Báo cáo

Khảo sát Phát hiện & Phản hồi SANS 2025

Điểm mù, khoảng trống tự động hóa và sự chuyển dịch sang phòng thủ được tăng cường bởi trí tuệ nhân tạo.

Khảo sát Phát hiện & Phản hồi của SANS năm nay cho thấy bối cảnh an ninh đang chịu nhiều áp lực. 

  • Việc quá phụ thuộc vào EDR ở điểm cuối đang tạo ra những điểm mù mới.  
  • Tự động hóa tiếp tục mở rộng nhưng mức độ tin tưởng tuyệt đối vẫn còn thấp.  
  • Các nhóm SOC đang phải đối mặt với tình trạng gia tăng các trường hợp báo động sai, thiếu hụt nhân lực có kỹ năng và các quy định ngày càng chặt chẽ. 

Hãy tìm hiểu lý do tại sao việc phát hiện phải được thực hiện sớm hơn trong chuỗi tiêu diệt, loại phân tích hành vi nào cần được triển khai và trí tuệ nhân tạo (AI) nên hỗ trợ chứ không phải thay thế các nhà phân tích như thế nào. 

Chia sẻ báo cáo này

Những phát hiện đáng chú ý

Dữ liệu SANS 2025 cho thấy những lỗ hổng ngày càng lớn do các biện pháp bảo mật tập trung vào thiết bị đầu cuối và sự phức tạp ngày càng tăng,
và việc chia sẻ thông tin tình báo không nhất quán.

89%

EDR vẫn là công cụ "đa năng".

Việc tập trung quá mức vào các điểm cuối khiến cho việc truy cập vào hệ thống mạng nội bộ và đám mây hầu như không được bảo vệ.
Tạo ra những lỗ hổng trong việc phát hiện sau khi hệ thống bị xâm phạm.

73%

Tỷ lệ dương tính giả đang gia tăng.

Các trường hợp báo động sai đang làm quá tải các nhóm SOC vốn đã bị hạn chế bởi tình trạng thiếu nhân lực.

13%

Tỷ lệ áp dụng tự động hóa hoàn toàn giảm. 

Mặc dù 90% sử dụng các công cụ phát hiện tự động, nhưng chỉ một phần nhỏ tin tưởng vào phản hồi hoàn toàn tự động.

Endpoint Điểm mù

EDR chỉ cung cấp khả năng giám sát sau khi các tệp độc hại đã đến được thiết bị đầu cuối. Các tổ chức đang bỏ sót các mối đe dọa ở giai đoạn đầu tại ranh giới mạng, trên đám mây và dọc theo các đường dẫn di chuyển tệp.

Tỷ lệ áp dụng cao,
Mức độ thực hiện thấp

Các nhóm SOC thường thiếu tự tin vào tự động hóa vì các công cụ không tích hợp được vào quy trình làm việc của con người. Tự động hóa hiệu quả phải làm phong phú, liên kết và ưu tiên – chứ không phải thay thế phán đoán của con người.

Áp lực pháp lý làm thay đổi sự hợp tác

Chỉ có 37% chia sẻ các quy tắc phát hiện sự cố ra bên ngoài, ngay cả khi NIS2 và DORA đang thúc đẩy các tổ chức hướng tới việc chia sẻ sự cố và chỉ số phát hiện xâm nhập (IOC) bắt buộc.

Vì sao báo cáo này quan trọng

Khảo sát này cho thấy những thay đổi về kiến trúc cần thiết để phát triển khả năng của SOC.
Hiểu rõ cần hiện đại hóa quy trình phát hiện ở đâu và làm thế nào để giảm khối lượng công việc trong khi vẫn nâng cao độ chính xác.

Các nhà phân tích
Bị tiếng ồn vượt mặt

Các nhóm phải áp dụng phương pháp thử nghiệm hành vi trong môi trường ảo (behavior sandboxing) và tìm kiếm sự tương đồng mối đe dọa bằng máy học.

Sự phức tạp ngày càng gia tăng
Nhanh hơn cả chuyên môn

Khám phá tác động bảo mật của sự phân mảnh đa đám mây và những lỗ hổng tích hợp.

Trí tuệ nhân tạo cần được tăng cường
Tài năng con người

Các nhóm bảo mật cần truy vấn bằng ngôn ngữ tự nhiên, trích xuất IOC tự động và tương quan mối đe dọa dựa trên sự tương đồng.

Tăng cường chiến lược phát hiện của bạn

Hãy xem toàn bộ Báo cáo Khảo sát SANS và tìm hiểu cách giảm thiểu điểm mù, mở rộng năng lực phân tích và áp dụng quy trình phát hiện đa lớp.

Tải xuống báo cáo