AI应用现状普及度高但深度不足本周在旧金山举行的RSAC 2026网络安全大会将成为一场以人工智能为主题的盛会。尽管AI将改变一切的论调不绝于耳但现实情况是安全主管们正被要求在控制力增长滞后于复杂度的环境中部署AI技术。企业仍在努力整合安全工具集的分散现状同时实施零信任原则。为避免AI沦为又一层冗余企业必须将AI与明确成果挂钩并将智能融入运营流程。Enterprise Technology Research调查数据显示90%的企业表示已在安全体系中应用AI但75%的企业AI应用范围不足其安全组合的10%。这一差距量化了AI存在但尚未规模化的现状——多数部署局限于狭窄战术层面受制于数据访问可靠性、工具集成度、治理与信任等共同障碍。矛盾主题Agent时代的社区力量今年RSAC主题社区力量的设定颇具讽刺意味因为会议焦点将集中在AI Agent上。过去十年间安全行业协作性显著增强——竞争对手共享更多威胁情报从业者合作更加紧密。如今新增的维度是代表人类行事的机器Agent。正确的解决之道是将Agent视为安全团队工作的补充。它们有时替代人力有时增强人力但本质是扩展而非取代社区。网络安全领域始终存在不同程度的社区协作Agent只是该社区内可扩展、增强和补充人类工作的新工具。当AI真正帮助社区提升工作效率、助力从业者个人与团队成长时这个看似矛盾的会议主题才能超越营销噱头。AI SOC的崛起进步与谨慎并存AI SOC将成为RSAC 2026最热门话题之一。厂商宣传正从辅助分析师的副驾驶转向能承担真实SOC工作的Agent——包括事件分级、调查、遏制乃至隔离主机、启动补丁流程等修复步骤。虽然方向诱人但承诺与运营现实间的差距依然存在。最具可信度的进展来自聚焦的用例。初创公司通常选择安全运营的某个环节深度突破警报分级就是典型例子。传统SOC淹没在警报海洋中即使精锐团队也只能处理其中小部分。我们相信AI驱动的事件分级能将处理比例从15-20%大幅提升至最佳情况下的90-95%这对受限于时间、注意力和数据量的专业人员意义重大。安全团队天生保持谨慎人在回路的思维仍根深蒂固。我们认为务实做法是评估自动化在流程低效和数据瓶颈环节的价值这应成为采用AI SOC的起点。当前现实是实施路径呈现分化部分能力将叠加到现有平台和工作流另一些则以更原生AI的方式出现。市场虽处早期阶段但创新快速演进RSAC将成为区分实质创新与品牌重塑的重要场合。MSSP规模化自动化的最快路径最激进的AI SOC部署可能来自托管安全服务提供商(MSSP)原因很简单MSSP业务利润微薄通过招聘培训实现规模化的传统路径难以为继尤其在人才争夺白热化的环境下。这促使MSSP面临快速采用AI和流程自动化的经济压力。我们预计Arctic Wolf Networks、Expel、LevelBlue等大型MSSP将成为自动化部署的先锋——成功实施将提升利润率并扩大市场份额。这一被许多买家和厂商忽视的路径值得在RSAC期间重点关注。CTEM与可信数据要求持续威胁暴露管理(CTEM)将吸引RSAC关注因为静态漏洞扫描在机器速度运转的世界里已不适用。其前提是安全团队需要资产、配置、位置、漏洞、所有权和业务关键性的清晰视图结合威胁情报和攻击者战术来确定优先级。但CTEM成败取决于数据。首要问题是数据是否可访问、可用且格式有效数据可用后下一步是上下文哪些资产关键关键路径如何谁有访问权系统配置是否正确MFA是否到位这些基础工作常被急于采用工具的人们忽视。CTEM也无法作为通用产品即插即用必须按行业、用例和组织定制。成功的厂商将是那些认清现实、能帮助落地而不仅销售平台的企业。正确实施CTEM可带来更可靠的风险评分区分存在漏洞与实际暴露基于攻击者历史利用模式和未来可能路径的预测分析与IT运营更好协同用映射业务关键性的优先级修复替代发现1000个暴露面立即修补式告警需注意的是先完善数据治理可能成为限制性策略。