是賦予系統(tǒng)自我發(fā)現(xiàn)問題并自動修復(fù)的能力。通過部署AI驅(qū)動的漏洞管理解決方案，當(dāng)AI識別出潛在弱點（如配置錯誤、未打補?。r，能夠自動啟動補丁部署或配置變更。應(yīng)配置AI系統(tǒng)自動學(xué)習(xí)并適應(yīng)全新的攻擊模式（通過實時調(diào)整基線和防御策略），展現(xiàn)真正的免疫系統(tǒng)行為，并利用AI輔助大型安全事件后的快速自動化恢復(fù)，優(yōu)化恢復(fù)順序并驗證數(shù)據(jù)完整性，提升AI自身防御的能力。

持續(xù)進行高級對抗性測試（AI生成威脅情報）：核心是形成AI驅(qū)動的攻防閉環(huán)，并具備生成高質(zhì)量威脅情報的能力。應(yīng)開展AI驅(qū)動的紅隊自動化測試，持續(xù)進行自主滲透測試，模擬高級攻擊技術(shù)，例如AI生成新的漏洞利用變體。并且，利用AI安全系統(tǒng)消費外部威脅情報，并根據(jù)觀察到的內(nèi)部異常行為、自身對抗性模擬結(jié)果，生成新的、可操作的威脅情報，并將其反饋到防御體系和更廣泛的威脅情報社區(qū)，提升AI驅(qū)動的威脅狩獵與情報生產(chǎn)能力。

完成指標(biāo)：

• 自主修復(fù)率：AI無需人工干預(yù)自動修復(fù)漏洞或威脅的比例。

• 業(yè)務(wù)連續(xù)性韌性評分：模擬或?qū)嶋H攻擊期間業(yè)務(wù)功能穩(wěn)定性和正常運行時間的量化指標(biāo)。

• 自適應(yīng)防御有效性：AI防御系統(tǒng)在面對此前未見攻擊模式時的誤報率/漏報率和檢測率。

• 安全投資優(yōu)化率：通過AI實現(xiàn)的安全投入效率提升和成本降低的量化指標(biāo)。

主要挑戰(zhàn)：

• AI責(zé)任劃分：明確AI自主決策可能帶來的法律、倫理和道德責(zé)任，是治理、風(fēng)險與合規(guī)（GRC）的終極挑戰(zhàn)。

• AI系統(tǒng)安全評估：確保高度自主的AI系統(tǒng)自身不被攻擊或濫用。

• 平衡成本與復(fù)雜性：管理AI賦能帶來的高昂投入和系統(tǒng)復(fù)雜性，考驗著AI技術(shù)應(yīng)用深度的管理能力。

實施常見問題與建議

目前各組織正積極利用AI構(gòu)建主動安全防御，但是國內(nèi)企業(yè)實際實施過程中，仍會常遇到這種挑戰(zhàn)和困惑。本節(jié)將針對這些常見問題，從操作方面提出具體建議。針對這些挑戰(zhàn)，安全牛2025年調(diào)研企業(yè)用戶和廠商訪談，匯總了以下常見問題和建議：

1、企業(yè)現(xiàn)在是否應(yīng)該建設(shè)大而全的AI安全應(yīng)用平臺

企業(yè)在建設(shè)過程中，經(jīng)常會遇到一個誤區(qū)，認為一定要建設(shè)一個龐大的、無所不能的AI安全應(yīng)用平臺，才能實現(xiàn)安全的智能化主動防御。然而，由于當(dāng)前AI技術(shù)并不成熟，這種大而全的思路，往往會導(dǎo)致項目周期長、投入大、效果不明顯，甚至可能項目失敗。根據(jù)安全牛訪談，在實際項目中，更精細的場景下可以解決AI的誤報等問題，快速體現(xiàn)AI的價值，建議AI安全應(yīng)用平臺不應(yīng)追求大而全，應(yīng)該小步快跑，精而準(zhǔn)地快速實現(xiàn)急需解決的特定精細場景。

