前言
作为一位多年来建立和扩展检测工程团队的从业者,我见证了这个领域从曾经仅为顶尖安全团队所拥有的专业技能,发展成如今许多组织正在投资的关键任务职能。在这个过程中,有一个真理始终如一:那些投资于检测能力的组织,往往表现出比那些未做投资的组织更强的安全态势。然而,对于许多安全团队而言,实现有效的检测工程仍然充满挑战。
Anvilogic与SANS Institute联合发布的2025年首份《检测工程现状报告》揭示了一个快速发展的领域,许多组织已将其视为现代网络安全的关键职能。根据来自264位负责检测工程的安全专家的调查反馈,这些专家来自不同地区、行业和公司规模,报告展示了检测工程(DE)如何引起了董事会层面的关注,但同时也面临着资源、数据和技能等挑战。
数据显示,强大的数据管理、专业技能和战略领导对齐在应对不断变化的威胁方面的需求迫在眉睫。尽管我们调查中的大多数组织都在投资检测工程,但只有约一半的组织拥有专门的团队。大型企业倾向于分配更多员工,但许多中型和小型公司仍将检测工程职责嵌入到其他安全角色中。
这其中存在一个悖论:领导层的支持很强,甚至有些 CISO 在董事会层面推动检测指标。然而,尽管得到了高层的支持,许多团队仍然无法获取有效威胁检测所需的正确数据源。收集、规范化和整合安全数据仍然是最大的运营挑战之一。
调查中被认为最有效的基于行为的检测方法的转变,也暴露了威胁建模和数据工程方面的技能差距。许多团队缺乏完全采用这种主动、分析驱动方法所需的专业知识。尽管检测常见威胁(如勒索软件)的信心很高,但获取相关日志的困难、工具配置错误和误报问题的持续存在,表明组织仍然容易受到高级威胁的攻击。
人工智能和自动化正在崛起,帮助缓解这些挑战。许多组织已经在检测工程中使用人工智能,大多数人认为人工智能将在未来几年对该领域产生重大影响。自动化同样在崛起,大多数组织已经整合了自动化工作流,且更多的组织计划这样做。
这一切意味着,检测工程不再仅仅是一个运营任务,它正成为安全韧性的一个决定性支柱。随着威胁变得更加复杂,我们不能仅仅依赖供应商提供的检测和手动筛查。通过正式化团队、弥补数据差距、提升未来技能,以及谨慎采用自动化和人工智能,是从临时努力转向有纪律的、程序化方法的关键。
通过定量调查数据和来自我们检测工程社区的真实声音,我们希望本报告能够为您提供洞察和灵感,帮助您优化检测工程战略,提升团队能力,并共同推动该领域的发展。
关键发现
检测工程师是网络安全领域中一些未被充分认可的英雄,他们是建设者、问题解决者,将混乱转化为清晰的专家。他们不知疲倦地工作,打造、调整和扩展检测能力,确保组织在不断变化的威胁环境中保持安全。
我们认为他们的工作不仅仅值得认可,它应当得到聚光灯的照射。我们开始收集来自推动检测工程边界的社区成员的情报。以下是我们发现的内容:
80%的受访检测工程师表示,他们所在的组织正在为检测工程投入真正的资金
大多数检测工程师报告称,他们的组织正在积极资助检测工程,其中大型企业(员工超过5000人)的投资比例高达85%。这一结论很明确:检测工程不仅被采纳,而且正成为战略优先事项。
领导层的支持强劲,但理解仍滞后
大多数检测工程师(67%)报告称,领导层的支持很强,其中一些人甚至表示它被视为“安全的未来”。对于那些没有强力支持的团队,主要原因很明确:在某些组织中,检测工程仍然被误解。结论是?教育和向领导者传达 ROI 将是弥合这一差距的关键。
从战术到战略:定制行为检测成为主流
组织正在从主要依赖供应商提供规则的战术告警转向战略性、自定义构建的检测方法。最受欢迎的检测类型是基于行为的(67%),定制衍生的检测是最常见的来源(42%)。仅有2%的组织完全依赖供应商提供的检测。随着检测工程的成熟,威胁建模(53%)已成为团队希望提升的关键技能。
数据访问和质量仍然是主要挑战
检测工程的强度取决于其背后的数据,但对于许多团队而言,数据的访问和质量仍然是主要障碍。我们的调查显示,在数据访问充足与面临障碍的团队之间几乎平分秋色,后者限制了他们的检测能力。数据工程(52%)现在已成为检测团队希望弥补的主要技能差距。
自动化正在蓬勃发展,人工智能时代正在到来
参与者普遍认为,人工智能将在检测工程中发挥重要作用(88%的参与者认为将在未来三年内如此),目前45%的组织已经将人工智能集成到其检测工作流中。自动化的采用也显示出更强的势头,93%的组织正在使用或计划在其工作流中实施自动化。
方法论和参与者数量统计