安全界开展数据安全建设多年——发现数据、分类数据、实施控制但现实是数据量过大且增长过快。AI可加速高质量发现与分类缩短实现更好控制的路径。等待完美数据清晰度没有意义务实做法是并行推进在构建数据基础的同时使用AI塑造、清理并聚焦于当前任务的关键数据。网络弹性能力而非产品网络弹性是行业热衷营销但必须落地才有价值的概念。NIST将其分解为四个阶段预测、抵御、恢复和适应迫使团队突破单一控制或工具的局限。任何宣称销售网络弹性产品的厂商都值得警惕——这绝非货架商品。工具可能支持框架的某部分但网络弹性是多项能力协同的结果。正确起点是业务本身识别必须保持弹性的系统和业务流程。以医疗行业为例重点不是医院弹性而是临床弹性——即使系统宕机组织仍需运作哪怕退回到纸笔操作。具体实施需遵循NIST框架各阶段预测理解威胁情报、攻击者和攻击方式应用MITRE ATTCK等框架开展检测工程并优化控制措施抵御通过隔离确保局部入侵不影响核心资产强化快速检测响应能力恢复聚焦快速上线机制包括不可变备份和经过验证的恢复流程确保高价值数据损失最小化适应从事件中学习调整技术完善流程在CISO领导下进行针对性投入专家经验表明弹性取决于规划与测试。业务连续性和灾难恢复(BC/DR)通过演练才有效而最坏情景总是未做预案的情况。9/11事件提醒我们许多金融公司虽认真实施BC/DR备用站点和连接但未预料到人员无法到岗与多地基础设施同时瘫痪的复合影响。真正的弹性意味着考虑这些场景、制定预案并测试验证。终极目标不是产品组合而是通过中断保持关键流程运行、限制系统入侵影响范围、快速可靠恢复运营的能力。我们认为这应是CISO在RSAC评估网络弹性主张的思维框架。身份即边界治理、无密码与身份优先检测2023年大会主题聚焦身份危机而身份在RSAC 2026仍居核心——在网络边界早已消失的云应用、远程数据和分布式访问时代身份成为安全新边界。我们关注的核心问题是身份领域是真正进步还是新瓶装旧酒变化之一是组织层面的过去安全团队在身份讨论中仅有列席权如今则拥有决策权和主导声音。身份正将安全引入开发、IT运营和业务流程因为事后追加已不可行。我们建议的实践路径包括身份治理AI持续评估权限谁访问什么、是否符合角色、角色是否变更、是否应撤销访问这非常适合Agent处理——高频重复且能通过行为学习规则与上下文无密码化2026年密码仍存在令人费解。FIDO2、通行密钥等技术已就位消费级身份认证正进入企业——人们使用通行密钥办理银行业务后会质疑为何内部系统仍落后身份威胁检测与响应聚焦身份中心型攻击与检测。由于窃取密码往往比利用软件漏洞更容易企业需转向行为感知检测——理解用户日常工作场景下的正常行为并标记偏差人员风险管理培训个性化而非广撒网。AI可识别易受钓鱼攻击人员根据其学习偏好视频、阅读、短提示定制培训并在需要行为矫正时即时推送理想的身份方案不仅是认证和配置而是与业务流程和运营紧密结合的治理、行为和响应体系。若行业真欲淘汰密码目标很简单计算机见到你就应知你是谁。ETR数据AI应用稳步增长但仍肤浅Enterprise Technology Research的RSAC会前调查数据显示尽管应用不均RSAC 2026仍将充满AI氛围。最新调查517名受访者显示仅5%表示未使用任何AI实际可能更低因机器学习嵌入安全工具已超十年51%受访者表示超过10%的安全工具应用AI去年为40%16%表示超半数安全工具应用AI去年为11%数据证实AI正稳步注入安全领域但安全从业者天生的偏执使其担忧幻觉和黑箱行为。他们关注产品的运作机制、AI特征、模型构建者和构建方式——这些问题在Agent开始自主行动时尤为重要。我们建议保持谨慎乐观保持怀疑、提出尖锐问题但保持开放心态。AI来势汹汹视其为可选的企业将付出代价。AI全景先治理后可见性再工具AI将席卷2026年所有会议RSAC也不例外。问题在于话题过于庞杂。