李勁擔任某傳統制造企業CISO，該企業年營收上十億，員工過千。

某日凌晨，企業財務部收到一封AI偽造CEO語氣和簽名的釣魚郵件，要求緊急支付一筆“供應商尾款”，附件含偽裝成Excel的勒索軟件。財務人員信以為真，點擊運行附件。

攻擊者利用AI生成的定制化漏洞利用腳本，繞過WAF防護，成功入侵企業內網。致企業生產數據被加密，產線停工，損失數百萬元。

企業高層次日質問李勁：“每年安全預算幾百萬元，為何連一封釣魚郵件都防不住？”

財務總監也是提出質疑：“過去幾年安全投入累計達千萬元，但避免了多少潛在事件損失，節省了多少業務經營成本？投入產出比是否合理？”

副總更是不留情面：“出了安全事故，我們若沒安全投入，就是缺乏安全意識，這是態度問題。但我們有安全投入，還是出了事故，這只能是能力問題。”

李勁百口莫辯。經歷此事，“安全建設如何衡量效果、安全投入如何評估收益”，成為橫亙在李勁心中的一座山。

一直以來，類似李勁遭遇的CISO并不罕見。安全威脅攔不住、安全效果說不清、安全投資難衡量，這些問題的根本，就是看不清安全現狀、找不準建設目標、摸不透建設路徑。

CISO該用哪些方法解答這一問題？

為此，李勁跟圈內多位好友交流，這些朋友們就職于不同規模、不同類型的企業，所面臨的問題都大不相同，但似乎讓他看到了一條有跡可循的“建設路徑”。

階段一：初創企業或小型企業，要用最少的設備部署獲得最大化的安全效果

某小型機械制造企業，員工80人，年營收千萬級。業務員每天需通過郵件與客戶對接報價單、合同等敏感文件，由此帶來諸多安全隱患，如：每月收到釣魚郵件超50封，導致勒索軟件入侵，由此財務系統癱瘓1天，損失訂單約50萬元。客戶安全審計在即，如果無法證明具備釣魚防護能力，還可能導致丟單。

此前，該企業僅靠1臺傳統防火墻+2名運維人員“看家”，無WAF、郵件網關等安全設備。為了解決釣魚郵件問題，運維人員曾嘗試部署殺毒軟件和開源郵件過濾工具，卻因誤報頻發、規則復雜難以維護，只能放棄。

該企業決定升級防御體系，經過多款產品對比，最終選擇部署AI+SASE賦能的下一代防火墻。通過云端訂閱，防火墻內聯安全大模型，實時分析郵件正文、附件、發件人行為。

檢測到釣魚郵件后，1分鐘內生成AI解讀報告（如“發件人域名仿冒某知名物流公司”），并自動阻斷惡意URL和附件。并支持自定義策略，如對含“付款”“合同”等關鍵詞的郵件加強檢測。

部署后1個月內，累計攔截釣魚郵件127封，其中高對抗釣魚郵件（如AI偽造CEO郵件）檢出率達95%，誤報率<0.05%。

尤其是某次攻擊者偽造客戶郵件要求“緊急支付尾款”，附件含偽裝成PDF的勒索軟件，防火墻在10秒內識別并阻斷。

最終，企業也通過客戶安全審計，審計方認可其“具備AI驅動的釣魚郵件防護能力”。

該企業安全負責者告知：“每封郵件都做了確認，準確率真高，尤其可以應對不同語言的釣魚郵件，感覺很驚艷。”

除了釣魚郵件的檢測與攔截，AI+SASE賦能的下一代防火墻還可以通過內聯云端架構，實時利用AI大模型能力防御新型威脅，如銀狐遠控、釣魚url、黑客工具、勒索軟件等變化多端的熱門威脅，將攻擊直接扼殺在邊界。

實際上，很多初創或小型企業業務剛起步，只能做基礎的安全設備部署，但不知道該怎么做好基礎防護，應該防哪些威脅。而這種業務安全建設方式，打造了安全護盾，將AI技術云化賦能到傳統硬件設備，用硬件產品+云端訂閱的方式，能夠防住大部分安全威脅。

階段二：上升期企業或中型企業，要看得見安全投資的效果

某區域連鎖零售企業，擁有千家門店和線上商城，年營收數億元。雖然部署了防火墻、WAF、EDR等十余臺安全設備，但在2023年仍遭遇2起勒索攻擊（導致多家門店POS系統癱瘓）和5起釣魚攻擊（造成會員信息泄露）。更糟的是，董事會開始質疑：“每年花這么多錢買設備，到底防住了什么？"

究其原因，企業雖然安全設備武裝到位，但安全團隊只有1名兼職負責人。駐場服務商只管告警，不解決問題，每次出事都得CISO手動協調多個廠商"救火"。設備日志堆積如山，卻沒人能說清：“哪些告警是真實威脅？處置效率如何？安全投入到底值不值？"

為了解決這一問題，安全負責人引入由AI賦能的安全托管方案。這種基于訂閱模式（SaaS）提供7×24小時持續監控和響應，通過專業團隊和技術工具，可以幫助企業以高性價比投入獲得業務安全效果保障。