为了获得检测工程师的真实声音,我们直接去到源头,采访了来自各个行业、地区和组织规模的264位安全专业人士。
在深入分析之前,值得注意的是,本报告中的发现反映了积极参与检测工程的安全专家的见解。为了符合参与资格,受访者必须在当前组织中承担检测工程职责。因此,没有任何检测工程实践的组织不包含在此数据中。
您在组织中的主要角色是什么,作为员工还是顾问?
image
您公司主要的总部所在国家或地区是哪里?
image
您公司的主要行业是什么?
行业 | 百分比 |
|---|---|
网络安全 | 22% |
科技 | 17% |
银行与金融 | 14% |
医疗保健 | 8% |
其他 | 8% |
政府 | 6% |
教育 | 5% |
制造业 | 5% |
电信/互联网服务提供商 | 4% |
零售 | 3% |
您组织的员工和承包商员工总人数是多少?
image
检测工程的崛起
仅仅十年前,检测工程在网络安全领域还是一个相对不为人知的角色。如今,它正逐渐成为安全运营中最关键的角色之一,调查中的大多数组织都拥有专门的检测工程团队。
定义检测工程
检测工程的定义:检测工程是一个系统化和迭代的过程,旨在开发、实施、测试、部署和维护高可靠性的威胁检测机制。这是一个结合了软件工程、数据分析、安全运营和威胁情报等元素的专业领域,用于构建和维护强大的检测能力。与传统的安全方法不同,后者通常依赖于预配置的、供应商提供的检测规则,检测工程强调开发定制的、具有上下文感知的检测方法,专门针对组织的特定环境、资产和威胁。
您所在组织中与检测工程相关的主要活动是什么?
活动 | 百分比 |
|---|---|
开发检测规则 | 86% |
调整现有检测规则 | 82% |
自动化与编排 | 61% |
事件响应 | 58% |
威胁狩猎 | 58% |
威胁情报集成 | 55% |
指标与报告 | 51% |
安全工具管理 | 50% |
培训与知识共享 | 49% |
安全数据工程 | 39% |
其他 | 3% |
职位名称
随着检测工程在重要性上的迅速提升,与之相关的职位名称也在不断变化。许多安全从业者需要在其他职责(如威胁狩猎和事件响应)和检测工程之间进行平衡,因此职位名称差异较大也就不足为奇了。我们在进行这项调查时遇到的一些职位名称在下表中有所反映。
Individual Contributor Job Titles
Job Title |
|---|
Detection Engineer (most common) |
Threat Hunter |
Security Engineer |
Security Researcher |
Cloud Security Engineer |
Security Architect |
CSIRT Team Lead |
Incident Response Engineer |
Threat Intelligence Analyst |
Cloud Security Researcher |
Intrusion Analyst |
SIEM Specialist |
Senior Security Analyst |
Leadership Job Titles
Job Title |
|---|
CISO |
VP Data Science |
VP of Security Services |
VP of Cyber Operations |
Director of Security Operations |
Director, Threat Detection |
Director of Detection Engineering |
Director of Information Security |
SOC Manager |
Detection Engineering Manager |
Security Engineering Manager |
Cyber Defense Analytics Manager |
Cyber Incident Response Manager |
一个仍在发展的高级人才领域
检测工程已经走过了很长的路,但人才池仍在发展。尽管这一领域已经超越了初期阶段,但大多数检测工程师仍处于中级职业阶段,高级专业人士相对较少。随着对专业技能需求的增加,投资于导师制度、培训和职业发展将是弥补技能差距并培养下一代高级人才的关键。
平均而言,您的团队成员在检测工程领域有多少年经验?