安全牛分析與建議：

AI賦能主動防御的價值，智能化的AI安全應(yīng)用平臺建設(shè)應(yīng)該小步快跑，不應(yīng)追求大而全，而是應(yīng)體現(xiàn)精而準(zhǔn)。簡單來說，就是從最容易上手、能夠快速產(chǎn)生價值的場景入手，逐步推進平臺建設(shè)。這種方法的核心思想是：擇那這些能夠快速解決實際問題、提升安全運營效率的場景，各地著手，逐步擴大應(yīng)用范圍，避免一口吃個胖子再通過不斷的反饋和優(yōu)化，不斷提升AI在安全運營中的應(yīng)用效果。比如知識問答、某類安全事件的溯源和自動化響應(yīng)。

2、在AI安全應(yīng)用平臺建設(shè)過程中會面臨哪些數(shù)據(jù)治理的挑戰(zhàn)

在AI安全應(yīng)用平臺建設(shè)的道路上，首先會遇到一個巨大的挑戰(zhàn)－數(shù)據(jù)治理。數(shù)據(jù)是平臺的基礎(chǔ)，沒有高質(zhì)量的數(shù)據(jù)，自動化、智能化的安全運營就類似于空中樓閣。并且數(shù)據(jù)治理問題在現(xiàn)實中，往往比想象的要復(fù)雜，經(jīng)常會遇到以下數(shù)據(jù)挑戰(zhàn)：

數(shù)據(jù)孤島問題：組織內(nèi)部通常配置來自不同廠商、不同型號的安全設(shè)備，這些設(shè)備產(chǎn)生的數(shù)據(jù)格式各不相同，彼此之間缺乏互通性，形成一個數(shù)據(jù)孤島。

數(shù)據(jù)質(zhì)量問題：安全設(shè)備產(chǎn)生的數(shù)據(jù)可能存在錯誤、缺失、重復(fù)等問題，這些質(zhì)量低的數(shù)據(jù)會嚴重影響人工智能的分析和判斷，導(dǎo)致誤報、漏報等情況。

數(shù)據(jù)量爆炸問題：隨著安全設(shè)備的普及和網(wǎng)絡(luò)流量的增長，安全數(shù)據(jù)量呈爆炸式增長。如何高效存儲、處理和分析海量數(shù)據(jù)，成為亟待解決的問題。

數(shù)據(jù)合規(guī)性問題：數(shù)據(jù)通常包含敏感信息，如用戶信息、業(yè)務(wù)數(shù)據(jù)等。在數(shù)據(jù)采集、存儲、處理和分析過程中，應(yīng)注意利用匿名、混淆等技術(shù)進行處理。

安全牛分析與建議：

因為組織往往忽視在規(guī)劃階段對明確數(shù)據(jù)需求的重要性。沒有明確的目標(biāo)，無法預(yù)知為什么需要哪些數(shù)據(jù)，也無法選擇合適的設(shè)備，到建設(shè)后期才發(fā)現(xiàn)數(shù)據(jù)中斷，往往為時已晚，成本高昂。數(shù)據(jù)是平臺的基石。只有打好數(shù)據(jù)基礎(chǔ)，才能充分發(fā)揮AI的潛力，讓安全運營真正智能起來。企業(yè)應(yīng)規(guī)劃先行，目標(biāo)明確：在AI安全應(yīng)用平臺建設(shè)之初，需充分了解自身的風(fēng)險狀況和業(yè)務(wù)需求，明確需要哪些數(shù)據(jù)來支撐安全運營。例如：若需進行用戶行為分析，則需要設(shè)備能夠提供詳細的用戶日志，若需進行流量分析，則需要設(shè)備能夠提供全面的網(wǎng)絡(luò)流量數(shù)據(jù)。

設(shè)備選型、數(shù)據(jù)匹配：在選擇安全設(shè)備時，不僅要關(guān)注其功能，更要關(guān)注其數(shù)據(jù)輸出能力，確保能夠提供所需的數(shù)據(jù)。可以要求設(shè)備廠商提供詳細的數(shù)據(jù)字典，了解其數(shù)據(jù)格式和內(nèi)容。

