企业环境如今横跨多个云平台、本地系统，以及不断涌现的新应用。混合云和多云架构已经成为大型组织的常态，而这类架构也带来了持续不断的日志、告警和运营数据流。这样的环境在许多企业中早已存在，它也成为了 Sumo Logic 最近的一项研究框架，该研究探讨了安全负责人如何在这些系统中管理安全工具、人员配置以及检测能力。

安全负责人普遍认为，当前所使用的安全工具在整体上“尚可满足需求”，但当问题聚焦到这些工具是否真正支持现代应用环境时，信心明显下降。只有少数受访者强烈认同其安全工具能够良好适配微服务、容器以及云原生架构。

许多安全团队仍在依赖混合式 SIEM 部署模式，即在本地保留部分组件，同时结合云端分析能力，这反映出企业正处于向云安全能力逐步迁移的过渡阶段。

云计算的采用仍然是推动安全工具变革的最核心因素。同时，应用复杂度提升、DevOps 节奏加快以及治理与合规要求，也在持续影响着安全工具的选型与演进。值得注意的是，这些压力往往与应用环境加速变化同时出现，大多数组织都表示其 IT 和应用环境正处于中等至高度频繁变更的状态。

安全负责人对 SIEM 平台的评价呈现出明显的分化态势。多数受访者表示，SIEM 确实有助于提升检测与响应速度，但仅有约一半的人认为这种提升“效果显著”。

在长期可扩展性方面，信心同样不够充分。随着数据量和监控需求持续增长，许多团队仅对 SIEM 的扩展能力持“部分有信心”的态度。

对日志管理和安全分析工具的满意度，也呈现出类似的分裂趋势。那些对工具满意度较高的团队，通常也认为其安全工具与应用环境的匹配度更高。这类团队往往对检测与响应能力的评价更积极，显示出日志可见性与运营信心之间存在明显关联。

人员紧张依然是安全运营中长期存在的现实背景。由于预算限制和招聘困难，许多组织不得不在较小规模的团队条件下开展安全运营工作。

在这种背景下，安全工具的能力直接决定了团队能否有效应对告警数量和调查负载。然而，只有不到一半的安全负责人认为，当前工具能够很好地支撑精简型团队的运作。

更多团队给出的评价是“部分支持”，这往往意味着大量人工操作、割裂的工作流程以及更长的调查周期。安全负责人普遍认同，统一化的监控与安全工具体系有助于改善日常运营效率，工具整合因此成为一个高度共识性的方向。

自动化已经在检测与响应流程中被广泛采用。大多数组织表示，其关键检测和响应步骤已经依赖自动化流程来完成。

AI 的应用同样较为普遍，但其使用范围相对集中。目前，威胁检测是AI 和机器学习在安全运营中最常见的应用场景，而将 AI 用于事件分级、自动化响应或异常行为检测的团队则明显更少。

尽管应用场景有限，安全负责人普遍将 AI 与降低告警疲劳、提升信号质量联系在一起。在评估 SIEM 平台时，许多团队也将 AI 能力与实时分析并列，视为重要考量因素。

大多数安全团队都在同时使用多种安全运营工具。三种以上工具已经成为常态，许多组织在检测、监控和响应领域中依赖六个甚至更多的平台。

大型组织往往拥有更为庞杂的工具体系，但工具泛滥并非大企业独有的问题，而是普遍存在于不同规模的组织中。

安全负责人频繁将运营成本列为首要痛点之一。多个点状解决方案导致能力重叠、数据割裂以及告警噪声增加。分散在不同工具中的数据，使得威胁分析更加复杂，也拖慢了调查进度，尤其是在需要跨云、身份和应用层还原攻击路径时。

Sumo Logic 安全战略副总裁 Chas Clawson表示：

安全团队与 DevOps 团队往往共享可观测性工具，但在流程和职责归属方面的协同程度仍然参差不齐。云运营工具的管理责任在 IT、安全和 DevOps 之间分布不一。

多数组织表示目前仅实现了“部分协同”，而真正高度协同的情况仍然较少。

那些报告安全与 DevOps 协同程度更高的组织，通常也对自身安全工具更加满意，并对检测能力和可扩展性更有信心。这些团队更倾向于认为其工具能够适应动态变化的应用环境，表明共享可见性与协同工作流程对安全运营结果具有直接影响。