image
经验在检测工程中尤为重要,因为设计、维护和测试一个检测对抗活动(无论是模拟的还是实际的)所需的反馈循环可能需要数年时间。设计不当或实施不当的检测规则容易产生,但对提高检测敌对行为的概率几乎没有帮助。检测建模和紫队测试是关键工作,它们缩短了反馈循环,并在这一相对年轻的学科中积累了经验。
60%的检测工程师在专职团队中工作
许多组织将检测工程作为独立职能进行优先发展,60%的组织在各类公司中都有专职团队。尤其是在拥有超过5000名员工的大型企业中,这一比例更为显著,70%的企业已经建立了专门的检测工程团队。相比之下,员工少于5000人的中小型组织中,只有49%拥有专职的检测工程团队。
您的组织是否拥有专职的检测工程团队?
image
企业在检测工程人才上的投入不断增加
如预期所示,大型企业在检测工程人才方面的投资更为雄厚。39%的大型企业(5000名以上员工)有六名或更多的专职员工从事检测工程工作,而在中小型企业中这一比例为27%。
请说明您的团队中有多少专职员工从事检测工程相关工作?
image
大多数将检测工程作为安全运营中的专职团队
在组织结构方面,大多数组织将检测工程职能作为安全运营中的专职团队,超过一半的组织(54%)采取这种方式。另一大部分(27%)将检测工程团队直接与SOC团队整合,而仅有10%的组织将这一职能分配到多个安全运营团队中。
您的组织中,这个团队属于哪个部门?
image
检测工程师与哪些团队合作最多
检测工程师与事件响应团队的合作最为密切,58%的受访者表示与事件响应团队完全整合与协作。威胁狩猎团队紧随其后,占48%。然而,在数据工程、基础设施和应用团队的合作上有所下降,这突显了潜在的隔离问题,可能影响检测工程项目的有效性。
您的检测工程工作与以下运营领域(团队)的整合程度如何?
image
领导支持与关键指标
我们的调查显示,检测工程师报告称,组织在该职能上投入巨大,且得到了高层领导的大力支持。安全团队通过关键指标来衡量检测工作的效果,如准确性、威胁覆盖度和检测速度,这些指标往往在董事会层面进行汇报。
80%的受访者表示他们的组织正在积极投资检测工程
在我们的调查中,80%的受访组织表示,他们正在积极投资于检测工程的能力建设,无论公司规模如何。大型企业(5000名以上员工)在此方面投入更多,85%的企业正在资助检测工程相关项目。
您的组织目前是否在投资检测工程?
