2025年安全现状报告
目录3高管前言4简介:将SOC从不堪重负转变为优化5第1章:SOC的效率难以捉摸9第2章:AI引领SOC走向未来13第3章:推动未来SOC发展的技能18第4章:威胁检测的新时代23第5章:统一和连接SOC31行业亮点33典型国家/地区35方法学36关于Splunk 2025 年安全现状报告|Splunk高管前言构建有效的SOC是适应性方面最重要的经验教训之一。作为前SOC领导,我建立了从国土安全部到中小型企业托管安全服务的安全运营体系。无论规模或任务如何,经验教训总是一样的:如果你没有提前思考,那你已经落后了。我们中的许多人,包括我自己,都被网络安全所吸引,因为它时刻在发展变化。网络安全一直是一个快速变化的游戏 — 新的威胁、新的恶意软件层出不穷,现在,又加上了AI的飞快发展。但对于所有的外部挑战,真正的问题往往存在于内部。我们调查了2058名安全领导者,包括SOC经理、主管、分析师和工程师,以了解SOC发展的最大障碍和未来最具影响力的战略。我们的数据揭示出,SOC在错误的事情上花费了太多的精力 — 保姆式工具,一遍又一遍地追逐相同的错误警报,以及努力应对杂乱的数据。将近一半的人承认,他们花在维护技术堆栈上的时间比实际保护组织的时间还多。这不仅令人沮丧,也是战略的失败。 但调查也显示,一些SOC正在采用新的前瞻性技术和流程来帮助消除这些低效问题。他们依靠AI来提高生产率,提升现有团队的水平,并变得更有韧性。他们正在探索检测即代码(Detection-as-Code),以先于攻击者采取行动。他们正在重新思考自身的调查和响应方法,抛弃各自为政,采取统一的策略。我们希望这份《2025年安全现状报告:未来更强大、更智能的SOC》将有助于推动您的SOC发展。因为如果您还在与昨天缠斗,那么您已经输了。David DallingSplunk副总裁、全球网络策略师 2025 年安全现状报告|Splunk将SOC从不堪重负转变为优化想想对SOC最大的威胁。行业刻板印象可能会让你想到一个穿着帽衫、笼罩在阴影中的黑客在命令行中输入提示。或者是一个由高度熟练和有资格证书的民族国家行动者组成的团队,在一个没有窗户、不公开的政府办公室里研究绝密的威胁情报。想象这些威胁角色可以激发任何SOC成员的防御动力。毫无疑问,这些都是非常真实的威胁。但是经常被忽视的是内部问题 — 效率低下带来的威胁。分析师们没完没了地玩打地鼠™游戏,遗漏关键事件,最终导致代价高昂的数据泄露事件。团队花更多的时间维护工具,而不是保护组织。错误的数据会导致错误的检测,削弱网络防御。持续的技能差距继续使现有团队捉襟见肘。随着工具集的扩展,技能差距的扩大,以及AI等技术成为SOC的核心,团队将走到十字路口。安全工具会越积越多,造成更多的复杂性吗?跨业务的协作会成为SOC团队的第二天性吗,或者他们会留在自己的舒适区吗?是时候重新构思SOC了,它会是什么样子?未来的SOC团队将依靠AI和自动化来提升他们的技能。因此,分析师将花时间构建更强大的防御方法(例如检测即代码 (DaC))和完善他们的调查协议。他们将采用更智能、统一的方法来检测和响应威胁,从而实现更紧密的协作,并为调查带来更多背景信息,提高速度。这听起来像科幻吗?信不信由你,一些团队已经在采取措施构建更快、更强、更智能的SOC。这些SOC已经从不堪重负发展到优化和有韧性。热衷于未来是一次令人兴奋的冒险,但值得一试。 2025 年安全现状报告|SplunkSOC的效率难以捉摸未来的SOC将极其精简。分析师将从平凡、重复的任务中解放出来,这样他们就可以将自己的专业知识用在真正重要的地方:为组织提供防御。—Michael Fanning,Splunk首席信息安全官“ SOC中效率低下的主要原因59%我们花费了太多的时间和/或精力来维护工具和相关的工作流51%我们的工具不能很好地相互集成32%我们的团队不具备必要的技能27%管理供应商的数量很复杂24%我们缺乏既定的事件响应流程31%我们的流程不足和/或过时 2025 年安全现状报告|Splunk如果你有过安全领域的任职经历,你就会知道,在没有明确解决方案的情况下进行故障排除会有多麻烦,第十次重新配置设置会让人有多崩溃,或者管理库存究竟多么让人叫苦不迭。