聚光灯 赞助方:NTT DATA 主权安全运营正日益成为一项关键优先事项,因为组织需要在监管合规、地缘政治风险以及需要全球协调、人工智能赋能的网络安全能力之间寻求平衡。 日益数字化的受监管经济中的主权安全行动 2026年4月 作者:Yogesh Shivhare,研究与信任部研究经理 一瞥之下 引言 安全运营格局的变化 关键数据 数字商业模式的高速扩张正在改变组织对网络安全运营的看法。安全监控和事件响应不再仅仅是支持IT基础设施的技术职能;它们正日益成为企业韧性和数字服务交付的关键组成部分。 1.67% 的组织认为,为达到运营主权,将主权控制应用于安全分析软件非常重要或极其重要。 根据IDC《全球CEO调查》(2025年3月),数字产品、服务和体验在2025年约占企业收入的39%,预计该比例将在2026年上升至43%,到2028年将达到48%,到2030年将达到61%。随着数字收入成为整体业务活动较大的一部分,网络事件的操作和财务影响潜力持续增加。 WHAT'SIMPORTANT 主权考量正从数据存储扩展到包括安全分析平台、SOC基础设施以及 这一转变对安全运营团队提出了新的要求。组织必须对网络安全监控环境拥有运营控制权,从而能够更快地检测威胁、更有效地做出响应,并确保网络安全基础设施与不断发展的法规要求保持一致。 治理要求。与此同时,威胁格局的复杂性持续加剧,攻击者日益将身份系统、云基础设施和相互连接的数字平台作为目标。 因此,许多企业正在重新评估其安全运营中心(SOC)的架构和管理。传统的集中式SOC模式通常依赖于在全球范围内收集并汇入共享监控基础设施的遥测数据。虽然这种方法可以提供运营效率和集中的威胁可见性,但它可能与关于数据治理和运营主权的不断出现的监管和地缘政治期望相冲突。 主权网络安全基础设施日益重要 监管压力、地缘政治发展和国家数据治理举措正促使各组织重新思考网络安全基础设施的运营地点及其控制权。特别是,企业正越来越多地评估安全分析平台和监控系统是否应在特定司法管辖区内部署运营。 日益数字化但受监管的经济体中的主权安全行动 IDC研究报告显示,由于地缘政治紧张局势、监管变化以及对数字自主权的担忧,63%的组织报告称对主权IT解决方案的兴趣有所增加。虽然这一趋势最初集中在主权云服务上,但它正越来越多地扩展到网络安全运营基础设施。 实践中,主权考量现已涵盖整个安全运营体系。这包括SIEM和XDR等安全分析平台、SOC基础设施和运营流程,以及用于威胁检测、调查和响应的工作流程。对于在受监管行业运营或跨越多个司法管辖区的组织而言,确保这些要素符合国家法规和治理框架已成为一项战略优先事项。 主权SOC架构的出现 为应对这些压力,组织正在探索主权SOC架构,旨在支持在特定地理或司法管辖区边界内的安全运营。这些架构代表了从纯粹的集中式模式向更分布式且可控的环境的转变,这些环境能够与地方监管预期保持一致。 主权SOC架构必须平衡多项相互竞争的优先事项。一方面,组织需要遵守国家数据治理要求和监管框架。另一方面,它们必须在维护企业范围内的网络威胁可见性的同时,保持运营效率和分析师生产力。 现代主权SOC设计越来越多地体现了混合与联盟化方法。这些方法结合了区域SOC基础设施、AI辅助的调查工作流程、共享的威胁情报框架以及协调的检测工程实践。组织并非完全隔离运营,而是采用允许区域化执行安全操作同时又能实现跨区域受控协作的模型。 益处 与主权要求对齐安全运营 组织越来越认识到,将主权控制应用于安全监控和分析基础设施的重要性。安全遥测数据,包括日志、警报和行为数据,通常包含属于隐私法规或国家数据治理政策范围的信息。 IDC《2025年全球数字主权调查》显示,67%的组织认为,为安全分析软件应用主权管控对于实现运营主权非常重要或极其重要。这凸显了企业思维的转变,主权不再局限于存储考量,也包括实时分析和运营处理。 