为简化我们聚焦两条主线——保护AI和防御AI增强型威胁再回归运营计划。防御者面临的高管AI狂热增收、降本、竞争压力与CISO理性管控风险的日常现实。成功关键在于全公司一致的治理框架。我们建议的实施顺序治理建立企业级统一框架规范AI使用合理性、负责任AI应用开发及偏见风险管理可见性掌握数据使用情况和使用者。影子AI是核心问题——谁在使用AI工具是否暴露公司数据工具在治理和可见性就位后引入规则执行控制包括开发周期中的AIDevSecOps、生物识别访问的身份与活性检查、AI应用开发和使用规则的防火墙AI安全不是单一类别。MCP安全、认证、溯源、态势管理、DevSecOps、安全运维都被纳入讨论因为攻击面正在快速扩展。许多工作需与合作伙伴共同开发这增加了复杂性和风险。攻击向量方面RSAC将充斥可怕叙事——多态Agent、控制绕过、更逼真的钓鱼攻击。务实做法是聚焦企业当前实际暴露点治理缺口、未知AI使用、薄弱数据控制和执行不一致。这些才是2026年预算决策应关注的领域。CISO必须立即着手应对——AI发展迅猛攻击面持续扩大将AI治理视为次要项目的企业将很快尝到苦果。工具整合vs平台化更少厂商更多集成现实依旧工具泛滥是多年痼疾ETR数据仍反映真实安全体系中减少厂商的难度。下图红色减少栏仍显疲软——约10%受访者预计未来12个月缩减网络安全厂商数量。更有意义的差异是预计增加厂商的比例从两年前51%降至当前35%表明对新点工具的热衷正在降温。大型企业数据显示更多变化。财富1000企业样本75名受访者中16%表示正在减少厂商明显高于平均水平。但更大启示在于合理化对CISO而言是持续活动——需求变化、工具融合、团队不断评估可淘汰内容。关键细微差别在于厂商整合不等于平台化厂商整合是单一问责策略如新CISO在多个终端安全产品中选定单一厂商标准化。好处包括更好议价能力、桌面支持和SOC团队的操作规模效益、更少控制台和工作流平台化是从单一厂商购买多样化但已集成的工具威胁情报、EDR、SIEM、SOAR等使SOC标准化于紧密连接的控制集。这对中小企业、地方政府等资源受限组织效果良好但企业规模越大、环境越定制、威胁越多样、全球要求越复杂单一平台越难适应平台化还带来平台生态优势主要平台厂商提供定制集成的合作伙伴、开发者工具与服务、可代运营平台的专业服务商。这些确属优势但高度异构的全球化企业很快会触及平台天花板。集成理念各异。最终平台必须紧密集成——虽然可通过API和定制集成扩展但问题在于能否满足最严苛环境的需求。这解释了为何收购策略在安全行业持续盛行厂商认为原生集成专有代码访问和更深工程整合效果更佳。身份领域频现并购也源于此——身份作为边界虽非新概念但具有战略意义。若身份是核心要素平台厂商要么深度合作要么直接收购因为薄弱身份会侵蚀整个技术栈价值。现实是平台化对部分市场真实存在整合持续发生而创新仍推动新点工具进入大型企业。近期最可能的结果是更多资金流向更少厂商行业整合同时需求超越平台能力的领域仍会出现利基创新者——它们最终多被收购吸收。总结零信任等议题仍具现实意义RSAC 2026将充斥各种话题——零信任、云安全、平台、DR/CDR/EDR/XDR缩写迷阵、IT/OT融合、后量子密码等而走廊交谈的价值往往超过主题演讲。这正是RSAC的本质议程庞大但非正式交流才是人们验证事实、达成交易的核心场景。零信任虽不如几年前夺目但仍是实际投入的领域。美国国防部有约156种零信任构成要素的分类描述CISO们也正处于实施阶段非理论探讨或初步考虑。零信任持续存在的原因在于其与身份、弹性等技术栈其他部分的关联。虽然可能不是舞台焦点但相关讨论无处不在——当企业推进自动化时必然需要更清晰的访问控制、更严格的政策执行和更好的隔离机制。RSAC 2026将是高强度的一周。我们将通过CEO访谈系列、现场报道探索尖锐问题比对从业者经验借助社区力量验证厂商主张。欢迎加入这场思想碰撞
