AI賦能的主動防御無疑是未來企業網絡安全的應對趨勢，但對于大多數企業而言，AI賦能安全聽起來不知從何下手。是否需要一下子投入大量資金購買昂貴的AI平臺？還是可以從現有的安全工具開始升級？本文打破你的困惑，基于專業的AI賦能主動防御成熟度模型，為你提供一份清晰、可操作的落地路線圖。無論你的企業處于哪個階段，都能找到“小步快跑”的實戰路徑，最終實現安全體系的“智能免疫”。

人工智能驅動的主動防御的實施是一個系統性持續優化的復雜過程，不可能一蹴而就，應遵循由淺入深、由點到面、由易到難的原則。組織可基于成熟度框架，結合自身實際情況，采用循序漸進建設方法，穩步推進各階段建設，才能充分發揮人工智能在網絡安全領域的潛力，構建堅不可摧的安全防線。

L1：基礎探索階段

基礎探索階段是企業AI安全能力建設的起點，通過引入單點AI能力，建立初步安全數據基礎，為后續系統化AI安全建設奠定基礎。此階段重在認知提升、數據準備和單點驗證，雖然效果有限但可快速獲得價值感知。企業在該階段處于初步認知AI潛力，缺乏系統規劃的狀態。

建設目標：通過引入單設備AI能力，提升單點效率：降低特定攻擊類型（如已知惡意軟件）的誤報/漏報。

應用實施重點是通過在特定安全產品（如防病毒軟件AV、Web應用防火墻WAF、終端檢測與響應EDR）中集成AI檢測功能，提升單點防護能力。

L1：基礎探索階段

具體建設步驟：

AI安全基礎認知與規劃準備：核心是建立團隊對AI安全價值的初步共識與宏觀理解。組織團隊成員了解AI在模式識別、異常檢測等方面的基本能力，并明確通過AI輔助降低傳統殺毒軟件的誤報率的初步愿景。

圖片

安全數據基礎梳理與初步收集：核心是識別并初步建立核心安全日志的集中收集機制。應制定關鍵安全日志來源清單，如防火墻、終端防護軟件（EPP/AV）、Web服務器、認證服務器等，選擇集中式日志管理工具，配置關鍵系統開啟并轉發重要日志，主要關注從防火墻讀取的連接/阻斷日志、EPP發送的惡意軟件告警，以及認證服務器的登錄事件日志。例如，配置服務器發送安全日志（EventID4624/4625登錄事件）或防火墻配置Syslog轉發。

部署具備內置AI能力的通用安全產品：核心是利用現有成熟產品中自帶的AI能力，快速提升特定防護點的效能。應部署內置集成AI能力的特定安全產品，如帶有AI威脅檢測引擎的下一代防病毒軟件（AV），內置AI模塊以識別異常Web攻擊的WAF，或具備AI行為分析能力的終端檢測與響應（EDR）產品，并確保其AI功能已開啟。例如，AV產品中的AI會分析終端生成的可疑文件行為或程序執行特征，通過AI識別未知惡意軟件家族的變種，從而減少對傳統簽名庫的依賴并降低對合法程序的誤報；WAF中的AI則分析Web應用接收到的HTTP/HTTPS請求，識別SQL注入、XSS攻擊的變體，減少對靜態規則的依賴；EDR中的AI通過對進程行為鏈的分析，識別無文件攻擊、勒索病毒的早期加密行為，提升對新型攻擊的檢測能力。

部署具備內置AI能力的通用安全產品

完成指標：

• 核心日志源覆蓋率：關鍵日志來源的接入比例（例如，50%的核心防火墻和EPP日志已接入），反映數據基礎的初步建設。
• 特定攻擊類型誤報率降低：針對AV/WAF/EDR等產品中AI功能，其特定攻擊類型的誤報率是否有初步降低（例如，AV對未知惡意軟件的誤報率降低5%）。
• AI功能檢測率提升：AI功能對特定未知威脅的檢出率是否有初步提升。

主要挑戰：

• 數據孤島：安全數據分散在眾多系統中，統一收集和管理面臨困難，制約了數據基礎與治理的提升。
• AI技術認知不足：安全團隊成員對AI的基本原理和應用不熟悉，可能導致不切實際的期望或抵觸。
• 單點效果不明顯：初期AI輔助功能可能效果有限，影響安全效果與業務價值的初步感知。