分階段數(shù)據(jù)整合與標(biāo)準(zhǔn)化：不要試圖一步步完成所有數(shù)據(jù)的整合。建議從核心業(yè)務(wù)系統(tǒng)和高價值安全日志開始，逐步將日志、流量、終端數(shù)據(jù)等整合到統(tǒng)一的安全數(shù)據(jù)庫或安全數(shù)據(jù)中臺。優(yōu)先進行數(shù)據(jù)的標(biāo)準(zhǔn)化和歸一化處理，統(tǒng)一數(shù)據(jù)模型。

應(yīng)用隱私計算技術(shù)：對于涉及個人信息和敏感業(yè)務(wù)數(shù)據(jù)，應(yīng)優(yōu)先采用數(shù)據(jù)脫敏、匿名化或假名化處理。積極探索和應(yīng)用聯(lián)邦學(xué)習(xí)、差分隱私、同態(tài)加密等隱私計算技術(shù)，以在保護隱私的前提下實現(xiàn)數(shù)據(jù)價值的最大化，滿足嚴格的合規(guī)要求。

重視數(shù)據(jù)標(biāo)注與反饋：建立數(shù)據(jù)標(biāo)注規(guī)范和流程，形成持續(xù)收集高質(zhì)量的威脅樣本和正常行為數(shù)據(jù)進行標(biāo)注。同時，將AI模型輸出的分析結(jié)果與人工復(fù)核結(jié)果閉環(huán)，持續(xù)反饋以優(yōu)化數(shù)據(jù)質(zhì)量和模型性能。

3、融合困惑：煙囪效應(yīng)、與現(xiàn)有體系沖突

AI能力往往以獨立產(chǎn)品或模塊的形式存在，難以與企業(yè)現(xiàn)有的SIEM、EDR、防火墻、身份管理等系統(tǒng)有效聯(lián)動，導(dǎo)致新的安全孤島，反而增加了威脅檢測與響應(yīng)的復(fù)雜性。

安全牛分析與建議：

構(gòu)建統(tǒng)一的威脅檢測與響應(yīng)平臺：采用平臺化思維，將AI能力作為平臺的核心組件或智能層，而不是獨立的產(chǎn)品。提供統(tǒng)一的數(shù)據(jù)接口、API和事件接口，實現(xiàn)各安全產(chǎn)品的數(shù)據(jù)共享和能力協(xié)同。將是打破通報效應(yīng)的根本途徑。

推動標(biāo)準(zhǔn)化接口與協(xié)議：鼓勵和推廣使用通用接口標(biāo)準(zhǔn)（如OpenC2、STIX/TAXII）和開放API，促進不同安全產(chǎn)品和AI模型之間的數(shù)據(jù)互通和指令聯(lián)動，確保可插拔性和互操作性。

優(yōu)化安全流程與工作流程：明確AI在安全事件處理流程中的角色（如輔助分析、風(fēng)險建議、自動化執(zhí)行）。對現(xiàn)有安全流程進行梳理和優(yōu)化，確保AI能夠無縫適應(yīng)事件響應(yīng)、威脅狩獵等工作流程，實現(xiàn)人機協(xié)同的無縫銜接，避免重復(fù)或沖突。

強調(diào)能力而非產(chǎn)品：在規(guī)劃AI安全建設(shè)時，企業(yè)應(yīng)重點構(gòu)建AI賦能的威脅捕獲能力、自動化響應(yīng)能力、風(fēng)險管理能力，而不是簡單地堆砌AI安全產(chǎn)品。有助于從設(shè)計方面集成避免陷入困境。

4、企業(yè)應(yīng)選擇本地還是云端的AI部署模式？

企業(yè)在建設(shè)AI安全應(yīng)用平臺時，面臨的一個關(guān)鍵決策是選擇哪種部署模式：本地部署、云端或混合模式。不同的部署模式各有優(yōu)劣。

