報告
SANS Detection & Response Survey
盲點、自動化缺口與邁向人工智慧增強防禦的轉變
The new SANS Detection & Response survey reveals a security landscape under strain.
- EDR is used by the majority of organizations, yet overreliance on the endpoint is creating new blind spots.
- 自動化持續擴展,但完全信任度仍處於低位。
- 資安團隊面臨日益增加的誤報、技術人才短缺及日益嚴格的法規。
了解為何偵測必須在殺傷鏈中更早介入、必須實施何種行為分析類型,以及人工智慧應如何增強分析師能力而非取代其工作。
主要調查結果
The SANS data uncovers widening gaps caused by endpoint-heavy security postures, rising complexity,
and inconsistent intelligence sharing.
89%
EDR仍屬「萬用」工具
過度聚焦終端點防護,導致邊界與雲端入侵通道幾乎毫無防禦,
造成入侵後偵測的漏洞。
73%
假陽性激增
虛假警報淹沒了本就受人力短缺所限的SOC團隊。
13%
全面自動化採用率下降
儘管有90%的人使用自動化檢測工具, 僅有極少數人完全信任全自動化回應。
Endpoint 點
EDR僅在惡意檔案抵達終端點後才能提供可視性。企業組織正錯失發生於邊界、雲端環境及檔案傳輸路徑中的早期威脅。
高採用率,
低實現率
安全營運中心團隊常對自動化缺乏信心,因為工具無法融入人類工作流程。有效的自動化必須強化、關聯並優先處理——而非取代判斷。
監管壓力促使合作轉變
僅有37%的組織會對外分享偵測規則,即便《國家資訊安全指令2》(NIS2)與《歐盟資料保護法規》(DORA)正推動組織強制分享事件與指標性攻擊跡象(IOC)。
為何這份報告至關重要
該調查揭示了為提升安全營運中心(SOC)能力所需進行的架構變革。
瞭解應在何處現代化偵測管道,以及如何在提升準確度的同時減少工作負載。
分析師
被噪音超越
團隊必須採用行為沙盒技術與機器學習威脅相似性搜尋。
複雜性擴張速度超越專業知識增長速度
探索多雲環境碎片化與整合缺口對安全性的影響。
人工智慧必須增強
人類才能
安全團隊需要自然語言查詢、自動化指標提取及基於相似性的威脅關聯分析。