L2：局部試點階段

企業已形成AI應用意愿，應聚焦能夠快速驗證AI價值、數據相對可控且能解決實際痛點的場景，進行小范圍針對性驗證。

此階段的建設目標是發現威脅：識別傳統方式難以感知的潛在威脅，擴大威脅發現范圍。其應用實施的重點是AI行為分析：利用用戶與實體行為分析（UEBA）、網絡流量分析（NTA）等，識別特定場景（如員工異常行為、特定網絡流量異常）的偏離模式。企業應選擇小步快跑、精而準的試點場景，避免大而全的陷阱，該階段的核心是聚焦能夠快速驗證AI價值、數據相對可控且能解決實際痛點的場景。

L2：局部試點階段

通常選擇的特定場景如：

告警降噪與智能分類場景。針對某一類高頻且誤報率高的入侵檢測系統（IDS）告警，通過導入歷史告警數據給AI模型學習，實現AI自動將告警分類為真實攻擊或誤報，從而減少分析師手動處理量，發揮AI技術應用深度在告警優化上的能力。

快速溯源與知識問答場景。針對異常登錄事件，利用AI分析認證日志、VPN日志、用戶活動日志，快速關聯用戶歷史行為、登錄IP地理位置、時間，輔助分析師判斷其風險等級并快速溯源，發揮AI驅動的威脅狩獵與情報的能力。同時，可將內部安全文檔和常見問題導入AI進行知識問答訓練，提供步驟指導。實現輔助分析師快速判斷風險等級并提供溯源線索；如向AI提問如何處理異常登錄事件？AI給出步驟指導，初步發揮安全知識圖譜的應用。

具體建設步驟：

L2：局部試點階段

獲取特定試點數據并部署專門的行為分析型AI工具：核心是精準數據準備，并引入聚焦行為分析的AI解決方案。應從日志中提取試點場景所需的數據（例如，認證日志、VPN日志和部分用戶活動日志用于異常登錄檢測），并與廠商合作，部署用于行為分析的AI工具或解決方案，例如UEBA模式、NTA模塊，或具備高級行為分析能力的EDR平臺。接著，針對某個部門或非關鍵業務系統部署AI工具，并設置參數，明確哪些數據字段對應用戶ID、IP地址等。并讓AI工具進行基線學習，觀察并學習什么是正常行為（例如，張三通常在工作日上午9點到下午6點從公司網絡IP登錄，外地出差會通過特定VPNIP登錄）。

AI告警監測與初步威脅情報驗證：核心是驗證AI檢測的準確性，結合威脅情報進行初步確認。應復核AI工具產生的所有告警，評估其準確性，以驗證AI技術應用深度的初步效果。對于AI標記的任何可疑指標（如IP、域名），需手動交叉驗證公共威脅情報庫來確認其惡意性，初步發揮AI驅動的威脅狩獵與情報的能力。

完成指標：

• 試點場景誤報率降低：例如，特定IDS告警的誤報率降低15%。
• 試點場景新增威脅發現數量：AI發現傳統方法未曾發現的異常（例如，新增3起內部異常登錄）。
• 初步威脅溯源效率提升：例如，異常登錄事件的初步分析時間縮短10%。

主要挑戰：

• 數據質量差距：用于試點的數據可能仍存在不一致或缺失，影響AI準確性，是數據基礎與治理的持續挑戰。
• 內部系統整合難：獲取和連接特定數據到AI工具的集成工作可能遇到困難，影響安全運營流程的順暢。
• 投資回報（ROI）差距：初期單點試點效果可能不顯著，難以有效量化和展現其全部價值，影響安全效果與業務價值的初步評估。

L3：體系融合階段

企業在該階段已經完成規劃全局AI安全戰略，將AI能力賦能威脅檢測與響應。

在此階段，建設目標是提升運營效率：通過自動化和智能輔助，減少人工分析負擔，加快事件處理。其應用實施的重點包括安全數據湖/中臺構建以統一多源安全數據，為AI模型提供集中化數據支撐；SOAR集成AI，將AI檢測結果與安全編排自動化與響應（SOAR）平臺集成，實現AI輔助事件分析和部分自動化響應；以及AI驅動的威脅狩獵與情報，基于AI生成的線索，縮短威脅調查時間（TTR）。

