打开网易新闻 查看精彩图片

当攻击者从入侵到横向移动只需要29分钟,而你的分析师读完一封告警邮件平均要花40分钟——这不是能力问题,是时间数学出了问题。

MTTD(平均检测时间)在过去五年被压到接近零,但安全事件的数量级增长让"检测到了"和"处理完了"之间的裂缝越来越大。

上周Anthropic限制其Mythos Preview模型的访问,原因很直接:这个AI在没有人工指令的情况下,自主发现了主流操作系统和浏览器的零日漏洞,并且完成了利用。Palo Alto Networks的Wendi Whitmore对此的预判是,类似能力"几周到几个月内就会扩散"。CrowdStrike 2026全球威胁报告把平均突破时间(eCrime breakout time)标在29分钟。Mandiant的M-Trends 2026更狠:对手完成权限移交只需要22秒。

22秒。够你眨三次眼,不够你打开SIEM的登录页面。

检测工具赢了上半场,但比赛在下半场决胜负

检测工具赢了上半场,但比赛在下半场决胜负

EDR、云安全、邮件安全、身份认证、SIEM平台——这些工具的检测逻辑确实在进步。已知攻击手法的MTTD被压到接近实时,这是检测工程多年投入的结果,没得黑。

但问题在于:当对手的运作时间轴以秒和分钟计算时,"检测够不够快"已经是个伪命题。真正的问题是——告警触发之后,到有人真正接手处理,中间发生了什么。

告警响了,时钟还在走。分析师得看到它、认领它、从四五个工具里拼凑上下文、调查、做判断、启动响应。在大多数SOC(安全运营中心)环境里,这段流程才是攻击者真正的操作窗口。

现实场景是这样的:分析师正在处理另一个事件的调查,新告警进了队列。上下文分散在SIEM、身份日志、终端遥测数据里,时间线需要人工对齐。一次能经得起审计的彻底调查,需要20到40分钟的专注操作——前提是分析师立刻开始处理,而这种情况很少发生。

面对29分钟的突破窗口,调查还没开始,攻击者已经横向移动了。面对22秒的权限移交,告警可能还在队列里排队。

MTTD是个漂亮的谎言

MTTD是个漂亮的谎言

MTTD完全不捕捉上述任何环节。它只衡量检测触发的速度,而在这个维度上,行业确实取得了实质性进展。但这个指标停在告警那一刻,对后续窗口有多长、多少告警得到了真正的调查而非快速浏览、多少被批量关闭而没有实质分析——它一概沉默。

MTTD报告的是行业已经取得进展的那部分问题。下游的真实暴露面——告警后的调查缺口——在仪表盘上完全隐形。

这就像一个餐厅只统计"顾客下单到厨房接单的时间",却对"接单到上桌的等待时间"视而不见。厨房效率再高,顾客吃的是冷饭。

AI调查改变的不是检测,而是时间分配

AI调查改变的不是检测,而是时间分配

AI驱动的调查不会提升检测速度。MTTD是检测工程指标,它保持不变。AI压缩的是告警后的时间线——这正是真正的暴露所在。

具体怎么压缩?不是让分析师更快,而是让AI承担前置的上下文收集和初步关联。SIEM查询、身份日志检索、终端遥测提取、时间线对齐——这些原本需要人工串行的步骤,可以被并行化和自动化。

结果是:分析师接手时,面对的是已经组装好的事件图景,而非一堆需要手动关联的原始数据。决策点被前置,响应启动被加速。

这不是替代分析师,而是重新定义人机分工。AI处理信息整合的体力活,人类负责判断和决策——在对手完成下一次移动之前。

22秒 vs 40分钟的结构性错配

22秒 vs 40分钟的结构性错配

把Mandiant的22秒和SOC的40分钟放在一起看,差距不是倍数关系,是代际关系。攻击者已经在用自动化和AI压缩杀伤链的每个环节,而防御方的时间预算还停留在人工调查的节奏里。

这不是说分析师不够努力。这是架构层面的不对称:攻击者只需要找到一个突破口,防御者需要在所有地方保持警觉;攻击者可以自动化,防御者却被困在工具切换和上下文拼凑里。

当Whitmore说"几周到几个月内扩散"时,她指的是攻击能力的民主化。Mythos Preview级别的自主漏洞挖掘和利用,目前还被限制在顶尖实验室里,但技术扩散的速度从来快于防御适配的速度。

更隐蔽的风险是:MTTD的持续优化会让安全团队产生虚假的进度感。仪表盘上的绿色指标掩盖了下游的堵塞。管理层看到"检测时间从小时级降到分钟级",以为安全态势在改善,而真实的平均响应时间可能还在原地踏步,甚至因为告警洪泛而恶化。

重新设计SOC的时间经济学

重新设计SOC的时间经济学

需要被重新衡量的不是MTTD,而是MTTR(平均修复时间)的构成——特别是其中"人工调查"环节的占比。如果调查占据响应时间的80%,而调查中的大部分时间花在信息收集而非分析判断上,这就是自动化的靶点。

一些团队已经开始调整:把AI调查工具嵌入告警工作流,让上下文组装在分析师认领之前完成;重新定义SLA(服务等级协议),从"首次响应时间"转向"完整上下文可用时间";用调查深度而非处理速度作为质量指标,避免批量关闭的虚假效率。

这些调整的共同点是:把优化焦点从"检测更快"转向"决策更快"。检测已经够快了,快不过的是人的认知带宽。

Anthropic限制Mythos Preview的访问,是一个信号。它说明自主AI的攻击能力已经越过理论阈值,进入"需要被管控"的现实领域。而防御侧的对应动作,不是等待更聪明的检测算法,而是重新设计人机协作的接口——让AI在调查环节承担更多,让人类在决策环节聚焦更多。