線上安全運營平臺將每天從各個安全設備采集到的數十萬安全告警，先經過AI大模型進行初步研判，過濾90%無效告警，將告警聚合成明確安全事件。隨后，線上安全專家團隊對AI研判結果進行二次審核，確認真實攻擊事件并啟動相關處置流程，整體耗時控制在分鐘級。

該企業部署后1個月內，累計處置安全事件42起，其中勒索攻擊2起，從檢測到遏制耗時50分鐘左右，避免直接經濟損失超300萬元。釣魚郵件攻擊15起，其中AI檢出率98%，誤報率<0.5%。

尤其是面對近期比較猖獗的銀狐病毒，同行多家企業都慘遭毒手，該企業卻得以幸免，主要得益于AI賦能的安全托管方案持續運營、快速響應，持續更新覆蓋hash、文件特征、內存特征、特定行為等維度的規則來及時查殺“銀狐”新變種。

不同于傳統服務模式，云化安全托管服務不只是將服務人員從現場轉移到了云端，更重要的是能全程兜底保障效果。

該企業安全負責人坦言：“以前安全設備買了很多，但老板總問‘錢花哪了？效果在哪？’我們根本答不上來。安全托管方案把安全效果變成了可量化的分數和報告，現在董事會開會直接看大屏數據，安全團隊的壓力也小多了。”

階段三：成熟期企業或大型企業，要構建自運營的機制與流程

某跨國制造集團年營收超百億，業務遍及10國30個分支機構。雖然已部署50+臺安全設備（防火墻、WAF、EDR、SIEM一應俱全），但日均50萬條告警讓20人的安全團隊疲于奔命——85%的誤報率讓真實威脅像"大海撈針"。過去5年投入2000萬建設的SOC，年均仍發生50起安全事件，勒索攻擊損失超千萬。更棘手的是，全球10個數據中心的設備運維，吃掉40%的安全預算。

為何重金投入，仍無法達到理想的安全效果？安全負責人分析原因有以下幾點：

? 告警過載：20人安全團隊每天處理海量誤報，真實事件被"噪音"淹沒。

? 人力困局：每擴展一個分支機構，就需要新增運維人員。

? 效率黑洞：傳統SOC嚴重依賴人工，事件響應常滯后數小時。

面對傳統SOC運營困境，經綜合研判，該集團決定啟用一套「AI+云化」驅動的安全運營方案，接入50+各類安全廠商的日志，通過AI智能研判/調研，聚合削減海量告警，發現真實攻擊事件，并通過MDR服務協同運營，實現事件分鐘級響應、100%閉環。集團安全團隊可逐步接管白天大部分工作，合作廠商負責夜班、節假日工作以及重點事件應急。

企業部署后3個月內，累計處置安全事件127起，其中：勒索攻擊5起（從檢測到遏制耗時半小時左右），避免直接經濟損失超2000萬元。APT攻擊3起，通過DeepSeek增強推理，發現0day漏洞利用，溯源時間從72小時縮短至8小時。

該企業CISO稱：“以前我們的安全運營中心像‘黑盒子’，投入大但效果不可見。這套方案把AI能力和MDR服務融合在一起，既降低了成本，又讓我們看到了實實在在的安全效果。現在集團安全團隊可以投入在流程建設等高價值事情上，真正實現了‘自運營為主’的目標。”

以「AI+云化」重構業務安全建設

“投資有回報、效果看得見”

和好友們交流下來，李勁意識到，要想跨越“證明安全價值”的人心的高山，業務安全建設要抓住三個關鍵思路：

首先，AI問題當需AI治，單靠堆人力，已遠不能應付攻擊者“仗AI欺人”的節奏。CISO需要讓企業安全產品擁有強大的AI安全能力。尤其是AI釣魚欺詐泛濫的當下，AI安全能力尤為重要。

其次，CISO需要重視企業安全產品的云化安全能力或服務。AI加持下的攻擊瞬息萬變，單靠本地資源庫，很難及時應對新型的攻擊，還要避免整個團隊疲于奔命，陷于又忙又沒價值的惡性循環之中。

最后，CISO要想方設法讓高層看得見安全價值，比如像風險可視化、風險定期匯總分析報告、安全價值量化模型、安全建設優先級排序等，CISO可以充分利用這些形式。

基于這一理念，李勁找到了志同道合的合作廠商深信服。作為多年深耕「AI+云化」安全的廠商，深信服為用戶提供了一套體系化的建設路徑：

? 安全防得住：用「AI+云化」賦能，打破本地的算力和資源限制，關鍵硬件產品+云化AI能力，解決郵件釣魚、外聯遠控等安全難題。

? 效果有預期：用AI賦能的云化安全服務，7*24小時保護業務連續性，真正為安全效果負責，效果可視化可量化。

? 體系化運營：AI賦能安全運營“智能駕駛”，實現“智能研判-決策-處置”全流程，釋放安全團隊精力，讓運營人員投入在“建設企業安全流程、看護安全效果、推動安全機制變化”的工作上。

歷經此事，李勁深深感受到：AI時代的業務安全防護，將告別“人海戰術”，走向“智能協同”的道路。通過「AI+云化」的體系化路徑，業務安全建設不僅能應對當下威脅，更能為未來構建自適應安全能力，真正實現“投資有回報、效果看得見”，彰顯安全建設對于企業業務的價值。

歡迎掃碼交流體驗