2025-12-30 01:12:22 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章基于全球CISO圆桌会议观点，指出2026年AISOC需具备信任与可追溯性、缓解告警疲劳、基于业务上下文的风险排序、人在回路的自动化、高质量数据集成、可证明的ROI及明确的法律问责这七项核心能力。强调AI应用必须安全透明且可衡量，旨在构建可信、可运营的防御体系而非盲目追求科幻效果。 综合评分： 86 文章分类： AI安全,安全运营

cover_image

CISO展望：2026年AI SOC应具备7项能力

安全内参编译

安全内参

2025年12月29日 18:19 北京

关注我们

带你读懂网络安全

AI SOC发展必须是安全的、透明的、可集成的、可衡量的。

前情回顾·AI SOC近期动态

国外Agentic SOC平台落地实践经验
Gartner：2025年SIEM（安全信息与事态管理）市场分析
AI赋能的下一代安全运营平台 (SOC) 展望

安全内参12月29日消息，在一场由Cybersecurity Tribe主办的安全领导者圆桌会议，来自法国巴黎银行、美国国家橄榄球联盟、ION Group以及其他六七家全球大型企业的安全负责人分享一线观点。尽管他们分属不同行业、组织成熟度各异，但其首要任务却出奇一致。

谈及AI驱动的安全运营中心（SOC）平台时，每一位首席信息安全官都表示，希望其具备以下7项能力。

1.信任与可追溯性

如果说有一个主题的出现频率高于其他所有主题，那无疑是“信任”。安全领导者并不希望面对“神秘”的AI，他们真正需要的是透明性。

他们反复强调，AI的输出必须具备可审计性、可解释性和可复现性。

无论是应对合规审计人员、内部治理委员会，还是不断上升的法律与监管风险，他们都需要能够完整展示决策全过程。

黑箱式决策已无法被接受。AI必须生成可验证的证据，而不仅仅是给出结论。

2.缓解告警疲劳（运营效率）

笔者所交流的每一位领导者，都正在与告警过载问题作斗争。即便是高度成熟的安全运营中心，也正在被海量低价值通知和伪事件所淹没。

“显著减少升级至人工处理的告警数量”如今已成为评估AI平台的核心KPI之一。领导者期望看到这样一种状态：分析人员将时间和精力投入到真正可利用、具有高影响力的威胁上，而不是无休止的噪音。

如果AI能够消除重复性的分诊工作，这不仅是锦上添花，而是具有变革意义。

3.超越CVSS，****

具备上下文的、基于风险的优先级排序

没有人愿意再看到一个控制面板，不断催促他们去处理那些CVSS评分很高、但在现实中几乎无人关心的系统。

首席信息安全官希望AI能够融合以下信息：

遥测数据
漏洞数据
身份信息
业务上下文（资产关键性、岗位角色、数据敏感性、流程影响）

目标是生成真正反映组织实际风险的优先级排序，而不是依赖任意的严重性分数。

他们希望AI能够直接告诉他们：“这是今天最重要的那一条告警，原因如下。”

4.人在回路的安全自动化

（针对高影响操作）

大多数领导者愿意在范围受限、定义清晰且置信度较高的场景中，接受选择性的自主修复。

例如：

快速遏制勒索软件
隔离明显已被攻陷的端点
自动执行可重复的基础卫生任务

然而，对于更大范围或影响更深远的操作，首席信息安全官依然坚持需要人工审查。其立场非常明确：在合适的地方，AI可以快速行动，但绝不能以牺牲控制权为代价。

5.集成能力与实用的遥测覆盖

每一位领导者都强调，AI平台的真正价值取决于其所摄取数据的质量与覆盖广度。

不可或缺的数据来源包括：

云遥测（AWS、Azure、GCP）
身份提供商（Okta、Entra ID、Ping）
端点检测与响应/扩展检测与响应（EDR/XDR）
安全信息与事件管理（SIEM）日志
工单系统/IT服务管理（ITSM）
定制化威胁情报源

他们并不希望看到一个在缺乏高质量数据支撑的情况下，仍然承诺“给出答案”的魔法AI。他们真正需要的是一个高度互联、能够全面洞察整个环境的系统。

6.与高管层和董事会对齐，

并具备可证明的投资回报率（ROI）

首席信息安全官并非在真空环境中部署AI。他们的董事会和高管团队正从两个截然不同的方向施加压力：

一部分将AI采用视为战略重点，要求强制推进；

另一部分则通过复杂的治理、风险与合规流程，放缓所有进展。

在这样的动态环境中前行，首席信息安全官必须拿出清晰且经得起推敲的投资回报率，包括：

运营成本降低
平均响应时间缩短
升级事件数量减少
结果更加可预测

缺乏可衡量价值的AI，已经不再被接受。

他们需要能够直面董事会，并清楚说明：“这就是AI带来的实际影响。”

7.问责机制与法律清晰度

在企业允许AI自主采取安全行动之前，首席信息安全官必须先得到一个根本性问题的答案：

首席信息安全官：“当AI采取行动时，谁来承担责任？”

这并非停留在理论层面的担忧，而是实现落地应用的门槛性条件。

在责任归属、义务界定和治理机制尚未获得明确指引之前，许多组织都会对AI的使用施加严格限制。

结语

在所有这些交流中，传递出的信息高度一致：安全运营中心的AI融合不可避免，但它必须是安全的、透明的、可集成的、可衡量的。

首席信息安全官并不追求科幻式的幻想。他们真正需要的是可信、可运营的AI，能够增强团队能力、强化防御体系，并始终与业务现实保持一致。

参考资料：intezer.com

推荐阅读

网安智库平台长期招聘兼职研究员
欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全内参安全内参编译《CISO展望：2026年AI SOC应具备7项能力》