本地部署模式：

本地部署可以更好地滿足其對數(shù)據(jù)安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發(fā)和集成。大型組織通常擁有龐大而復(fù)雜的自主IT基礎(chǔ)設(shè)施、完善的安全運營體系和專業(yè)的安全團隊，面臨復(fù)雜的安全威脅和嚴格的合規(guī)要求，安全預(yù)算相對充裕，對數(shù)據(jù)安全和可控性有更高的要求。建議對于具備以上特點的大型組織，本地部署可以更好地滿足其對數(shù)據(jù)安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發(fā)和集成。但是注意，本地部署平臺的前期投入，需要專業(yè)的團隊進行建設(shè)和運維。

云端模式：

云端模式可以降低平臺的建設(shè)和運維成本，并提供專業(yè)級的安全運營服務(wù)，中小型組織的特點是IT基礎(chǔ)設(shè)施相對簡單，安全團隊規(guī)模有限或缺乏，安全預(yù)算有限，對安全運營的專業(yè)性要求較高，但自身難以滿足。建議中小型組織選擇云端的平臺通常是更經(jīng)濟、更高效的選擇，可以使中小型組織也能夠享受到先進的安全防護能力。

混合模式（本地+云）：

混合模式結(jié)合本地部署和SaaS模式的優(yōu)點，可以根據(jù)不同的業(yè)務(wù)需求和安全需求，將不同的安全功能部署在本地或云端。建議對于一些大型組織，可以考慮采用混合模式?？梢詫⒑诵牡陌踩珨?shù)據(jù)和安全功能部署在本地，將一些非核心的安全功能部署在云端，或者將云端作為本地平臺的補充和擴展。

安全牛分析與建議：

企業(yè)在選擇平臺部署模式時，需要綜合考慮并根據(jù)自身的實際情況做出最佳選擇，包括：

專業(yè)的安全運營團隊。自建平臺需要專業(yè)的安全團隊進行建設(shè)、運維和管理。如果企業(yè)缺乏專業(yè)的安全團隊，云端的平臺或托管安全服務(wù)（MSSP）可能是更合適的選擇。

IT基礎(chǔ)設(shè)施和安全體系。企業(yè)要考慮IT基礎(chǔ)設(shè)施的規(guī)模和復(fù)雜程度，平臺需要與現(xiàn)有的IT基礎(chǔ)設(shè)施進行集成。如果IT基礎(chǔ)設(shè)施龐大而復(fù)雜，本地自建平臺的負載和成本會更高。并且平臺需要與現(xiàn)有的安全設(shè)備和系統(tǒng)進行聯(lián)動。如果企業(yè)缺乏基本的安全設(shè)備和能力，平臺可能無法有效地工作。

數(shù)據(jù)安全性和合規(guī)性。對于數(shù)據(jù)安全和隱私保護有要求的企業(yè)（例如金融、醫(yī)療等行業(yè)），可能更傾向于本地自建平臺，以保證數(shù)據(jù)的安全和可控。

預(yù)算和成本。本地自建平臺的前期投入較多，包括硬件、軟件、人力等方面的投入。SaaS化的平臺通常采用訂閱模式，前期投入較低，但長期成本需要綜合考慮。

定制化和靈活需求。不同的企業(yè)面臨不同的安全需求和合規(guī)需求，本地自建平臺可以提供更高的定制化和靈活性，但需要更強的技術(shù)實力。云端的平臺提供的功能通常是標(biāo)準(zhǔn)化的，定制化能力有限。并且本地自建通常更容易實現(xiàn)與其他內(nèi)部系統(tǒng)進行深度集成。

5、如何轉(zhuǎn)變思路，從而獲得高層領(lǐng)導(dǎo)的支持？

在平臺建設(shè)過程中，經(jīng)常會遇到這樣的挑戰(zhàn)：如何讓領(lǐng)導(dǎo)充分了解平臺的價值，并持續(xù)投入經(jīng)費？畢竟建設(shè)需要資金的支持。如果無法證明平臺的價值，就很難獲得領(lǐng)導(dǎo)的支持。要解決這個問題，需要轉(zhuǎn)變思路，從技術(shù)驅(qū)動轉(zhuǎn)變?yōu)閮r值驅(qū)動，用數(shù)據(jù)說話，用事實證明平臺能夠為組織帶來真正的價值。

