主要结论
SANS 2025数据揭示了由端点密集型安全态势、日益增长的复杂性、
以及不一致的情报共享所导致的日益扩大的差距。
89%
EDR仍属“万能”工具
过度关注终端安全导致边界防护和云端入侵防护严重缺失,
由此形成入侵后检测的漏洞。
73%
假阳性激增
误报淹没了本就因人员短缺而捉襟见肘的安全运营中心团队。
13%
全自动化采用率下降
尽管90%的用户使用自动化检测工具,但仅有极少数人完全信任全自动响应机制。
Endpoint
EDR仅在恶意文件到达终端后才能提供可见性。组织在边界、云端及文件传输路径上都未能及时发现早期威胁。
高采用率,
低实现率
安全运营中心团队常对自动化缺乏信心,因为工具无法融入人工工作流程。有效的自动化必须实现数据丰富化、关联化和优先级排序——而非取代人工判断。
监管压力推动合作
仅37%的企业对外共享检测规则,尽管《网络安全指令2.0》(NIS2)和《数字匈牙利条例》(DORA)正推动组织强制共享安全事件及IOC信息。
这份报告为何重要
该调查揭示了演进安全运营中心(SOC)能力所需的架构变革。
了解如何实现检测管道现代化,以及如何在提升准确性的同时降低工作负载。
分析师
被噪音淹没
团队必须采用行为沙箱隔离技术及基于机器学习的威胁相似性搜索。
复杂性扩张的速度超越了专业知识的增长速度
探索多云环境碎片化与集成缺口带来的安全影响。
人工智能必须增强
人类才能
安全团队需要自然语言查询、自动化IOC提取以及基于相似性的威胁关联分析。
