有远见的MSSP正在迁移至某机构安全平台
了解下一代MSSP如何摆脱工具泛滥、削减成本,并在一个单一的、代理型安全运营平台上实现更快、更智能的威胁检测。
作者:Peter Weller
2026年4月15日
摘要
- 某机构安全平台利用基于资源的定价模式,消除了数据摄入上限,实现了成本线性扩展,帮助MSSP保护利润空间,避免传统SIEM的指数级许可费用冲击。
- 深度集成的AI功能,包括攻击发现和AI助手,显著加速了多客户环境下的调查、告警分诊和事件响应。
- 某机构工作流 和 某机构代理构建器 使MSSP能够交付原生自动化并配置自定义AI代理,形成独特且可防御的竞争护城河。
- 实际成效展示了MSSP效率的显著提升,包括高达60%的业务增长、34%的调查时间下降和73%的分诊时间削减。
托管安全服务市场在2025年达到383.1亿美元,预计到2030年将增至691.6亿美元。仅就英国而言,到2029年该市场预计将以近12%的年增长率增长。值得注意的是,尽管英国更广泛的托管服务提供商市场有近13,000家,但其中仅有约1,200家在安全方面足够专注,符合新的《网络安全与韧性法案》的范围。这1,200家专注于安全的MSP被称为托管安全服务提供商。
网络安全技能差距正在扩大。世界经济论坛报告称,三分之二的组织面临中度至重度技能短缺,35%的小型企业认为其网络韧性不足。此外,NIS2和DORA等新法规以及不断变化的威胁格局带来了大量商业机会。
对于MSSP而言,这一机遇带来了挑战:在服务更多客户的同时扩展运营并适应不断变化的格局,而无需大幅增加人力和成本。
答案日益趋向于平台化。而在2026年,平台决策比以往任何时候都更加重要。
传统SIEM对MSSP的问题
传统SIEM供应商在设计时并未考虑托管服务的经济性。按用户、按设备或按EPS的许可模式会造成根本性的矛盾:随着客户增长,成本以难以预测的方式膨胀,而传递这些成本往往是个难题。再加上单独端点保护SKU、高级AI插件以及复杂的多租户变通方案,经济性会迅速侵蚀您的利润。
某机构安全平台的构建方式截然不同。作为安全分析平台领域的某机构领导者——也是唯一在所有AV-Comparatives 2025企业安全测试中达到100%防护率的供应商——某机构为MSSP提供了传统平台无法实现的东西:一个基于资源定价的代理型安全运营平台,该平台与您的业务一起扩展,而不是与之对抗。
保护您利润的定价模式
某机构的基于资源模型按消耗的计算和存储资源收费,而不是按用户、设备或事件收费。对MSSP而言,其意义重大:
- 无数据摄入上限:跨所有客户环境摄入全部数据,无需担心超额费用或被迫采样。
- 线性成本扩展: onboarding新客户无需承受指数级许可费用冲击。成本跟踪资源,而非人员数量。
- 冻结层保留:以热层成本的一小部分实现数年的可搜索归档存储,支持大规模合规和取证能力。
- 部署灵活性:云、本地或混合——匹配每个客户的需求,无需更改许可模式。
真正推动进展的AI
每个SIEM供应商在2026年都宣称具备AI能力。某机构的不同之处在于,其AI深度集成到安全运营生命周期中,而不是作为高级附加组件嫁接上去。
攻击发现
攻击发现没有向分析师呈现数千个原始警报,而是使用AI将跨用户、主机和时间范围的警报关联成离散的攻击链——揭示隐藏在噪音中的少数真正威胁。它可以按计划或按需运行,并通过Slack、Teams、PagerDuty或电子邮件通知团队。对于同时覆盖多个客户环境的MSSP分析师而言,这具有变革性。
某机构AI助手
某机构AI助手是一个由大语言模型驱动的虚拟分析师,支持调查、告警分诊、事件响应和ES|QL查询生成。它使用检索增强生成将响应基于实际客户数据,而非通用LLM知识。MSSP可以用客户特定的运行手册、升级流程和基础设施上下文填充知识库。
自动迁移
赢得从其他SIEM迁移过来的新客户过去意味着昂贵的专业服务投入。某机构的自动迁移可在几分钟内映射来自Splunk和IBM QRadar的检测规则。结合自动导入(使用代理工作流从样本日志构建数据集成),客户 onboarding 的时间和成本大幅下降。
某机构工作流 和 代理构建器:您的竞争护城河
从9.3版本开始,两项功能从根本上改变了托管安全服务的可能性。
某机构工作流:原生自动化,无需单独SOAR
直接内置在某机构安全平台的自动化:用YAML定义,工作流可基于检测告警触发、计划触发或手动触发运行。 脚本化自动化与AI推理相结合:单个工作流结合了剧本步骤和AI推理。定义的任务获得可靠执行。复杂调查获得专门的AI技能。无需强制取舍。 自动分诊和富化管道(例如,VirusTotal和威胁情报):减少分析师处理常规警报的时间。 多客户案例管理,带有客户特定的升级逻辑。 合规驱动的报告自动化,自动生成并分发定期安全摘要。 端点隔离、Jira案例创建以及Slack/PagerDuty通知——全部在单个工作流中完成。