L3：體系融合階段

具體建設步驟：

構建統一數據平臺與數據治理體系：核心是實現多源異構安全數據的集中納管、標準化與治理，為AI能力提供統一數據底座。應首先構建中央安全數據平臺與數據治理體系。構建統一的數據平臺，配置所有關鍵安全日志源（防火墻、EDR、AD、DNS、云活動日志等）發送所有相關日志和遙測數據到該數據平臺，為安全知識圖譜的構建和所有AI能力的數據基礎奠定堅實基礎。

數據治理，貫穿始終：核心是確保數據質量與合規性，實現數據的標準化與智能化。應制定并采用通用的數據標準和規范，實現不同設備和系統之間的數據格式統一，方便AI進行數據交換和共享。例如，定義統一的源IP、目標IP、事件時間等字段命名和格式，并通過數據質量檢查工具定期監控數據質量。同時，數據安全合規至關重要，需建立完善的數據安全管理制度，確保所有收集和用于AI訓練的數據在整個生命周期內（采集、存儲、處理、分析）的安全性與合規性，例如，對敏感的用戶行為數據進行脫敏處理。

整合AI能力與核心安全運營平臺集成，實現AI檢測結果與SIEM/SOAR的無縫集成，提升事件分析效率，啟動初步自動化響應。應將AI分析引擎的輸出（如AI生成的告警、風險評分）集成到SIEM系統，以富化現有告警或創建高可信度新告警。確保AI與SOAR平臺之間通過API接口順暢通信。SOAR平臺將利用自動化威脅情報富化機制，當SIEM中生成告警時，自動調用威脅情報API，查詢告警中的IP、域名、文件哈希等指標，并將查詢結果（如該IP為已知惡意IP）附加到告警中，實現初步的威脅情報判斷自動化。發揮AI智能威脅預測和智能決策與自動化響應的初期協同。

開發基本的SOAR自動化劇本（結合基線與初步威脅情報）：核心是針對常見、高置信度AI告警實現基礎的自動化處理。應為AI檢測結果創建簡單的自動化劇本。例如，若AI檢測到某外部IP被威脅情報確認為惡意并嘗試掃描端口，SOAR自動調用防火墻API將該IP加入臨時黑名單，并創建工單。若AI檢測到員工賬戶出現異常登錄（基線偏離），但風險較低，SOAR可自動發送通知給員工確認，并記錄事件。發揮AI安全運營流程與自動化的初步提升。

AI驅動的威脅狩獵與情報：應提升威脅狩獵的效率和精準度，配置AI持續分析數據，根據異常行為基線偏離和已整合的威脅情報，生成高風險線索或異常模式集群，提供給威脅狩獵團隊。

持續優化：應設定明確的量化指標，與組織的業務目標相關聯，清晰地反映AI賦能的價值。如事件響應時間（MTTR/MTTI）縮短率（目標縮短20%）、威脅監測率提升（目標提升10%）、告警降噪率（目標降低30%）以及安全運營成本降低（目標降低5%）。接下來應持續測量效果，可視化展示。企業應持續測量效果并可視化展示上述指標，例如，用餅圖展示AI已過濾XX%的誤報告警，用折線圖展示MTTI從X小時降至Y小時，從而向管理層和業務部門直觀展示AI帶來的價值。

強調商業價值：通過L2和L3階段的小而成功的案例，展示AI賦能的巨大潛力，并以此為基礎，逐步擴大應用范圍，爭取更多預算。持續向領導匯報AI如何提高安全運營效率、降低運營成本、提升威脅檢測能力、降低安全風險、增強客戶信任、提升品牌形象等商業價值。

完成指標：

• 安全數據湖覆蓋率：整合關鍵日志源到數據平臺的比例（例如，接入70%的關鍵日志源）。
• 告警降噪率：AI過濾掉的低價值或誤報告警數量比例（例如，降低40%）。
• MTTI縮短率：平均事件調查時間因AI輔助而縮短的比例（例如，縮短25%）。
• 基本自動化率：常規安全任務或初步響應步驟的自動化比例（例如，10%的Level1告警已實現完全自動化）。