RSAC 2026前瞻:当AI热潮遭遇运营模式现实
AI应用现状普及度高但深度不足本周在旧金山举行的RSAC 2026网络安全大会将成为一场以人工智能为主题的盛会。尽管AI将改变一切的论调不绝于耳但现实情况是安全主管们正被要求在控制力增长滞后于复杂度的环境中部署AI技术。企业仍在努力整合安全工具集的分散现状同时实施零信任原则。为避免AI沦为又一层冗余企业必须将AI与明确成果挂钩并将智能融入运营流程。Enterprise Technology Research调查数据显示90%的企业表示已在安全体系中应用AI但75%的企业AI应用范围不足其安全组合的10%。这一差距量化了AI存在但尚未规模化的现状——多数部署局限于狭窄战术层面受制于数据访问可靠性、工具集成度、治理与信任等共同障碍。矛盾主题Agent时代的社区力量今年RSAC主题社区力量的设定颇具讽刺意味因为会议焦点将集中在AI Agent上。过去十年间安全行业协作性显著增强——竞争对手共享更多威胁情报从业者合作更加紧密。如今新增的维度是代表人类行事的机器Agent。正确的解决之道是将Agent视为安全团队工作的补充。它们有时替代人力有时增强人力但本质是扩展而非取代社区。网络安全领域始终存在不同程度的社区协作Agent只是该社区内可扩展、增强和补充人类工作的新工具。当AI真正帮助社区提升工作效率、助力从业者个人与团队成长时这个看似矛盾的会议主题才能超越营销噱头。AI SOC的崛起进步与谨慎并存AI SOC将成为RSAC 2026最热门话题之一。厂商宣传正从辅助分析师的副驾驶转向能承担真实SOC工作的Agent——包括事件分级、调查、遏制乃至隔离主机、启动补丁流程等修复步骤。虽然方向诱人但承诺与运营现实间的差距依然存在。最具可信度的进展来自聚焦的用例。初创公司通常选择安全运营的某个环节深度突破警报分级就是典型例子。传统SOC淹没在警报海洋中即使精锐团队也只能处理其中小部分。我们相信AI驱动的事件分级能将处理比例从15-20%大幅提升至最佳情况下的90-95%这对受限于时间、注意力和数据量的专业人员意义重大。安全团队天生保持谨慎人在回路的思维仍根深蒂固。我们认为务实做法是评估自动化在流程低效和数据瓶颈环节的价值这应成为采用AI SOC的起点。当前现实是实施路径呈现分化部分能力将叠加到现有平台和工作流另一些则以更原生AI的方式出现。市场虽处早期阶段但创新快速演进RSAC将成为区分实质创新与品牌重塑的重要场合。MSSP规模化自动化的最快路径最激进的AI SOC部署可能来自托管安全服务提供商(MSSP)原因很简单MSSP业务利润微薄通过招聘培训实现规模化的传统路径难以为继尤其在人才争夺白热化的环境下。这促使MSSP面临快速采用AI和流程自动化的经济压力。我们预计Arctic Wolf Networks、Expel、LevelBlue等大型MSSP将成为自动化部署的先锋——成功实施将提升利润率并扩大市场份额。这一被许多买家和厂商忽视的路径值得在RSAC期间重点关注。CTEM与可信数据要求持续威胁暴露管理(CTEM)将吸引RSAC关注因为静态漏洞扫描在机器速度运转的世界里已不适用。其前提是安全团队需要资产、配置、位置、漏洞、所有权和业务关键性的清晰视图结合威胁情报和攻击者战术来确定优先级。但CTEM成败取决于数据。首要问题是数据是否可访问、可用且格式有效数据可用后下一步是上下文哪些资产关键关键路径如何谁有访问权系统配置是否正确MFA是否到位这些基础工作常被急于采用工具的人们忽视。CTEM也无法作为通用产品即插即用必须按行业、用例和组织定制。成功的厂商将是那些认清现实、能帮助落地而不仅销售平台的企业。正确实施CTEM可带来更可靠的风险评分区分存在漏洞与实际暴露基于攻击者历史利用模式和未来可能路径的预测分析与IT运营更好协同用映射业务关键性的优先级修复替代发现1000个暴露面立即修补式告警需注意的是先完善数据治理可能成为限制性策略。