李勁擔任某傳統(tǒng)制造企業(yè)CISO，該企業(yè)年營收上十億，員工過千。

某日凌晨，企業(yè)財務(wù)部收到一封AI偽造CEO語氣和簽名的釣魚郵件，要求緊急支付一筆“供應(yīng)商尾款”，附件含偽裝成Excel的勒索軟件。財務(wù)人員信以為真，點擊運行附件。

攻擊者利用AI生成的定制化漏洞利用腳本，繞過WAF防護，成功入侵企業(yè)內(nèi)網(wǎng)。致企業(yè)生產(chǎn)數(shù)據(jù)被加密，產(chǎn)線停工，損失數(shù)百萬元。

企業(yè)高層次日質(zhì)問李勁：“每年安全預(yù)算幾百萬元，為何連一封釣魚郵件都防不??？”

財務(wù)總監(jiān)也是提出質(zhì)疑：“過去幾年安全投入累計達千萬元，但避免了多少潛在事件損失，節(jié)省了多少業(yè)務(wù)經(jīng)營成本？投入產(chǎn)出比是否合理？”

副總更是不留情面：“出了安全事故，我們?nèi)魶]安全投入，就是缺乏安全意識，這是態(tài)度問題。但我們有安全投入，還是出了事故，這只能是能力問題。”

李勁百口莫辯。經(jīng)歷此事，“安全建設(shè)如何衡量效果、安全投入如何評估收益”，成為橫亙在李勁心中的一座山。

一直以來，類似李勁遭遇的CISO并不罕見。安全威脅攔不住、安全效果說不清、安全投資難衡量，這些問題的根本，就是看不清安全現(xiàn)狀、找不準建設(shè)目標、摸不透建設(shè)路徑。
 

CISO該用哪些方法解答這一問題？

為此，李勁跟圈內(nèi)多位好友交流，這些朋友們就職于不同規(guī)模、不同類型的企業(yè)，所面臨的問題都大不相同，但似乎讓他看到了一條有跡可循的“建設(shè)路徑”。

階段一：初創(chuàng)企業(yè)或小型企業(yè)，要用最少的設(shè)備部署獲得最大化的安全效果

某小型機械制造企業(yè)，員工80人，年營收千萬級。業(yè)務(wù)員每天需通過郵件與客戶對接報價單、合同等敏感文件，由此帶來諸多安全隱患，如：每月收到釣魚郵件超50封，導(dǎo)致勒索軟件入侵，由此財務(wù)系統(tǒng)癱瘓1天，損失訂單約50萬元?？蛻舭踩珜徲嬙诩?，如果無法證明具備釣魚防護能力，還可能導(dǎo)致丟單。

此前，該企業(yè)僅靠1臺傳統(tǒng)防火墻+2名運維人員“看家”，無WAF、郵件網(wǎng)關(guān)等安全設(shè)備。為了解決釣魚郵件問題，運維人員曾嘗試部署殺毒軟件和開源郵件過濾工具，卻因誤報頻發(fā)、規(guī)則復(fù)雜難以維護，只能放棄。

該企業(yè)決定升級防御體系，經(jīng)過多款產(chǎn)品對比，最終選擇部署AI+SASE賦能的下一代防火墻。通過云端訂閱，防火墻內(nèi)聯(lián)安全大模型，實時分析郵件正文、附件、發(fā)件人行為。

檢測到釣魚郵件后，1分鐘內(nèi)生成AI解讀報告（如“發(fā)件人域名仿冒某知名物流公司”），并自動阻斷惡意URL和附件。并支持自定義策略，如對含“付款”“合同”等關(guān)鍵詞的郵件加強檢測。

部署后1個月內(nèi)，累計攔截釣魚郵件127封，其中高對抗釣魚郵件（如AI偽造CEO郵件）檢出率達95%，誤報率<0.05%。

尤其是某次攻擊者偽造客戶郵件要求“緊急支付尾款”，附件含偽裝成PDF的勒索軟件，防火墻在10秒內(nèi)識別并阻斷。

最終，企業(yè)也通過客戶安全審計，審計方認可其“具備AI驅(qū)動的釣魚郵件防護能力”。

該企業(yè)安全負責者告知：“每封郵件都做了確認，準確率真高，尤其可以應(yīng)對不同語言的釣魚郵件，感覺很驚艷。”