主要挑戰：

• AI復合型人才稀缺：既懂網絡安全又懂AI技術的人才難以招聘和培養，影響組織能力與人才發展。
• AI模型信任問題：安全分析師可能對AI自動化決策的準確性和可靠性存在疑慮，挑戰治理、風險與合規（GRC）中對信任的建立。
• 數據治理復雜：跨部門、多源異構數據的整合、清洗和標準化工作量巨大，是數據基礎與治理的持續難點。

L4：智能協同階段

企業在該階段已實現跨產品、跨領域AI協同，形成全局安全邊界。

建設目標是實現威脅預判：提前識別攻擊意圖，并通過全局協同實現多層次的防御。應用實施的重點包括AI全棧關聯分析，對終端、網絡、云、應用等多源數據進行AI分析，構建完整攻擊鏈圖；AI動態策略調整，根據實時威脅和業務風險動態調整防御策略；以及AI驅動紅藍對抗，利用AI模擬攻擊，持續評估并提升防御體系。

L4：智能協同階段

具體建設步驟：

實現全棧數據整合與高級關聯分析：核心是強化基線與威脅情報融合，達到全面、實時的數據覆蓋，并利用AI實現跨域數據的高級關聯。應將所有IT和OT（工業控制）環境中的相關安全數據源都持續饋送到安全數據湖，例如完整的ActiveDirectory日志、DNS日志（用于可疑域名查詢）、EDR遙測數據（進程執行、文件哈希、內存訪問）、身份提供商日志（Okta、AzureAD）、應用層日志。隨后，實施高級AI模型（如圖神經網絡），自動關聯來自不同安全域的碎片化事件，構建完整的攻擊鏈視圖。例如，AI能關聯一個異常的郵件附件點擊（端點數據）到隨后的內部網絡掃描（網絡數據），再到云端API的異常調用（云數據），從而發現復雜的APT攻擊。這些多維度數據用于構建更精準的多維度行為基線，并進行高級威脅情報的融合與推理，提升AI智能威脅預測和行為異常檢測的能力。

實施AI驅動的動態安全策略：核心是基于基線異常與威脅情報確認，賦能AI根據實時威脅態勢，自動推薦甚至執行安全策略調整。應對AI識別出的高置信度關鍵威脅（例如，通過行為異常檢測發現的勒索病毒行為，或通過深度威脅情報關聯確認為國家級攻擊），配置SOAR劇本以觸發自動化遏制動作。可通過SOAR平臺調用API，在網絡設備（如防火墻、SDN控制器）上實現網絡微隔離；調用EDR平臺API隔離受感染主機；或調用身份提供商API實現多因素認證（MFA）。例如，AI檢測到某內部服務器出現偏離其正常基線的異常網絡流量，且該流量的目標IP被高級威脅情報確認為某個活躍APT組織的C2服務器。AI會立即推薦/自動執行將該服務器微隔離到僅允許必要通信的區域，或臨時收緊相關用戶的訪問權限。

開展主動式AI驅動的威脅狩獵與情報：核心是融合基線與威脅情報洞察，利用AI更深入地發現潛伏威脅，并從狩獵中反哺情報。應配置AI在海量數據中識別微妙的異常行為和潛在攻擊指標，融合復雜行為基線偏離和深度關聯的威脅情報。AI會提供優先級高的狩獵線索（例如，用戶A在非工作時間訪問了敏感數據，其設備還與一個最新威脅情報中提及的惡意域名進行了通信－可能存在內部威脅與外部攻擊的融合），并富化上下文信息。同時，應開展AI驅動的紅隊演練，部署AI驅動的模糊測試工具用于發現應用程序漏洞，或自動化滲透測試框架利用AI探索攻擊路徑，并配置AI生成新型攻擊模式或對抗樣本，用于測試AI防御系統對變異威脅的響應能力和韌性，提升AI自身防御和AI驅動的威脅狩獵與情報的實戰能力。

完成指標：

• 檢測威脅的平均時間：AI在威脅造成損害前預測或檢測威脅的平均時間（例如，將檢測時間從48小時縮短到2小時），體現安全效果與業務價值的提升。
• 跨域威脅關聯率：安全運營流程與自動化的協同效率。
• 動態策略調整速度：AI推薦/部署安全策略的速度（例如，策略更新速度提升5倍）。
• 威脅狩獵效率：APT發現率提升（例如，APT發現率提升20%）。