因此,安全分析平台(如SIEM、XDR)和SOC监控工具正成为主权战略的核心。组织越来越多地评估这些平台是否应在区域环境或主权基础设施框架内运行,以确保合规性并保持对敏感运营数据的控制。 日益数字化但受监管的经济体中的主权安全行动 主权SOC模型的运营和治理优势 主权SOC架构使组织能够加强治理和监管合规,特别是在具有复杂地域要求的场景中。通过在特定区域本地化安全监控基础设施,企业能更好地与国家网络安全法规及特定行业的合规义务保持一致。 这种本地化方法增强了运营控制和行政监督的透明度,使组织能够更有效地向监管机构和利益相关者证明其合规性。它还有助于加强与国家网络安全机构和行业监管机构的合作,这在事件响应和监管报告期间可能至关重要。 这些治理优势在金融、电信和政府等高度监管的行业中尤为重要,因为这些行业的数据处理和运营自主权都受到严格的监管审查。 利用人工智能辅助调查,提升分析师生产力 随着现代 IT 环境的日益复杂,安全运营团队正承受着越来越大的压力,警报数量持续增长。云服务、连接设备和分布式应用的激增产生了海量遥测数据,这些数据必须实时进行分析和响应。 人工智能辅助调查能力正成为提升SOC效率的关键驱动力。这些技术有助于加速告警分诊、减少误报、自动化重复性调查任务,并提供支持分析师决策的上下文洞察。通过增强而非取代人类分析师,人工智能使SOC团队能够专注于更高价值的活动(例如威胁分析和响应策略)。 然而,尽管自动化应用日益广泛,人工监督仍然是SOC运营的关键组成部分。IDC《2024年全球安全服务调查》显示,21%的组织要求内部安全人员在调查关闭前进行复核,而25%的组织要求MDR或MSSP分析师验证结果。这表明近半数组织仍依赖人工介入流程,凸显了平衡自动化与治理和问责制的重要性。 通过集成网络安全防御提升风险可见性 许多组织正转向集成化网络安全防御模式,将威胁情报、漏洞管理、攻击模拟和安全监控整合到一个统一框架中。这种集成使安全领导者能够超越孤立见解,从而全面了解网络风险。 通过将外部威胁情报与内部资产暴露程度及控制有效性进行关联分析,组织能够识别出与其环境最相关的威胁,以及哪些漏洞存在最高风险。这种方法还允许安全团队评估现有控制措施是否按预期发挥作用,并据此确定缓解措施的优先级。 结果是,组织能够采取更积极主动、更知情的安全态势,从而在威胁造成重大运营影响之前就能预见并应对这些威胁。 衡量主权SOC架构的有效性 随着组织现代化安全运营,它们越来越多地使用可衡量的运营指标来评估SOC的有效性,而不是纯粹依赖架构标准。 常见的绩效指标包括: 运营效率指标 » 检测平均时间 (MTTD)» 响应平均时间 (MTTR)» 每条警报平均调查时间 检测质量指标 **减少误报****警报分类准确率** 针对MITRE ATT&CK等威胁框架的保障 风险降低指标 » 是时候控制事件了 » 暴露资产修复速度 » 防御控制措施的有效性 运营韧性指标 » SOC可用性与连续性 区域运营独立 事件升级有效性 人工智能辅助的SOC环境可以通过加速调查工作流程和减少分析师工作量来帮助提升这些指标,而区域SOC架构则可能提升运营弹性和合规性。 趋势 对主权数字基础设施的需求日益增长 地缘政治发展和监管变化正影响着许多地区的企業基礎設施策略。IDC研究顯示,63%的組織報告對國家主權數字基礎設施的興趣增加,包括國家主權雲環境和區域控制的IT服務。 日益数字化但受监管的经济体中的主权安全行动 虽然这些举措最初集中于云计算平台,但类似的主权考量正越来越多地应用于网络安全运营基础设施和SOC环境。 社会转型与平台优化 组织正通过更广泛的网络安全转型计划来现代化其SOC架构。这些工作通常涉及整合安全工具、优化平台以及改进安全技术的集成。 转型计划日益关注用现代分析解决方案替代遗留SIEM平台;整合SIEM、XDR和威胁情报能力;以及发展高级检测工程实践。