安全界开展数据安全建设多年——发现数据、分类数据、实施控制但现实是数据量过大且增长过快。AI可加速高质量发现与分类缩短实现更好控制的路径。等待完美数据清晰度没有意义务实做法是并行推进在构建数据基础的同时使用AI塑造、清理并聚焦于当前任务的关键数据。网络弹性能力而非产品网络弹性是行业热衷营销但必须落地才有价值的概念。NIST将其分解为四个阶段预测、抵御、恢复和适应迫使团队突破单一控制或工具的局限。任何宣称销售网络弹性产品的厂商都值得警惕——这绝非货架商品。工具可能支持框架的某部分但网络弹性是多项能力协同的结果。正确起点是业务本身识别必须保持弹性的系统和业务流程。以医疗行业为例重点不是医院弹性而是临床弹性——即使系统宕机组织仍需运作哪怕退回到纸笔操作。具体实施需遵循NIST框架各阶段预测理解威胁情报、攻击者和攻击方式应用MITRE ATTCK等框架开展检测工程并优化控制措施抵御通过隔离确保局部入侵不影响核心资产强化快速检测响应能力恢复聚焦快速上线机制包括不可变备份和经过验证的恢复流程确保高价值数据损失最小化适应从事件中学习调整技术完善流程在CISO领导下进行针对性投入专家经验表明弹性取决于规划与测试。业务连续性和灾难恢复(BC/DR)通过演练才有效而最坏情景总是未做预案的情况。9/11事件提醒我们许多金融公司虽认真实施BC/DR备用站点和连接但未预料到人员无法到岗与多地基础设施同时瘫痪的复合影响。真正的弹性意味着考虑这些场景、制定预案并测试验证。终极目标不是产品组合而是通过中断保持关键流程运行、限制系统入侵影响范围、快速可靠恢复运营的能力。我们认为这应是CISO在RSAC评估网络弹性主张的思维框架。身份即边界治理、无密码与身份优先检测2023年大会主题聚焦身份危机而身份在RSAC 2026仍居核心——在网络边界早已消失的云应用、远程数据和分布式访问时代身份成为安全新边界。我们关注的核心问题是身份领域是真正进步还是新瓶装旧酒变化之一是组织层面的过去安全团队在身份讨论中仅有列席权如今则拥有决策权和主导声音。身份正将安全引入开发、IT运营和业务流程因为事后追加已不可行。我们建议的实践路径包括身份治理AI持续评估权限谁访问什么、是否符合角色、角色是否变更、是否应撤销访问这非常适合Agent处理——高频重复且能通过行为学习规则与上下文无密码化2026年密码仍存在令人费解。FIDO2、通行密钥等技术已就位消费级身份认证正进入企业——人们使用通行密钥办理银行业务后会质疑为何内部系统仍落后身份威胁检测与响应聚焦身份中心型攻击与检测。由于窃取密码往往比利用软件漏洞更容易企业需转向行为感知检测——理解用户日常工作场景下的正常行为并标记偏差人员风险管理培训个性化而非广撒网。AI可识别易受钓鱼攻击人员根据其学习偏好视频、阅读、短提示定制培训并在需要行为矫正时即时推送理想的身份方案不仅是认证和配置而是与业务流程和运营紧密结合的治理、行为和响应体系。若行业真欲淘汰密码目标很简单计算机见到你就应知你是谁。ETR数据AI应用稳步增长但仍肤浅Enterprise Technology Research的RSAC会前调查数据显示尽管应用不均RSAC 2026仍将充满AI氛围。最新调查517名受访者显示仅5%表示未使用任何AI实际可能更低因机器学习嵌入安全工具已超十年51%受访者表示超过10%的安全工具应用AI去年为40%16%表示超半数安全工具应用AI去年为11%数据证实AI正稳步注入安全领域但安全从业者天生的偏执使其担忧幻觉和黑箱行为。他们关注产品的运作机制、AI特征、模型构建者和构建方式——这些问题在Agent开始自主行动时尤为重要。我们建议保持谨慎乐观保持怀疑、提出尖锐问题但保持开放心态。AI来势汹汹视其为可选的企业将付出代价。AI全景先治理后可见性再工具AI将席卷2026年所有会议RSAC也不例外。问题在于话题过于庞杂。