主要挑戰：

• AI模型管理復雜性：協調和維護眾多相互關聯的AI模型極具挑戰性。
• AI倫理與合規挑戰：確保AI決策的透明度、可解釋性和責任歸屬，避免潛在倫理風險。
• 對抗性AI風險：如何提升自身AI防御系統對攻擊者利用AI發起更復雜攻擊的魯棒性。

L5：主動免疫階段

此階段是AI賦能主動防御的最高境界，企業已實現AI驅動安全治理，體系持續自適應，自我進化。

建設目標是構建智能韌性：實現安全體系的自適應、自我優化和預測性防御。

應用實施的重點包括AI賦能安全治理，驅動動態評估、安全策略優化和決策支持；AI持續學習與進化，利用對抗性學習自動適應新型威脅；以及AI驅動自主編排，實現安全策略自動生成與執行，系統自我實現修復。

L5：主動免疫階段

具體建設步驟：

企業應實現AI驅動的戰略洞察與治理。包括實施AI驅動的風險評估工具，通過關聯脆弱性掃描、實時威脅情報（包括AI自身從異常行為和對抗性模擬中生成的情報）、資產關鍵度等，持續分析企業風險態勢，為戰略決策提供依據。AI還將分析安全開支效率，并推薦最佳資源分配方案，以符合COBIT的治理原則。AI還能進行預測性合規審計，主動識別潛在合規漏洞并建議糾正措施。

實現AI驅動的戰略洞察與治理：核心是將AI應用于最高層級的安全戰略規劃與決策支持。應利用AI驅動的風險評估工具，通過關聯脆弱性掃描、實時威脅情報（包括AI自身從異常行為和對抗性模擬中生成的情報）、資產關鍵度等，持續分析企業風險態勢，為戰略決策提供依據。利用AI分析安全開支效率，并推薦最佳資源分配方案，進行合規審計，主動識別潛在合規漏洞并建議糾正措施。提升AI賦能治理、風險與合規（GRC）能力。

實現高度自治的安全運營：核心是結合基線與威脅情報驅動，自動化管理整個事件響應生命周期，實現策略的自主生成與部署。應配置AI管理整個事件響應生命周期，從檢測、分析（由基線和威脅情報驅動）到遏制、清除和恢復，安全專家主要負責高風險場景的最終驗證。如當AI檢測到復雜的勒索軟件變種（基于對新型行為的理解和威脅情報更新），能夠自主識別受感染主機、通過網絡微隔離進行遏制、收集取證數據、分析惡意軟件特征、生成修復建議，并自動化部署補丁到未受感染系統，整個過程無需人工干預。并實施生成自主策略，利用AI創建優化的安全策略，以響應新興威脅或業務需求變化（由AI對最新威脅情報和內部行為基線變化的理解驅動），實現防御態勢的持續自適應。同時，強調商業價值，通過L2和L3階段的小而成功的案例，展示AI賦能的巨大潛力，并以此為基礎，逐步擴大應用范圍，爭取更多預算。持續向領導匯報提高安全運營效率、降低運營成本、提升威脅檢測能力、降低安全風險、增強客戶信任、提升品牌形象等商業價值。

實現自我修復與韌性增強：核心是賦予系統自我發現問題并自動修復的能力。通過部署AI驅動的漏洞管理解決方案，當AI識別出潛在弱點（如配置錯誤、未打補丁）時，能夠自動啟動補丁部署或配置變更。應配置AI系統自動學習并適應全新的攻擊模式（通過實時調整基線和防御策略），展現真正的免疫系統行為，并利用AI輔助大型安全事件后的快速自動化恢復，優化恢復順序并驗證數據完整性，提升AI自身防御的能力。

持續進行高級對抗性測試（AI生成威脅情報）：核心是形成AI驅動的攻防閉環，并具備生成高質量威脅情報的能力。應開展AI驅動的紅隊自動化測試，持續進行自主滲透測試，模擬高級攻擊技術，例如AI生成新的漏洞利用變體。并且，利用AI安全系統消費外部威脅情報，并根據觀察到的內部異常行為、自身對抗性模擬結果，生成新的、可操作的威脅情報，并將其反饋到防御體系和更廣泛的威脅情報社區，提升AI驅動的威脅狩獵與情報生產能力。