自动化也在SOC环境中发挥着关键作用,以提升运营效率并减少人工工作量。 人工智能辅助SOC运营的扩展 人工智能正成为现代SOC平台不可或缺的组成部分。当前的实施重点并非实现完全自主运行,而是侧重于增强分析师的工作流程并提升决策能力。 常见的应用场景包括告警关联、自动证据收集、威胁模式识别和上下文分析。这些功能使组织能够在处理日益增长的安全数据量的同时,保持或提高检测准确率。 人工智能治理与安全考量 随着人工智能的采用范围扩大,组织必须解决与这些技术相关的治理、安全和运营考量。安全团队需要了解人工智能系统如何生成输出,特别是在调查工作流程中,因为决策可能会影响事件响应行动。 数据保护是另一个关键问题,因为人工智能系统会处理可能包含敏感运营或个人信息的安全遥测数据。此外,人工智能模型本身也可能成为对抗性操纵的目标,这需要组织采取措施防止模型被滥用。 这些挑战正推动着对服务提供商的需求,这些提供商能够支持组织设计、实施和管理人工智能驱动的安全运营环境,同时保持强大的治理框架。 联盟化与协同SOC模式的出现 大型跨国组织正越来越多地采用结合区域自治与全球协调的联邦SOC架构。这些模式使组织能够在满足主权要求的同时,保持对分布式环境的可见性。 区域SOC负责本地监控和合规,而全球协调则实现威胁情报共享和一致的检测工程实践。这种方法在运营控制和全局风险可见性之间取得了平衡。 主权SOC架构的采购决策考量因素 评估主权SOC策略的组织必须采取结构化的决策方法,并考虑监管要求、运营需求和技术能力。 日益数字化但受监管的经济体中的主权安全行动 企业必须首先评估主权要求,包括数据本地化义务、跨境数据传输限制以及特定行业的法规。这些因素在不同司法管辖区存在显著差异,并直接影响SOC架构设计。 运营模式也必须进行评估,包括区域SOC基础设施、专用主权SOC环境或联盟模式哪种最为合适。此外,买家还应评估人工智能和自动化能力,重点关注透明度、集成度和人工监督。 最后,在多个地区运营的组织必须评估服务提供商的全球交付能力,包括区域基础设施、本地专业知识和法规熟悉程度。 供应商资料 NTT DATA通过其统一检测与响应(UDR)产品组合提供安全运营能力。该产品组合将咨询与转型服务与管理式检测与响应运营相结合。 转型引领的安全行动 许多NTT DATA的项目始于SOC转型计划,包括成熟度评估、平台迁移、检测工程开发和自动化集成。这些转型项目通常会转变为持续的安全管理服务。 全球SOC基础设施 NTT DATA 运营着一个全球 SOC 网络,该网络由 21 个 SOC 设施、超过 800 名安全专家以及为全球 500 多家客户提供的支持构成。这项基础设施使该公司能够支持在多个地理区域运营的组织。 主权SOC环境 该供应商已开发出主权SOC环境,旨在支持具有严格监管要求客户的业务。这些环境包括区域托管的基础设施、区域运营团队,以及为遵守当地法规而设计的隔离SOC平台。 AI辅助的SOC工作台 NTT DATA将人工智能能力集成到其SOC工作台平台中,以协助分析师进行调查工作流程。这些能力支持自动化调查任务、上下文警报分析和分析师验证工作流程。 主动网络防御能力 该公司还集成了主动网络防御能力,该能力结合了威胁情报、漏洞分析和安全验证技术。这种方法旨在为组织提供更全面的对网络风险暴露和防御准备情况的理解。 日益数字化但受监管的经济体中的主权安全行动 挑战 跨地域合规要求导航 实施主权SOC架构的组织必须应对各司法管辖区差异复杂的监管环境。合规挑战可能包括跨境数据传输限制、运营主权预期以及政府访问考量。 运营复杂性 与集中式监控模型相比,分布式SoC环境可能会引入操作复杂性。组织必须确保跨区域保持一致的运营流程、检测工程实践和治理结构。 威胁情报碎片化 严格的主权要求可能会限制跨境共享原始遥测数据。因此,组织必须开发跨SOC(安全运营中心)环