image
image
检测工程的演变与战略意义
检测工程从一个小众的职能发展为一个至关重要的安全优先事项,许多组织已经开始投资这一领域。从基于签名的检测转向基于行为的检测,突显了对更好数据访问和专业技能的需求。然而,在有效收集和整合数据方面,依然面临许多挑战。预计在未来三年内,人工智能和自动化将推动检测能力的发展,而规范化的团队和改进的数据管理将提高效率。组织必须将检测战略与业务目标对齐,以应对不断发展的威胁。
检测工程处于主动式网络安全的最前沿,影响着组织的安全态势。组织已经意识到检测工程作为安全职能的战略优势,接近80%的受访者表示,他们的组织正在积极投资这一关键安全职能。检测工程师的技能和经验在塑造公司安全组织方面起到了至关重要的作用。
我们必须意识到,繁忙的SOC不一定高效,尤其是在它淹没在越来越多可疑的告警中,无法衡量实际的检测覆盖范围,更不用说扩展它了。虽然自动化IR很受重视,但它并不能解决核心问题:我们需要更好的检测。
启动检测工程计划使团队能够最终聚焦于可重复的情报到检测的工作流,优化整个告警生命周期,并最终将SOC从高成本的告警处理器转变为高度信息化的威胁检测团队。检测工程不仅是锦上添花,它是管理高性能SOC的必要条件。
67%的人认为检测工程得到了强有力的领导支持
我们询问了受访者是否得到了高层领导对检测工程计划的支持,回答既令人鼓舞也很有启发性。三分之二(67%)的受访者报告称,得到了强有力的高层支持,部分CISO甚至在董事会层面倡导检测工作。
然而,并非所有团队都感受到同等程度的支持。一些领导未能完全理解检测工程的复杂性和战略价值,导致了不对齐、资源挑战,或缺乏专职角色。在某些情况下,检测团队未能参与关键技术决策,或在获取跨部门协作以便于数据访问和整合时遇到困难。
您的组织是否为检测工程师提供了强有力的领导支持?
image
高层领导支持对检测工程计划的关键作用
高层领导为检测工程计划提供的最有价值支持是投资于合适的工具,并确保对公司数据的全面可见性,尤其是通过强大的审计日志。清晰、高质量的日志数据至关重要,因为它使检测工程师能够识别攻击模式,构建有效的检测规则,并随着时间的推移进行精细调整。如果没有可靠的遥测数据,团队发现并应对威胁的能力将受到严重限制。
检测工程团队可以通过共享他们的核心安全专长和定制工具,不仅仅是简单的检测规则编写,展现其在安全部门中的价值。通过提高对公司遥测数据的可见性,他们直接增强了事件响应团队检测和响应威胁的能力。此外,他们对攻击模式的深刻理解使他们能够在威胁建模和加强系统防御方面支持云安全、基础设施及其他团队。
衡量检测工程成功的最常见指标
您使用哪些指标来衡量检测工程工作的有效性?
指标名称 | 百分比 |
|---|---|
误报率 | 70% |
改进的威胁覆盖度 | 60% |
攻击技术覆盖 | 59% |
检测速度 | 54% |
事件响应时间减少 | 32% |
事件响应时间 | 32% |
成功攻击减少 | 31% |
检测工程积压量(指定需要构建的规则数量) | 23% |
其他 | 4% |
最有价值的技能
总体而言,检测工程团队对自己对攻击框架的理解以及分流和事件响应能力感到满意,但他们也意识到在某些领域仍然急需额外技能。威胁建模和数据工程位居检测工程中需要进一步发展的关键技能之首。
在检测工程师中,最受欢迎的活动是开发检测规则,因此他们似乎从事着适合自己的工作。然而,当谈到指标和报告时?可以说它不是最受欢迎的任务。
关键的检测工程技能:
当前技能 (Current)
技能 | 百分比 |
|---|---|
理解/映射攻击框架 | 76% |
分流与事件响应 | 74% |
处理/查询语言(如SPL、SQL、KQL) | 67% |
正则表达式 | 61% |
威胁情报/研究分析 | 60% |
文档编写 | 54% |
脚本/编程语言(如Python、JavaScript) | 48% |