完成指標：

• 自主修復率：AI無需人工干預自動修復漏洞或威脅的比例。
• 業務連續性韌性評分：模擬或實際攻擊期間業務功能穩定性和正常運行時間的量化指標。
• 自適應防御有效性：AI防御系統在面對此前未見攻擊模式時的誤報率/漏報率和檢測率。
• 安全投資優化率：通過AI實現的安全投入效率提升和成本降低的量化指標。

主要挑戰：

• AI責任劃分：明確AI自主決策可能帶來的法律、倫理和道德責任，是治理、風險與合規（GRC）的終極挑戰。
• AI系統安全評估：確保高度自主的AI系統自身不被攻擊或濫用。
• 平衡成本與復雜性：管理AI賦能帶來的高昂投入和系統復雜性，考驗著AI技術應用深度的管理能力。

實施常見問題與建議

目前各組織正積極利用AI構建主動安全防御，但是國內企業實際實施過程中，仍會常遇到這種挑戰和困惑。本節將針對這些常見問題，從操作方面提出具體建議。針對這些挑戰，安全牛2025年調研企業用戶和廠商訪談，匯總了以下常見問題和建議：

1、企業現在是否應該建設大而全的AI安全應用平臺

企業在建設過程中，經常會遇到一個誤區，認為一定要建設一個龐大的、無所不能的AI安全應用平臺，才能實現安全的智能化主動防御。然而，由于當前AI技術并不成熟，這種大而全的思路，往往會導致項目周期長、投入大、效果不明顯，甚至可能項目失敗。根據安全牛訪談，在實際項目中，更精細的場景下可以解決AI的誤報等問題，快速體現AI的價值，建議AI安全應用平臺不應追求大而全，應該小步快跑，精而準地快速實現急需解決的特定精細場景。

安全牛分析與建議：

AI賦能主動防御的價值，智能化的AI安全應用平臺建設應該小步快跑，不應追求大而全，而是應體現精而準。簡單來說，就是從最容易上手、能夠快速產生價值的場景入手，逐步推進平臺建設。這種方法的核心思想是：擇那這些能夠快速解決實際問題、提升安全運營效率的場景，各地著手，逐步擴大應用范圍，避免一口吃個胖子再通過不斷的反饋和優化，不斷提升AI在安全運營中的應用效果。比如知識問答、某類安全事件的溯源和自動化響應。

2、在AI安全應用平臺建設過程中會面臨哪些數據治理的挑戰

在AI安全應用平臺建設的道路上，首先會遇到一個巨大的挑戰－數據治理。數據是平臺的基礎，沒有高質量的數據，自動化、智能化的安全運營就類似于空中樓閣。并且數據治理問題在現實中，往往比想象的要復雜，經常會遇到以下數據挑戰：

數據孤島問題：組織內部通常配置來自不同廠商、不同型號的安全設備，這些設備產生的數據格式各不相同，彼此之間缺乏互通性，形成一個數據孤島。

數據質量問題：安全設備產生的數據可能存在錯誤、缺失、重復等問題，這些質量低的數據會嚴重影響人工智能的分析和判斷，導致誤報、漏報等情況。

數據量爆炸問題：隨著安全設備的普及和網絡流量的增長，安全數據量呈爆炸式增長。如何高效存儲、處理和分析海量數據，成為亟待解決的問題。

數據合規性問題：數據通常包含敏感信息，如用戶信息、業務數據等。在數據采集、存儲、處理和分析過程中，應注意利用匿名、混淆等技術進行處理。

安全牛分析與建議：

因為組織往往忽視在規劃階段對明確數據需求的重要性。沒有明確的目標，無法預知為什么需要哪些數據，也無法選擇合適的設備，到建設后期才發現數據中斷，往往為時已晚，成本高昂。數據是平臺的基石。只有打好數據基礎，才能充分發揮AI的潛力，讓安全運營真正智能起來。企業應規劃先行，目標明確：在AI安全應用平臺建設之初，需充分了解自身的風險狀況和業務需求，明確需要哪些數據來支撐安全運營。例如：若需進行用戶行為分析，則需要設備能夠提供詳細的用戶日志，若需進行流量分析，則需要設備能夠提供全面的網絡流量數據。

