卡巴斯基安全服务最新发布的全球报告《网络世界的剖析》揭示了企业安全运营中心（SOC）中的一个盲点：虽然其性能通常以检测和响应速度来衡量，但企业很少评估其是否检测到了正确的威胁。大量收集到的遥测数据并未进入实时检测管道，这导致了内部评估往往难以察觉的隐性漏洞——这也推动了对SOC进行独立咨询服务的需求，以揭示这些盲区。

随着企业持续投资于安全运营中心（SOC），衡量这些部门的实际绩效仍然是一项挑战。运营效能不仅取决于收集的数据量，还取决于这些数据在检测中的应用效果。根据卡巴斯基最新的调查，各组织通常只通过有限的关键绩效指标来评估SOC的有效性：平均响应时间（MTTR）和平均检测时间（MTTD）占据主导地位，而误报率或单次事件成本等更深层的指标则处于次要位置。真正的问题不仅在于SOC响应有多快，更在于它能否在威胁升级之前将其检测出来。

卡巴斯基安全服务全球报告[1]的调查结果揭示了一个普遍现象：大多数安全运营中心（SOC）收集的数据远多于其用于检测的数据。受评估组织的相关规则覆盖率平均为43%，这意味着平均而言，活跃的检测逻辑覆盖不到所有接入数据源的一半。其余数据虽然存储在平台中，可用于追溯调查、威胁狩猎或合规性目的，但在实时检测中却是不可见的。

这种缺口并非总是无意的。部分数据是出于调查或监管要求，特意在主动关联分析范围之外收集的。但在许多情况下，数据源的上线缺乏清晰的检测计划，或者规则开发被推迟且始终未能完成。然而，这种情况在成熟的SOC中更为典型；在成熟度较低的环境中，数据往往被收集了，但从未真正被使用过。造成这种现象的原因有多种，包括数据源在计划制定规则之前就被接入系统、出于合规驱动而进行的收集（但没有主动关联的要求）、检测逻辑的内部责任归属不明确，以及资源限制导致工程工作被无限期推迟。但无论哪种情况，结果都是一样的：环境中的很大一部分实际上处于未被实时监控的状态。

使这一问题更难解决的是，它往往会随着组织的成长而加剧。那些管理着最大数据量的安全运营中心（SOC），其主动检测逻辑仅覆盖了约30%的数据源。随着基础设施的扩展，检测工程能力却很少能同步跟上。最常被遗漏的数据源是网络遥测、数据库和Web服务器——这些基础架构本应是任何检测策略的核心。

检测逻辑的实现方式本身差异很大。在受评估的安全运营中心（SOC）中，约50%主要依赖供应商提供的规则集，而约40%则从零开始构建检测逻辑。依赖供应商的团队常因调优不足而面临较高的误报率和覆盖缺口；依赖EDR（端点检测与响应）的团队则存在跨源关联缺失导致的盲区。与此同时，许多组织在SOC的初始设计阶段就设定了检测范围，此后便再未重新审视，这意味着随着基础设施的演进，盲点会悄然累积。

“即便已经设定了明确的 KPI，在内部评估SOC的有效性仍然很难，因为会受到内部视角偏差（insider view bias）的影响。正因如此，企业正转向寻求外部SOC咨询服务，以评估检测逻辑、分析事件流并模拟攻击，从而了解实际能够捕获哪些威胁。为了改进这一情况，企业应建立一个结构化的检测工程流程：一种可重复、可持续的规范，用于开发、验证并定期审查检测逻辑，”卡巴斯基SOC咨询服务负责人Roman Nazarov评论说。

卡巴斯基大中华区总经理郑启良表示：”许多企业虽然投入了大量资源建设安全运营中心，却始终存在看不见的监控盲区，这背后反映的不只是技术问题，更是检测逻辑的系统性缺失。一些客户在数字化转型中面临的威胁复杂度持续攀升，建立可持续、可验证的检测工程体系，是真正释放SOC能力的关键一步。我们建议企业定期引入外部独立视角，帮助发现内部容易忽视的盲点，让安全投入真正转化为防护能力。”

为了使内部流程和技术与当今不断演变的威胁形势保持同步，企业可以考虑采用卡巴斯基SOC咨询服务，该服务可帮助企业从零开始构建内部SOC，评估现有SOC的成熟度，或提升检测与响应流程等特定能力。2025 年，最常见的咨询项目包括：SOC 技术评估（23.4%）、SOC 框架开发（20%），以及 SOC 成熟度评估与 SIEM 质量保证（各占 11.7%），这反映出人们对更深入洞察 SOC 绩效的需求不断增长。

要了解SOC检测的有效性以及加强安全监控的具体可操作步骤，请阅读完整报告。

[1] 《网络世界刨析》一份全面的全球报告，其数据来源于卡巴斯基托管检测与响应、卡巴斯基事件响应服务、卡巴斯基入侵评估以及卡巴斯基安全运营中心咨询服务的事件统计。本报告深入剖析了最常见的攻击者战术、技术和工具，并揭示了已检测事件的特征及其在各地区和行业领域的分布情况。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。