某机构代理构建器:将您的知识产权产品化
无需机器学习专业知识,即可配置和部署针对特定客户Kibana空间的有目的AI代理。 威胁富化代理:自动查询情报源并交叉引用指标。 攻击路径分析代理:将警报链式组合成映射到MITRE ATT&CK的叙事。 一级分诊代理:将常规警报的平均分诊时间降至接近零。 垂直特定代理(制造业OT、金融服务、医疗保健)打包为高级服务层。
工作流和代理构建器的结合意味着MSSP可以更快、更一致地交付更多成果,而无需增加人员。针对特定垂直领域调整的定制威胁狩猎代理成为一个可防御的差异化因素,竞争对手难以轻易复制,并且可以打包为优质经常性收入流。
为多租户运营而构建
Kibana空间与基于角色的访问控制(RBAC)提供共享集群内的数据隔离和客户特定视图。对于较大规模部署,跨集群搜索(CCS)支持跨专用客户环境的联邦查询。某机构的分布式架构水平扩展,通过数据流、可搜索快照和冻结层支持大规模数据量上的实时和历史搜索。
对于尚未准备好全面迁移平台的MSSP,某机构AI SOC引擎(EASE)提供了一个无摩擦的切入点——将某机构的AI能力叠加到现有SIEM和EDR堆栈上,无需客户替换其当前基础设施。
实际成果
已经在运行某机构安全平台的MSSP提供的数据令人难以忽视。全球MSSP Proficio大规模部署了某机构AI助手进行告警分诊,并因此实现了60%的业务增长,调查时间下降34%,三年内预计节省100万美元。关键在于,他们的分析师正在处理显著更高的告警量,而人员并未按比例增加。这就是AI驱动效率的复合效应:更多客户、更好利润、相同团队。
AHEAD也讲述了类似的故事。该托管服务提供商将分诊时间削减了73%,并完全自动化了92%的解决方案,平均响应时间保持在7分钟以内。这不仅仅是一个内部效率指标;它是一个行业领先的基准,在争夺希望获得可演示SLA性能的新客户时,成为真正的卖点。
对于更大规模运营,Airtel使用某机构AI驱动的工作流将SOC效率提高了40%,并将调查加速了30%,证明该平台能够很好地从中端市场扩展到大型企业和服务商环境,而不会失去其优势。
对于担心迁移实际问题的MSSP,Pinewood在九个月内完成了整个客户群的迁移,单个客户的onboarding时间以周而非月计算。
开放平台优势
某机构安全平台建立在开放架构之上:
- 超过500个预构建集成
- 用于跨异构环境标准化数据的某机构通用模式(ECS)
- 与MITRE ATT&CK对齐的开源检测规则
- 全面的REST API,用于完全自动化部署和管理工作流
这种开放性具有商业价值。MSSP可以创建专有检测内容和自定义代理配置作为竞争差异化因素。您拥有自己的知识产权,并且它随您的客户关系而存在。
如何开始
某机构的MSP合作伙伴计划提供引导式赋能、服务共创研讨会、联合市场推广支持,以及在某机构合作伙伴定位器上可见的经过验证的MSP称号。推荐的评估路径很直接:
- 在2-3个代表性客户环境中进行概念验证
- 与您当前平台进行总拥有成本比较
- 与MSP合作伙伴团队接洽以了解商业条款
- 针对您特定用例的平台演示
MSSP市场正在快速增长,但竞争也在加剧。您今天做出的平台决策将决定您是以健康的利润抓住这一增长,还是在未来三年与遗留许可模式作斗争,而竞争对手则遥遥领先。
准备好亲眼见证了吗?
探索某机构安全平台如何从部署到差异化服务产品为您的托管安全实践提供动力。
访问某机构安全平台
成为某机构合作伙伴
本文中描述的任何功能或特性的发布和时机仍由某机构自行决定。当前不可用的任何功能或特性可能无法按时或根本无法交付。
在本博客文章中,我们可能使用或引用了第三方生成式AI工具,这些工具由其各自所有者拥有和运营。某机构对这些第三方工具没有任何控制权,并且对其内容、操作或使用,或因使用此类工具而引起的任何损失或损害不承担任何责任或义务。请谨慎使用AI工具处理个人、敏感或机密信息。您提交的任何数据可能用于AI训练或其他目的。无法保证您提供的信息将保持安全或机密。在使用任何生成式AI工具之前,您应熟悉其隐私实践和使用条款。
某机构、Elasticsearch及相关标志是elasticsearch B.V.在美国和其他国家的商标、标志或注册商标。所有其他公司和产品名称是其各自所有者的商标、标志或注册商标。FINISHED