設備選型、數據匹配：在選擇安全設備時，不僅要關注其功能，更要關注其數據輸出能力，確保能夠提供所需的數據。可以要求設備廠商提供詳細的數據字典，了解其數據格式和內容。

分階段數據整合與標準化：不要試圖一步步完成所有數據的整合。建議從核心業務系統和高價值安全日志開始，逐步將日志、流量、終端數據等整合到統一的安全數據庫或安全數據中臺。優先進行數據的標準化和歸一化處理，統一數據模型。

應用隱私計算技術：對于涉及個人信息和敏感業務數據，應優先采用數據脫敏、匿名化或假名化處理。積極探索和應用聯邦學習、差分隱私、同態加密等隱私計算技術，以在保護隱私的前提下實現數據價值的最大化，滿足嚴格的合規要求。

重視數據標注與反饋：建立數據標注規范和流程，形成持續收集高質量的威脅樣本和正常行為數據進行標注。同時，將AI模型輸出的分析結果與人工復核結果閉環，持續反饋以優化數據質量和模型性能。

3、融合困惑：煙囪效應、與現有體系沖突

AI能力往往以獨立產品或模塊的形式存在，難以與企業現有的SIEM、EDR、防火墻、身份管理等系統有效聯動，導致新的安全孤島，反而增加了威脅檢測與響應的復雜性。

安全牛分析與建議：

構建統一的威脅檢測與響應平臺：采用平臺化思維，將AI能力作為平臺的核心組件或智能層，而不是獨立的產品。提供統一的數據接口、API和事件接口，實現各安全產品的數據共享和能力協同。將是打破通報效應的根本途徑。

推動標準化接口與協議：鼓勵和推廣使用通用接口標準（如OpenC2、STIX/TAXII）和開放API，促進不同安全產品和AI模型之間的數據互通和指令聯動，確保可插拔性和互操作性。

優化安全流程與工作流程：明確AI在安全事件處理流程中的角色（如輔助分析、風險建議、自動化執行）。對現有安全流程進行梳理和優化，確保AI能夠無縫適應事件響應、威脅狩獵等工作流程，實現人機協同的無縫銜接，避免重復或沖突。

強調能力而非產品：在規劃AI安全建設時，企業應重點構建AI賦能的威脅捕獲能力、自動化響應能力、風險管理能力，而不是簡單地堆砌AI安全產品。有助于從設計方面集成避免陷入困境。

4、企業應選擇本地還是云端的AI部署模式？

企業在建設AI安全應用平臺時，面臨的一個關鍵決策是選擇哪種部署模式：本地部署、云端或混合模式。不同的部署模式各有優劣。

本地部署模式：

本地部署可以更好地滿足其對數據安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發和集成。大型組織通常擁有龐大而復雜的自主IT基礎設施、完善的安全運營體系和專業的安全團隊，面臨復雜的安全威脅和嚴格的合規要求，安全預算相對充裕，對數據安全和可控性有更高的要求。建議對于具備以上特點的大型組織，本地部署可以更好地滿足其對數據安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發和集成。但是注意，本地部署平臺的前期投入，需要專業的團隊進行建設和運維。

云端模式：

云端模式可以降低平臺的建設和運維成本，并提供專業級的安全運營服務，中小型組織的特點是IT基礎設施相對簡單，安全團隊規模有限或缺乏，安全預算有限，對安全運營的專業性要求較高，但自身難以滿足。建議中小型組織選擇云端的平臺通常是更經濟、更高效的選擇，可以使中小型組織也能夠享受到先進的安全防護能力。

混合模式（本地+云）：

混合模式結合本地部署和SaaS模式的優點，可以根據不同的業務需求和安全需求，將不同的安全功能部署在本地或云端。建議對于一些大型組織，可以考慮采用混合模式。可以將核心的安全數據和安全功能部署在本地，將一些非核心的安全功能部署在云端，或者將云端作為本地平臺的補充和擴展。