而另一方面,未来的SOC将运行得更加高效。所有工具都经过精心编排,可以生成背景信息丰富的警报。每个团队成员都执行通常为高级分析师保留的战略任务,例如深入分析和调查。他们还依靠自动化和AI来解决较低级别的警报。 我们面临警报问题28%我们花了太多时间来规范数据 2025 年安全现状报告|Splunk忙碌会扼杀进步和激情是什么阻碍了团队实现高水平的效率?工具维护就是其中之一。近一半(46%)的受访者表示,他们花在繁忙工作(例如配置和故障排除工具)上的时间,比处理威胁调查和缓解等关键工作的时间多。不要误解我们;工具维护在SOC中占有一席之地。它可以优化工作流并提高准确性。但受访者指出,这种不平衡是一个日益严重的问题,59%的受访者表示,这是他们团队效率低下的主要原因,其次是工具没有很好地集成在一起 (51%)。“维护方面的工作比过去更为复杂。”Splunk的SURGe总监Marcus Laferrera说。“工具的功能更加丰富,更新更加频繁。虽然供应商已经引入了支持以减少猜测,但网络复杂性大大增加,使得这项工作更加困难。”激情和目标激励着安全专业人员履行其保护组织安全的使命。但是没有人对工具维护感兴趣。团队只有将大部分时间花在防御上,才能最大限度地激发出分析师的激情。这些SOC通过战略性、创新性和前瞻性的作法来推动业务发展。 如果分析师能够灵活运用批判性思维能力,而不是不断调整警报阈值,那么这不仅能提高他们的满意度,还能让他们真正投身于更有价值的工作,为组织的盈利做出贡献。—Kirsty Paine,Splunk欧洲、中东和非洲地区现场首席技术官兼战略顾问“46%花更多的时间维护工具,而不是防御威胁 2025 年安全现状报告|Splunk警报过载会导致SOC运行缓慢在SOC中,每一秒都很重要,尤其是在重大调查期间。效率低下不是小问题。即使是一个很小的瓶颈,例如因错过某个警报而导致数据泄露,也可能导致重大的声誉、法律或财务后果。仅以停机时间为例,根据停机的隐性成本报告,它会给组织造成每小时540000美元的损失。对于分析师来说,警报是另一项“不能忍受却不能没有”的工作,47%的受访者指出,警报问题是SOC中效率低下的最常见原因。受访者表示,最棘手的问题是有太多的警报(59%),处理太多的误报(55%),以及破译缺乏背景信息的警报(46%)。这些问题中的每一个都浪费了分析师的宝贵时间,因为他们会质疑警报的有效性或完全忽略它们。谁能责怪他们呢?在调查了一系列被证明是误报的警报后,还有什么动机去调查下一个警报?59%有太多警报 数据不足会阻碍调查浪费时间的不仅仅是工具管理和警报过载。数据问题也难辞其咎。事实上,57%的受访者表示,由于其数据管理策略的差距,他们在调查过程中损失了宝贵的时间。无论这些差距是由可访问性问题(39%)还是数据孤岛(35%)造成的(两者都是受访者指出的常见数据挑战),无法在正确的位置访问正确的数据使得SOC团队在面临威胁时更难快速果断地采取行动。“你想把分析带到数据中,而不是反其道而行之。”潘恩说。“意识到这一点并拥有数据联合策略的SOC团队已经领先一步。”57%由于数据管理差距而损失了宝贵的调查时间 你希望将分析带到数据中,而不是相反。意识到这一点并拥有数据联合策略的SOC团队已经领先一步。—Kirsty Paine,Splunk欧洲、中东和非洲地区现场首席技术官兼战略顾问“ 2025 年安全现状报告|SplunkAI引领SOC走向未来未来,AI将成为安全分析师经验中不可或缺的一部分。AI可以使自我修复系统实时检测和缓解恶意行为。想象一下这项技术一旦嵌入到SOC中会有什么样的效果。