SANS Detection & Response Survey
The new SANS Detection & Response survey reveals a security landscape under strain.
- EDR is used by the majority of organizations, yet overreliance on the endpoint is creating new blind spots.
- 自動化は拡大を続けているが、完全な信頼は依然として低い。
- SOCチームは、誤検知の増加、スキル不足、規制強化に直面している。
なぜ検知はキルチェーンのより早い段階で実施されなければならないのか、どのタイプの行動分析を導入すべきか、そしてAIがアナリストを代替するのではなく補完すべき理由を明らかにする。
主な調査結果
The SANS data uncovers widening gaps caused by endpoint-heavy security postures, rising complexity,
and inconsistent intelligence sharing.
89%
エンドポイントへの過度な注力は境界防御とクラウド侵入をほぼ無防備な状態に置き、
侵害後の検知に空白を生じさせる。
73%
偽陽性により、人員不足に苦しむSOCチームはさらに追い詰められる。
13%
自動検出ツールを使用しているのは90%に上るにもかかわらず、完全自動応答を信頼しているのはごく一部に過ぎない。
Endpoint 死角
高い採用率、
低い実現度
SOCチームは、ツールが人間のワークフローに統合されないため、自動化に自信を持てないことが多い。効果的な自動化は、判断を置き換えるのではなく、判断を豊かにし、関連付け、優先順位付けするものでなければならない。
規制圧力による協業の転換
NIS2やDORAが組織に対しインシデントやIOCの共有を義務付ける中、検出ルールを外部と共有しているのはわずか37%に留まる。
このレポートが重要な理由
調査により、SOC能力を進化させるために必要なアーキテクチャの変更が明らかになりました。
検知パイプラインの近代化が必要な箇所と、精度を向上させながら作業負荷を軽減する方法を理解しましょう。
アナリストは
、ノイズに追い越される
チームは行動ベースのサンドボックス化と機械学習による脅威類似性検索を採用しなければならない。
複雑性は専門知識よりも速く
を拡大する
マルチクラウドの断片化と統合ギャップがセキュリティに与える影響を発見する
AIは
の人間的才能を増強しなければならない
セキュリティチームには、自然言語クエリ、IOCの自動抽出、および類似性に基づく脅威相関分析が求められます。