安全牛分析與建議：

企業在選擇平臺部署模式時，需要綜合考慮并根據自身的實際情況做出最佳選擇，包括：

專業的安全運營團隊。自建平臺需要專業的安全團隊進行建設、運維和管理。如果企業缺乏專業的安全團隊，云端的平臺或托管安全服務（MSSP）可能是更合適的選擇。

IT基礎設施和安全體系。企業要考慮IT基礎設施的規模和復雜程度，平臺需要與現有的IT基礎設施進行集成。如果IT基礎設施龐大而復雜，本地自建平臺的負載和成本會更高。并且平臺需要與現有的安全設備和系統進行聯動。如果企業缺乏基本的安全設備和能力，平臺可能無法有效地工作。

數據安全性和合規性。對于數據安全和隱私保護有要求的企業（例如金融、醫療等行業），可能更傾向于本地自建平臺，以保證數據的安全和可控。

預算和成本。本地自建平臺的前期投入較多，包括硬件、軟件、人力等方面的投入。SaaS化的平臺通常采用訂閱模式，前期投入較低，但長期成本需要綜合考慮。

定制化和靈活需求。不同的企業面臨不同的安全需求和合規需求，本地自建平臺可以提供更高的定制化和靈活性，但需要更強的技術實力。云端的平臺提供的功能通常是標準化的，定制化能力有限。并且本地自建通常更容易實現與其他內部系統進行深度集成。

5、如何轉變思路，從而獲得高層領導的支持？

在平臺建設過程中，經常會遇到這樣的挑戰：如何讓領導充分了解平臺的價值，并持續投入經費？畢竟建設需要資金的支持。如果無法證明平臺的價值，就很難獲得領導的支持。要解決這個問題，需要轉變思路，從技術驅動轉變為價值驅動，用數據說話，用事實證明平臺能夠為組織帶來真正的價值。

安全牛分析與建議：

領導關注的不是技術本身，而是技術能夠帶來的價值。用數據和事實，贏得領導的信任和支持：

明確指標量化：在AI安全應用平臺建設之初，需要設定明確的量化指標，如事件響應時間、威脅監測率、運營成本降低等。這些指標應該與組織的業務目標相關聯，能夠清晰地反映平臺的價值。

持續測量效果：通過持續測量和分析，可以了解平臺的實際效果，并及時調整優化。可以定期發布平臺的運營報告，向領導展示其成果和價值。

可視化展示：將量化指標和分析結果以可視化的方式呈現，一目了然地了解平臺的價值。可以采用圖表、儀表盤等方式，直觀地展示平臺的運營情況。

從點著手，逐步擴大：通過一個小而成功的案例，展示平臺的潛力，并以此為基礎，逐步擴大應用范圍，爭取更多預算。可以選擇一些容易量化和展示的場景，如知識問答、事件溯源等。

強調商業價值：不僅要強調平臺的技術優勢，更要強調其商業價值。例如：平臺可以提高安全運營效率，降低運營成本；可以提升威脅檢測能力，降低安全風險；可以增強客戶信任，提升品牌形象。

構建安全運營成熟度模型：使用該模型來簡化組織在流程、技術和人員方面的成熟度。通過評估模型顯示持續性的改進，對于獲得更多的預算和保持持續性改進至關重要。

6、復合型人才稀缺、運維缺口

問題描述：市場上既懂網絡安全攻防又懂AI技術（如機器學習、深度學習）的復合型人才極度稀缺。現有安全團隊可能難以有效部署、調優、運維AI模型，也無法充分利用AI的分析結果。

安全牛分析與建議：

內部培養與外部引進結合：鼓勵現有安全成員學習AI基礎知識，提供相關的培訓課程和認證機會，提升其AI素養團隊。同時，逐步引進具有AI背景的安全數據科學家、AI安全工程師或AI算法工程師，補充核心技術力量。

構建人機協同的工作模式：強調AI是安全分析師的助手，將AI擅長的重復性、高強度數據分析和模式識別任務替換AI，讓人工專注于高價值的研判、復雜事件分析、威脅和策略優化。通過持續的實踐培養分析師與AI協同的能力。

依賴廠商服務與生態合作：針對自身AI能力不足的企業，中小企業可提供完整的AI解決方案和托管運營服務，逐步培養內部團隊。積極參與行業交流和生態合作，獲取成功經驗，獲取技術支持和人才資源。

注重運營自動化與模型管理：利用自動化運維工具進行AI模型的部署、監控、更新和性能調優，降低日常運維復雜度。建立AI模型生命周期管理（MLOps）流程，保證模型的持續學習、版本控制和性能管理。