—Tamara Chacon,Splunk SURGe安全策略师“ 建立对AI的信任众所周知,安全专家持怀疑态度。这是他们的工作。但是信任有不同的层次 — 从盲目信任到彻底的愤世嫉俗,以及介于两者之间的一切。成功采用 AI 与平衡有关,既要足够信任它以获得好处,又要同时保持足够谨慎以实施正确的检查和保护措施。只有约 11% 的受访者表示,他们完全信任 AI 在SOC内执行任务关键型活动。但这个群体盲目信任AI 的可能性不大;相反,他们可能在运行自己的模型,并且更容易信任他们自己构建的系统。“随着组织在AI实施方面的成熟,信任将会增长。”Splunk欧洲、中东和非洲地区高级副总裁兼总经理Petra Jenner说。“如果团队拥有资源来构建、培训和测试他们自己的模型,那么他们自然会对该系统有更高的信任度。”然而,大多数受访者(61%)表示,他们在一定程度上信任AI来执行任务关键型操作。安全团队需要一些信任才能在SOC中成功采用AI,但最为重要的是采取人机回圈的方法 — 尤其是在涉及生成式AI时。“生成式AI就像那些过于自信的同事,他们永远不会说他们不知道,并且肯定会告诉你他们曾经读过的东西。”Paine说。“专家检查和适当的测试将确保你得到正确的输出。” 2025 年安全现状报告|Splunk花生酱和果冻。雷声和闪电。AI 和未来。有些配对很有意义。AI已经是对手和防御者的强大工具。在未来的SOC中,分析师将学会利用AI,在正确的时间将它应用于正确的任务。不需要神奇的 AI 撒下仙尘。AI不是万灵药,但对于寻求更高效率的团队来说,它肯定是一种有吸引力的补救措施。让AI在无尽的日志中搜索特定的IP地址?我们很难找到哪个SOC团队不同意这一点。将AI应用于安全工作流是今年最高的网络安全优先事项,56%的受访者将其列为他们的三大计划之一。那些投身其中的人已经切实感受到生产率的提高;59%的受访者表示,在AI的帮助下,他们已经适度或显著提高了效率。 59%通过AI适度或显著提高了他们的效率随着组织在AI实施方面的成熟,信任将会增加。如果团队拥有资源来构建、培训和测试他们自己的模型,那么他们自然会对该系统有更高的信任度。—Petra Jenner,Splunk欧洲、中东、非洲地区高级副总裁兼总经理。“ 2025 年安全现状报告|Splunk对AI的不信任在SOC中挥之不去在SOC中采用AI已成为现实,但当涉及到任务关键型活动时,信任的程度会有所不同有些不信任 2025 年安全现状报告|Splunk挖掘生成式AI的力量生成式AI带来的好处包括依靠其最大的超能力:填补空白。例如,它可以创建搜索查询字符串,并根据之前看到的内容建议调查步骤。近三分之一(31%)的受访者目前使用生成式AI来查询SOC中的安全任务,另有48%的受访者表示,他们将在不久的将来这样做。其他安全任务需要更多策略。受访者更有可能对生成式AI开发安全内容(例如脚本和签名)保持警惕,29%的受访者表示,生成式AI不应或将永远不会履行这些职责。特定领域的生成式AI工具可以通过嵌入有关网络安全用例的智能来帮助建立信任,在正确的时间通过背景信息显示正确的信息。这是生成式AI的未来,受访者对其在网络安全中的作用充满热情。近三分之二(63%)的受访者认为,与公开可用的工具相比,它极大地或显著地增强了安全运营。63%表示,与公开可用的工具相比,特定于领域的AI极大地或显著地增强了安全运营 像ChatGPT或Google Gemini这样的通用AI工具,在广泛的数据集上进行训练,因此它们对几乎所有东西都有一些知识,从模糊的狗品种到古罗马的军事历史。但是,使用这些工具进行威胁检测和响应就像试图用瑞士军刀建造一座房子 — 一个技术性非常高的领域需要一种专门的方法。另一方面,特定领域的生成式 AI 则是在专注于特定主题(例如网络安全)的数据集上进行训练的。有了这些深入的知识,它可以提供更专业的建议。它还通过将工作流保留在内部来降低数据泄露的风险。安全专家的首要任务是,防止数据