为简化我们聚焦两条主线——保护AI和防御AI增强型威胁再回归运营计划。防御者面临的高管AI狂热增收、降本、竞争压力与CISO理性管控风险的日常现实。成功关键在于全公司一致的治理框架。我们建议的实施顺序治理建立企业级统一框架规范AI使用合理性、负责任AI应用开发及偏见风险管理可见性掌握数据使用情况和使用者。影子AI是核心问题——谁在使用AI工具是否暴露公司数据工具在治理和可见性就位后引入规则执行控制包括开发周期中的AIDevSecOps、生物识别访问的身份与活性检查、AI应用开发和使用规则的防火墙AI安全不是单一类别。MCP安全、认证、溯源、态势管理、DevSecOps、安全运维都被纳入讨论因为攻击面正在快速扩展。许多工作需与合作伙伴共同开发这增加了复杂性和风险。攻击向量方面RSAC将充斥可怕叙事——多态Agent、控制绕过、更逼真的钓鱼攻击。务实做法是聚焦企业当前实际暴露点治理缺口、未知AI使用、薄弱数据控制和执行不一致。这些才是2026年预算决策应关注的领域。CISO必须立即着手应对——AI发展迅猛攻击面持续扩大将AI治理视为次要项目的企业将很快尝到苦果。工具整合vs平台化更少厂商更多集成现实依旧工具泛滥是多年痼疾ETR数据仍反映真实安全体系中减少厂商的难度。下图红色减少栏仍显疲软——约10%受访者预计未来12个月缩减网络安全厂商数量。更有意义的差异是预计增加厂商的比例从两年前51%降至当前35%表明对新点工具的热衷正在降温。大型企业数据显示更多变化。财富1000企业样本75名受访者中16%表示正在减少厂商明显高于平均水平。但更大启示在于合理化对CISO而言是持续活动——需求变化、工具融合、团队不断评估可淘汰内容。关键细微差别在于厂商整合不等于平台化厂商整合是单一问责策略如新CISO在多个终端安全产品中选定单一厂商标准化。好处包括更好议价能力、桌面支持和SOC团队的操作规模效益、更少控制台和工作流平台化是从单一厂商购买多样化但已集成的工具威胁情报、EDR、SIEM、SOAR等使SOC标准化于紧密连接的控制集。这对中小企业、地方政府等资源受限组织效果良好但企业规模越大、环境越定制、威胁越多样、全球要求越复杂单一平台越难适应平台化还带来平台生态优势主要平台厂商提供定制集成的合作伙伴、开发者工具与服务、可代运营平台的专业服务商。这些确属优势但高度异构的全球化企业很快会触及平台天花板。集成理念各异。最终平台必须紧密集成——虽然可通过API和定制集成扩展但问题在于能否满足最严苛环境的需求。这解释了为何收购策略在安全行业持续盛行厂商认为原生集成专有代码访问和更深工程整合效果更佳。身份领域频现并购也源于此——身份作为边界虽非新概念但具有战略意义。若身份是核心要素平台厂商要么深度合作要么直接收购因为薄弱身份会侵蚀整个技术栈价值。现实是平台化对部分市场真实存在整合持续发生而创新仍推动新点工具进入大型企业。近期最可能的结果是更多资金流向更少厂商行业整合同时需求超越平台能力的领域仍会出现利基创新者——它们最终多被收购吸收。总结零信任等议题仍具现实意义RSAC 2026将充斥各种话题——零信任、云安全、平台、DR/CDR/EDR/XDR缩写迷阵、IT/OT融合、后量子密码等而走廊交谈的价值往往超过主题演讲。这正是RSAC的本质议程庞大但非正式交流才是人们验证事实、达成交易的核心场景。零信任虽不如几年前夺目但仍是实际投入的领域。美国国防部有约156种零信任构成要素的分类描述CISO们也正处于实施阶段非理论探讨或初步考虑。零信任持续存在的原因在于其与身份、弹性等技术栈其他部分的关联。虽然可能不是舞台焦点但相关讨论无处不在——当企业推进自动化时必然需要更清晰的访问控制、更严格的政策执行和更好的隔离机制。RSAC 2026将是高强度的一周。我们将通过CEO访谈系列、现场报道探索尖锐问题比对从业者经验借助社区力量验证厂商主张。欢迎加入这场思想碰撞