报告
SANS Detection & Response Survey
盲区、自动化缺口与人工智能增强防御的转型
The new SANS Detection & Response survey reveals a security landscape under strain.
- EDR is used by the majority of organizations, yet overreliance on the endpoint is creating new blind spots.
- 自动化持续扩展,但完全信任度依然偏低。
- 安全运营中心团队正面临误报率上升、技术人才短缺以及监管日益严格的三重挑战。
了解为何检测必须在杀伤链中更早启动,必须实施何种行为分析,以及人工智能应如何增强而非取代分析师的工作。
主要结论
The SANS data uncovers widening gaps caused by endpoint-heavy security postures, rising complexity,
and inconsistent intelligence sharing.
89%
EDR仍属“万能”工具
过度关注终端安全导致边界防护和云端入侵防护严重缺失,
由此形成入侵后检测的漏洞。
73%
假阳性激增
误报淹没了本就因人员短缺而捉襟见肘的安全运营中心团队。
13%
全自动化采用率下降
尽管90%的用户使用自动化检测工具,但仅有极少数人完全信任全自动响应机制。
Endpoint
EDR仅在恶意文件到达终端后才能提供可见性。组织在边界、云端及文件传输路径上都未能及时发现早期威胁。
高采用率,
低实现率
安全运营中心团队常对自动化缺乏信心,因为工具无法融入人工工作流程。有效的自动化必须实现数据丰富化、关联化和优先级排序——而非取代人工判断。
监管压力推动合作
仅37%的企业对外共享检测规则,尽管《网络安全指令2.0》(NIS2)和《数字匈牙利条例》(DORA)正推动组织强制共享安全事件及IOC信息。
这份报告为何重要
该调查揭示了演进安全运营中心(SOC)能力所需的架构变革。
了解如何实现检测管道现代化,以及如何在提升准确性的同时降低工作负载。
分析师
被噪音淹没
团队必须采用行为沙箱隔离技术及基于机器学习的威胁相似性搜索。
复杂性扩张的速度超越了专业知识的增长速度
探索多云环境碎片化与集成缺口带来的安全影响。
人工智能必须增强
人类才能
安全团队需要自然语言查询、自动化IOC提取以及基于相似性的威胁关联分析。