告警补充(告警生成前或后) | 48% |
报告/可视化 | 46% |
日志管道监控与健康状态 | 43% |
威胁建模 | 38% |
检测即代码,CI/CD | 36% |
数据工程 | 35% |
软件工程 | 23% |
其他 | 2% |
需要发展技能 (Need Development)
技能 | 百分比 |
|---|---|
威胁建模 | 53% |
数据工程 | 52% |
报告/可视化 | 47% |
软件工程 | 47% |
检测即代码,CI/CD | 46% |
日志管道监控与健康状态 | 45% |
告警补充(告警生成前或后) | 45% |
脚本/编程语言(如Python、JavaScript) | 44% |
文档编写 | 42% |
威胁情报/研究分析 | 36% |
正则表达式 | 32% |
处理/查询语言(如SPL、SQL、KQL) | 27% |
理解/映射攻击框架(如MITRE ATT&CK) | 21% |
分流与事件响应 | 19% |
其他 | 3% |
威胁建模的价值
威胁建模可以在开发周期的早期识别潜在的安全风险并设计缓解措施,从而提供一种主动管理潜在威胁的方法。对于检测工程师来说,像MITRE ATT&CK和STRIDE这样的框架为创建和完善检测规则提供了结构化的指导。
然而,由于培训机会有限和依赖于反应性措施,这一关键技能往往被忽视。面临的挑战包括理解复杂的系统、将安全与业务目标对齐以及将建模无缝集成到工作流程中,因为威胁建模没有一种放之四海而皆准的方法。通过使用基于这些框架的工具并进行定期审查,组织可以有效解决这些问题并增强其安全态势。
数据工程缺失
许多受访者报告数据工程是一个缺失的技能领域并不令人意外,数据工程是安全运营中的一个新兴子领域,现有的多数解决方案是为解决可观察性用例而设计的,而非安全用例。安全数据工程解决方案需要解决数据路由、数据规范化和数据补充三重挑战,涵盖数十个独特且彼此脱节的系统,而可观察性工具,主要是为应用程序路由和总结数据而构建的,并非最佳解决方案。
检测即代码(Detection-as-Code)
检测工程师并不是为了看管安全工具而入行的。他们更擅长映射威胁、构建更智能的检测并保持领先于攻击者,而不是陷入版本迭代、规则维护和配置问题的无尽循环中。在没有将软件工程原则应用于检测管理生命周期的情况下,大规模管理成千上万的检测规则是一项艰巨的任务,尤其是每一次变更都会引入额外的调优复杂性。
检测即代码(DaC)的出现,46%的检测工程师认为这是他们需要发展的技能,这与47%认为软件工程技能需要成长的比例非常相近。我们已经看到DaC在各种形式中的应用增长,但它的核心是缓解检测维护疲劳,并为定制检测开发提供扩展方式。它使工程师摆脱了枯燥的维护工作,让他们能够专注于真正令他们兴奋的事情:解决复杂的安全难题,并将威胁行为转化为可操作的检测。因为让我们面对现实,没有人会愿意整天看管规则。
软件工程与检测即代码的融合
向检测即代码(DaC)的转变突显了检测工程师将安全专长与软件工程技能相结合的日益需求。虽然当前的技能集中在分析和威胁检测上,但未来的需求包括版本控制、自动化测试和CI/CD能力。弥合这些差距需要在工具和脚本语言方面进行技能提升,并促进安全团队与工程团队之间的协作。
通过采纳软件开发实践,组织可以构建可扩展、一致且高效的检测程序,帮助团队更高效地协作、共享知识,并在检测能力上保持更大的信心。
SRE/DevOps/软件工程师的经验
SRE、DevOps和软件工程师们构建了看似需要大量工程师参与的强大产品,但由于他们专注于通过软件扩展,团队人数的增长率比他们构建的软件少了10倍。
编写检测和发现恶意行为应该始终是目标,但我们应该继续学习软件工程师和DevOps所构建的工具和技术,以便在我们每天处理的大量遥测数据中发现威胁行为者。
检测工程的演变