安全牛分析與建議：

領(lǐng)導(dǎo)關(guān)注的不是技術(shù)本身，而是技術(shù)能夠帶來的價值。用數(shù)據(jù)和事實，贏得領(lǐng)導(dǎo)的信任和支持：

明確指標(biāo)量化：在AI安全應(yīng)用平臺建設(shè)之初，需要設(shè)定明確的量化指標(biāo)，如事件響應(yīng)時間、威脅監(jiān)測率、運營成本降低等。這些指標(biāo)應(yīng)該與組織的業(yè)務(wù)目標(biāo)相關(guān)聯(lián)，能夠清晰地反映平臺的價值。

持續(xù)測量效果：通過持續(xù)測量和分析，可以了解平臺的實際效果，并及時調(diào)整優(yōu)化?？梢远ㄆ诎l(fā)布平臺的運營報告，向領(lǐng)導(dǎo)展示其成果和價值。

可視化展示：將量化指標(biāo)和分析結(jié)果以可視化的方式呈現(xiàn)，一目了然地了解平臺的價值?？梢圆捎脠D表、儀表盤等方式，直觀地展示平臺的運營情況。

從點著手，逐步擴大：通過一個小而成功的案例，展示平臺的潛力，并以此為基礎(chǔ)，逐步擴大應(yīng)用范圍，爭取更多預(yù)算?？梢赃x擇一些容易量化和展示的場景，如知識問答、事件溯源等。

強調(diào)商業(yè)價值：不僅要強調(diào)平臺的技術(shù)優(yōu)勢，更要強調(diào)其商業(yè)價值。例如：平臺可以提高安全運營效率，降低運營成本；可以提升威脅檢測能力，降低安全風(fēng)險；可以增強客戶信任，提升品牌形象。

構(gòu)建安全運營成熟度模型：使用該模型來簡化組織在流程、技術(shù)和人員方面的成熟度。通過評估模型顯示持續(xù)性的改進，對于獲得更多的預(yù)算和保持持續(xù)性改進至關(guān)重要。

6、復(fù)合型人才稀缺、運維缺口

問題描述：市場上既懂網(wǎng)絡(luò)安全攻防又懂AI技術(shù)（如機器學(xué)習(xí)、深度學(xué)習(xí)）的復(fù)合型人才極度稀缺?，F(xiàn)有安全團隊可能難以有效部署、調(diào)優(yōu)、運維AI模型，也無法充分利用AI的分析結(jié)果。

安全牛分析與建議：

內(nèi)部培養(yǎng)與外部引進結(jié)合：鼓勵現(xiàn)有安全成員學(xué)習(xí)AI基礎(chǔ)知識，提供相關(guān)的培訓(xùn)課程和認證機會，提升其AI素養(yǎng)團隊。同時，逐步引進具有AI背景的安全數(shù)據(jù)科學(xué)家、AI安全工程師或AI算法工程師，補充核心技術(shù)力量。

構(gòu)建人機協(xié)同的工作模式：強調(diào)AI是安全分析師的助手，將AI擅長的重復(fù)性、高強度數(shù)據(jù)分析和模式識別任務(wù)替換AI，讓人工專注于高價值的研判、復(fù)雜事件分析、威脅和策略優(yōu)化。通過持續(xù)的實踐培養(yǎng)分析師與AI協(xié)同的能力。

依賴廠商服務(wù)與生態(tài)合作：針對自身AI能力不足的企業(yè)，中小企業(yè)可提供完整的AI解決方案和托管運營服務(wù)，逐步培養(yǎng)內(nèi)部團隊。積極參與行業(yè)交流和生態(tài)合作，獲取成功經(jīng)驗，獲取技術(shù)支持和人才資源。

注重運營自動化與模型管理：利用自動化運維工具進行AI模型的部署、監(jiān)控、更新和性能調(diào)優(yōu)，降低日常運維復(fù)雜度。建立AI模型生命周期管理（MLOps）流程，保證模型的持續(xù)學(xué)習(xí)、版本控制和性能管理。

合作電話：18311333376

合作微信：aqniu001