除了釣魚郵件的檢測與攔截，AI+SASE賦能的下一代防火墻還可以通過內(nèi)聯(lián)云端架構(gòu)，實時利用AI大模型能力防御新型威脅，如銀狐遠控、釣魚url、黑客工具、勒索軟件等變化多端的熱門威脅，將攻擊直接扼殺在邊界。

實際上，很多初創(chuàng)或小型企業(yè)業(yè)務(wù)剛起步，只能做基礎(chǔ)的安全設(shè)備部署，但不知道該怎么做好基礎(chǔ)防護，應(yīng)該防哪些威脅。而這種業(yè)務(wù)安全建設(shè)方式，打造了安全護盾，將AI技術(shù)云化賦能到傳統(tǒng)硬件設(shè)備，用硬件產(chǎn)品+云端訂閱的方式，能夠防住大部分安全威脅。

階段二：上升期企業(yè)或中型企業(yè)，要看得見安全投資的效果

某區(qū)域連鎖零售企業(yè)，擁有千家門店和線上商城，年營收數(shù)億元。雖然部署了防火墻、WAF、EDR等十余臺安全設(shè)備，但在2023年仍遭遇2起勒索攻擊（導(dǎo)致多家門店P(guān)OS系統(tǒng)癱瘓）和5起釣魚攻擊（造成會員信息泄露）。更糟的是，董事會開始質(zhì)疑：“每年花這么多錢買設(shè)備，到底防住了什么？"

究其原因，企業(yè)雖然安全設(shè)備武裝到位，但安全團隊只有1名兼職負責人。駐場服務(wù)商只管告警，不解決問題，每次出事都得CISO手動協(xié)調(diào)多個廠商"救火"。設(shè)備日志堆積如山，卻沒人能說清：“哪些告警是真實威脅？處置效率如何？安全投入到底值不值？"

為了解決這一問題，安全負責人引入由AI賦能的安全托管方案。這種基于訂閱模式（SaaS）提供7×24小時持續(xù)監(jiān)控和響應(yīng)，通過專業(yè)團隊和技術(shù)工具，可以幫助企業(yè)以高性價比投入獲得業(yè)務(wù)安全效果保障。

線上安全運營平臺將每天從各個安全設(shè)備采集到的數(shù)十萬安全告警，先經(jīng)過AI大模型進行初步研判，過濾90%無效告警，將告警聚合成明確安全事件。隨后，線上安全專家團隊對AI研判結(jié)果進行二次審核，確認真實攻擊事件并啟動相關(guān)處置流程，整體耗時控制在分鐘級。

該企業(yè)部署后1個月內(nèi)，累計處置安全事件42起，其中勒索攻擊2起，從檢測到遏制耗時50分鐘左右，避免直接經(jīng)濟損失超300萬元。釣魚郵件攻擊15起，其中AI檢出率98%，誤報率<0.5%。

尤其是面對近期比較猖獗的銀狐病毒，同行多家企業(yè)都慘遭毒手，該企業(yè)卻得以幸免，主要得益于AI賦能的安全托管方案持續(xù)運營、快速響應(yīng)，持續(xù)更新覆蓋hash、文件特征、內(nèi)存特征、特定行為等維度的規(guī)則來及時查殺“銀狐”新變種。

不同于傳統(tǒng)服務(wù)模式，云化安全托管服務(wù)不只是將服務(wù)人員從現(xiàn)場轉(zhuǎn)移到了云端，更重要的是能全程兜底保障效果。

該企業(yè)安全負責人坦言：“以前安全設(shè)備買了很多，但老板總問‘錢花哪了？效果在哪？’我們根本答不上來。安全托管方案把安全效果變成了可量化的分數(shù)和報告，現(xiàn)在董事會開會直接看大屏數(shù)據(jù)，安全團隊的壓力也小多了。”

階段三：成熟期企業(yè)或大型企業(yè)，要構(gòu)建自運營的機制與流程

某跨國制造集團年營收超百億，業(yè)務(wù)遍及10國30個分支機構(gòu)。雖然已部署50+臺安全設(shè)備（防火墻、WAF、EDR、SIEM一應(yīng)俱全），但日均50萬條告警讓20人的安全團隊疲于奔命——85%的誤報率讓真實威脅像"大海撈針"。過去5年投入2000萬建設(shè)的SOC，年均仍發(fā)生50起安全事件，勒索攻擊損失超千萬。更棘手的是，全球10個數(shù)據(jù)中心的設(shè)備運維，吃掉40%的安全預(yù)算。