检测工程正在从使用供应商特定控制台和专有语言部署检测,发展为采用更具可扩展性的方法,例如检测即代码(DaC)。这一成熟的方法融合了SDLC和CI/CD实践,这些是许多软件工程师的专业领域。
随着LLM和AI Agent在安全运营中的应用越来越广泛,对数据工程和软件工程技能的需求将继续增长,进一步扩展检测工程师所需的技能组合。
检测工程师最喜欢和最不喜欢的活动
最喜欢的活动 (Most)
活动名称 | 百分比 |
|---|---|
开发检测规则 | 33% |
威胁狩猎 | 19% |
事件响应 | 11% |
自动化编排 | 9% |
安全数据工程 | 4% |
安全工具管理 | 3% |
培训与知识共享 | 3% |
调整现有检测 | 3% |
指标与报告 | 1% |
其他 | 1% |
最不喜欢的活动 (Least)
活动名称 | 百分比 |
|---|---|
指标与报告 | 41% |
安全工具管理 | 10% |
调整现有检测 | 9% |
安全数据工程 | 9% |
事件响应 | 9% |
开发检测规则 | 4% |
自动化与编排 | 4% |
威胁狩猎 | 3% |
威胁情报集成 | 3% |
其他 | 1% |
管理创意任务与运营任务的优先级
为了管理创意任务和运营任务之间的竞争优先级,我们将它们分解成多个部分。我的组织尝试举办活动,我们大家聚在一起,暂停运营任务,专注于我们认为有趣的事情,比如测试一个检测想法、部署一个新的检测,或者研究潜在的攻击路径。这可以提升士气,让我们与行业保持同步,打破单调的运营任务,同时锻炼不同能力,让我们在回到运营任务时能以更清新的视角进行。
尽管运营任务不如创意任务令人兴奋,但它们依然具有重要价值,并且能提供学习或提升技能的机会。例如,通过检测即代码(Detection-as-Code)自动化报告生成,或者利用数据分析库,可以简化报告生成过程,使之几乎变得毫不费力。
至于调整检测规则时,我建议在可能的情况下授权分析师利用创新的解决问题技巧来处理调整请求。分析师通常对嘈杂的检测具有宝贵的背景知识,可以对提高分析能力做出重要贡献。将操作任务重新框定为提升工作流程、学习新技能和促进协作的机会,这样可以使这些任务不那么单调,并且更具影响力!
最常用的工具和技术
您通常使用哪些工具/技术进行检测工程?
开源工具和技术
工具/技术 | 百分比 |
|---|---|
自定义脚本/工具 | 58% |
威胁情报平台 | 30% |
Jupyter Notebook | 30% |
版本控制系统 | 27% |
CI/CD管道 | 20% |
SIEM平台 | 15% |
数据湖 | 12% |
Kubernetes安全工具 | 12% |
云安全工具 | 10% |
SOAR工具 | 9% |
MDR解决方案 | 8% |
EDR/XDR解决方案 | 8% |
其他 | 2% |
基于产品的工具和技术
工具/技术 | 百分比 |
|---|---|
EDR/XDR解决方案 | 89% |
SIEM平台 | 81% |
云安全工具 | 70% |
SOAR工具 | 69% |
威胁情报平台 | 64% |
数据湖 | 61% |
MDR解决方案 | 60% |
版本控制系统 | 47% |
CI/CD管道 | 42% |
Kubernetes安全工具 | 41% |
自定义脚本/工具 | 24% |
Jupyter Notebook | 14% |
其他 | 2% |
Here’s the translation of your content into Chinese:
实施有效的检测
在我们的调查反馈中,行为为基础的检测方法相较于传统方法表现出强烈的偏好,表明检测策略正朝着更复杂且适应性更强的方向发展。定制衍生的检测是最常见的检测来源(毕竟这是关于检测工程师的报告),但组织也会使用供应商提供的和开源的检测。
基于行为的检测是最有效的检测类型
您认为最有效的前三种检测类型是什么?
