随着生成式人工智能(GenAI)技术在全球范围内的爆发式应用,企业IT基础设施正加速向“AI原生”演进。然而,架构复杂化、数据资产价值提升与攻击手段智能化的三重叠加,使得传统安全产品与人工运维模式已难以应对日益严峻的网络威胁。在此背景下,托管安全服务(Managed Security Services, MSS)凭借其专业化、持续化和智能化的运营能力,成为企业构建韧性安全体系的关键支柱。
国际数据公司(IDC)正式发布《中国基于大模型的智能托管安全服务能力研究,2025》(Doc#CHC52295424,2025年12月),该报告首次系统评估了中国主流MSS提供商在大模型与AI智能体赋能下的服务能力。随着企业IT架构向AI原生演进,攻击面持续扩大、高级威胁频发,传统依赖人工的安全运营模式已难以为继。IDC预测,大模型与安全智能体已成为MSS服务的核心竞争力,不具备AI原生能力的托管服务将面临淘汰风险。
在本次评估中,阿里云凭借其以千问(Qwen)大模型为底座、深度融合云原生架构与安全运营全流程的智能托管安全服务体系,综合表现领先行业。
大模型重塑MSS竞争格局:头部厂商领跑智能化转型
IDC研究指出
“当前中国MSS市场整体呈现“总量收缩、结构优化”的特征。2024年,中国MSS(含驻场)市场规模为43.6亿元,同比下降5.4%。但值得注意的是,远程托管与云托管安全服务逆势增长,尤其受到中小企业青睐。这一趋势的背后,是企业对“高性价比、标准化、可扩展”安全服务的迫切需求。”
在技术层面,大模型与AI智能体已成为MSS服务的核心竞争力。IDC评估显示,行业平均能力在多个维度(如AI数字专家能力、事件分析、远程响应等)仅为2分(满分5分),表明整体水平仍处初级阶段。然而,头部厂商已通过自研大模型、构建AI智能体集群、深度融合SOAR平台等方式,实现了从“人力驱动”向“智能驱动”的跃迁。例如:阿里云融合千问(Qwen)大模型,构建具备推理与决策能力的“智能安全大脑”,平均响应时间(MTTR)控制在15分钟内、自动化处置覆盖率达到70%以上、大模型辅助决策准确率超过90%以上。
『大模型+云原生』重塑MSS:迈向智能远程安全托管新时代
阿里云认为,AI大模型正成为托管安全服务(MSS)智能化升级的核心引擎;当前MSS正加速向MDR/MXDR演进,通过产品化、标准化解决客户“缺人才、缺体系”痛点;云原生与规模化将成为竞争优势;未来三年远程智能化托管将成为市场主流。
AI大模型是MSS服务智能化升级的核心驱动力
- 大模型(如阿里云Qwen3 Max)正深度赋能安全运营全流程,包括告警降噪、攻击链还原、响应策略生成、自然语言交互等。
- 智能化显著降低安全工程师认知负荷,提升响应效率(MTTR≤15分钟)、自动化处置覆盖率(≥70%)和决策准确率(>90%)。
MSS正加速向MDR/MXDR演进
- 传统MSS服务通过融合AI、SOAR、威胁情报等能力,向产品化、标准化、智能化的MDR/MXDR转型。
- MDR/MXDR有效解决客户“缺人才、缺体系”的痛点,成为构建安全运营体系的快速路径。
云原生与规模化是差异化竞争优势
- 阿里云依托自身作为云平台“建设方”的技术优势,将安全能力深度集成于云基础设施(如云安全中心、WAF、CTDR等)。
- 百万级云用户基础带来规模效应,实现成本优化与服务标准化,形成“高性价比+高效率”的托管服务模式。
远程托管将成为主流交付模式
- 未来三年,客户对驻场服务支出趋于谨慎,更倾向高性价比、高效率的远程托管安全服务。
- 7×24小时专家团队+AI辅助+自动化响应构成远程服务的核心支撑。
阿里云MSS:大模型驱动的智能安全专家服务
阿里云MSS服务依托自研Qwen3 Max大模型,结合云原生架构与百万级用户规模,以“远程托管+专家服务+AI智能体”模式,提供高性价比、高效率的一站式安全运营服务,实现告警降噪、攻击链推理、自动响应等能力,显著提升响应效率与自动化水平。MSS服务的技术体系围绕“大模型+云原生+自动化”三大支柱构建,形成覆盖安全运营全生命周期的核心能力:
智能告警降噪与精准研判
基于Qwen3 Max大模型与RAG(检索增强生成)技术,构建安全知识库,实现:
- 告警语义理解与上下文关联,误报率降低85%;
- 自动生成结构化攻击链报告,包含受影响资产、ATT&CK技术点、处置建议;
- 支持自然语言交互,安全分析师可通过对话快速完成复杂操作。
漏洞全生命周期智能治理
创新提出“资产测绘-SCA扫描-风险降级-精准修复”四维联动模型:
- 动态绘制客户云资产基因图谱,自动发现暴露面;
- 引入阿里云AVD漏洞评分体系,结合WAF、云防火墙热补丁能力,实现50%以上漏洞风险降级;
- 对漏洞进行唯一编码与基线标记,支持动态跟踪与闭环验证。
自动化远程事件响应
依托“伏龙”安全服务平台与SOAR编排引擎,实现:
- 高置信度威胁自动触发剧本,执行隔离、取证、封禁等动作;
- 平均15分钟内完成响应,30分钟初筛,45分钟止血;
- 支持跨产品(云安全中心、WAF、CFW等)联动,构建纵深防御闭环。
全球化威胁情报与狩猎能力
- 日均处理超百亿条安全事件,覆盖APT、勒索、挖矿等数十类威胁;
- 三位一体情报源:客户遥测数据 + 外部合作生态 + 国家级攻防演练;
- 情报准确率超99.9%,15分钟内生成可执行IOC,客户拦截率提升30%。
客户实践与成效
阿里云智能托管安全服务已广泛应用于金融、制造、互联网、国际赛事等多个高要求场景:
- 某国际化妆品集团:告警响应从数小时缩短至30分钟内,实现云上云下日志统一纳管,安全团队人力投入减少60%;
- 2024巴黎奥运会:提供7×24小时国际级保障,成功解决CDN与DDoS策略串链问题,全程零重大安全事故,获奥组委高度认可;
- 某大型制造企业:通过CTDR平台发现潜伏7个月的APT攻击,MTTD从14天降至5分钟,MTTR从37小时压缩至47分钟,实现从“被动响应”到“主动狩猎”的跨越。
目前,阿里云MSS服务已实现:
自动化处置覆盖率超70%;
大模型辅助决策准确率超90%;
某大型攻防演练验证通过率超80%。
在AI重塑网络安全格局的今天,托管安全服务不再是简单的“外包监控”,而是企业构建智能防御体系的核心支柱。阿里云以大模型为引擎,以云原生为底座,以自动化为路径,正在重新定义智能托管安全服务的标准。正如IDC所言:“没有GenAI和AI智能体赋能的MSS,终将被市场淘汰。”而阿里云,正以技术领先与实战验证,引领中国MSS市场迈向“AI智能”新时代。