為何重金投入，仍無法達到理想的安全效果？安全負責人分析原因有以下幾點：

• 告警過載：20人安全團隊每天處理海量誤報，真實事件被"噪音"淹沒。

• 人力困局：每擴展一個分支機構(gòu)，就需要新增運維人員。

• 效率黑洞：傳統(tǒng)SOC嚴重依賴人工，事件響應(yīng)常滯后數(shù)小時。

面對傳統(tǒng)SOC運營困境，經(jīng)綜合研判，該集團決定啟用一套「AI+云化」驅(qū)動的安全運營方案，接入50+各類安全廠商的日志，通過AI智能研判/調(diào)研，聚合削減海量告警，發(fā)現(xiàn)真實攻擊事件，并通過MDR服務(wù)協(xié)同運營，實現(xiàn)事件分鐘級響應(yīng)、100%閉環(huán)。集團安全團隊可逐步接管白天大部分工作，合作廠商負責夜班、節(jié)假日工作以及重點事件應(yīng)急。

企業(yè)部署后3個月內(nèi)，累計處置安全事件127起，其中：勒索攻擊5起（從檢測到遏制耗時半小時左右），避免直接經(jīng)濟損失超2000萬元。APT攻擊3起，通過DeepSeek增強推理，發(fā)現(xiàn)0day漏洞利用，溯源時間從72小時縮短至8小時。

該企業(yè)CISO稱：“以前我們的安全運營中心像‘黑盒子’，投入大但效果不可見。這套方案把AI能力和MDR服務(wù)融合在一起，既降低了成本，又讓我們看到了實實在在的安全效果。現(xiàn)在集團安全團隊可以投入在流程建設(shè)等高價值事情上，真正實現(xiàn)了‘自運營為主’的目標。”

 

以「AI+云化」重構(gòu)業(yè)務(wù)安全建設(shè)
“投資有回報、效果看得見”

  和好友們交流下來，李勁意識到，要想跨越“證明安全價值”的人心的高山，業(yè)務(wù)安全建設(shè)要抓住三個關(guān)鍵思路：

首先，AI問題當需AI治，單靠堆人力，已遠不能應(yīng)付攻擊者“仗AI欺人”的節(jié)奏。CISO需要讓企業(yè)安全產(chǎn)品擁有強大的AI安全能力。尤其是AI釣魚欺詐泛濫的當下，AI安全能力尤為重要。

其次，CISO需要重視企業(yè)安全產(chǎn)品的云化安全能力或服務(wù)。AI加持下的攻擊瞬息萬變，單靠本地資源庫，很難及時應(yīng)對新型的攻擊，還要避免整個團隊疲于奔命，陷于又忙又沒價值的惡性循環(huán)之中。

最后，CISO要想方設(shè)法讓高層看得見安全價值，比如像風險可視化、風險定期匯總分析報告、安全價值量化模型、安全建設(shè)優(yōu)先級排序等，CISO可以充分利用這些形式。

基于這一理念，李勁找到了志同道合的合作廠商深信服。作為多年深耕「AI+云化」安全的廠商，深信服為用戶提供了一套體系化的建設(shè)路徑：

 

? 安全防得住：用「AI+云化」賦能，打破本地的算力和資源限制，關(guān)鍵硬件產(chǎn)品+云化AI能力，解決郵件釣魚、外聯(lián)遠控等安全難題。

? 效果有預(yù)期：用AI賦能的云化安全服務(wù)，7*24小時保護業(yè)務(wù)連續(xù)性，真正為安全效果負責，效果可視化可量化。

? 體系化運營：AI賦能安全運營“智能駕駛”，實現(xiàn)“智能研判-決策-處置”全流程，釋放安全團隊精力，讓運營人員投入在“建設(shè)企業(yè)安全流程、看護安全效果、推動安全機制變化”的工作上。

歷經(jīng)此事，李勁深深感受到：AI時代的業(yè)務(wù)安全防護，將告別“人海戰(zhàn)術(shù)”，走向“智能協(xié)同”的道路。通過「AI+云化」的體系化路徑，業(yè)務(wù)安全建設(shè)不僅能應(yīng)對當下威脅，更能為未來構(gòu)建自適應(yīng)安全能力，真正實現(xiàn)“投資有回報、效果看得見”，彰顯安全建設(shè)對于企業(yè)業(yè)務(wù)的價值。

歡迎掃碼交流體驗