检测类型
检测类型 | 百分比 |
|---|---|
基于行为的 | 67% |
基于关联的 | 43% |
威胁情报驱动的 | 43% |
基于签名的 | 41% |
基于异常的 | 34% |
UEBA | 20% |
网络流量分析 | 19% |
基于机器学习的 | 14% |
云特定的 | 10% |
以资产为中心的 | 8% |
其他 | 2% |
检测类型的增长趋势
明显的趋势是,从原子型检测转向更高级的检测类型。尽管签名和原子型检测可以在低误报率下实现高精度,但它们的泛化能力并不好。也就是说,创建一个具有韧性的检测(能够应对威胁行为者TTPs的变化、提高检测能力,并能经受住不断演变的威胁环境的考验)是至关重要的。通过多重检测并专注于威胁行为者的行为,可以最大程度地给他们带来痛苦,迫使攻击者改变策略以规避检测。
基于行为的检测由于其适应性和在现实场景中的精确性,在受访者中产生了强烈共鸣。这一偏好与对能够解释细微、环境特定活动的检测需求日益增长的趋势相一致。实践中,定制的基于行为的检测使得更快速地识别凭证滥用或异常访问模式成为可能,尤其是在IAM方面。
然而,实施ML解决方案的挑战通常源于其对大量历史数据的依赖以及潜在的误报问题。团队应优先考虑整合混合方法,利用基于行为的模型,同时逐步优化机器学习以提高可扩展性和准确性。
威胁总是在变化,安全工具的检测速度与扫描速度成正比
防御者必须实践深度防御,并专注于新兴威胁的行为。阻止IOC并不足够,因为它们很容易被改变。理解“痛苦金字塔”解释了为什么检测工程至关重要。它突出了检测威胁行为的重要性,这些行为在MITRE框架中有所描述。该框架帮助初学者了解攻击链并构建有效的检测查询。
大多数组织每周或每天更新检测规则和流程
在我们的调查中,超过一半的检测工程师(56%)每天或每周更新检测规则和流程,确保规则经过调整并保持相关性。然而,30%的组织仅在需要时、每季度或甚至每年才更新规则。
您多久更新一次检测规则和流程?
image
定制检测引领潮流
我们询问了调查参与者他们通常使用哪些来源来创建检测规则。大多数检测(42%)是根据组织的独特环境定制构建的。供应商提供的检测排名第二,占37%,但很少有组织仅依赖它们。只有2%完全依赖供应商提供的检测,而15%根本不使用供应商提供的检测。6%的参与者不使用任何定制衍生的检测,32%则不使用任何开源检测。这突显了对量身定制、特定组织需求的检测的明显偏好。
您的检测中有多少百分比来自以下来源?
image
供应商提供的检测有价值,但必须满足广泛的客户需求
安全供应商提供的检测是有价值的,但它们必须面向广泛的客户群体。CISO和SOC经理们正在意识到,需要开发与特定威胁模型对齐的定向检测,这些检测应针对他们独特的环境进行精细调整,利用他们的可见性,并专注于他们面临的最重大威胁。这使得许多组织创建了数千个超越原子指标和基本签名的检测,要求专门的分析师来管理这些检测的创建、维护、组织和测试。
创建定制检测的主要好处
好处 | 百分比 |
|---|---|
更高的准确性,量身定制我们的环境 | 81% |
对检测逻辑的更多控制 | 72% |
创新和测试新想法的能力 | 67% |
更快速地响应新威胁 | 39% |
其他 | 2% |
使用供应商提供的检测的主要挑战
挑战 | 百分比 |
|---|---|
高误报率 | 64% |
在我们环境中准确性问题 | 61% |
缺乏定制灵活性 | 54% |
难以理解检测背后的逻辑 | 43% |
更新或改进的延迟 | 34% |
其他 | 3% |
构建和维护定制检测的主要挑战
挑战 | 百分比 |
|---|---|
资源和时间限制 | 71% |
威胁环境的复杂性 | 53% |
验证有效性的难度 | 49% |
缺乏熟练的人员 | 41% |
其他 | 4% |
检测工程项目需要改进的六个领域
需要改进的领域 | 百分比 |
|---|---|
减少误报率 | 45% |
改进开发和部署检测规则的整个过程的周转时间 | 43% |
自动化检测任务 | 39% |
优化检测规则的准确性 | 38% |
精简工作流程 | 36% |
改进团队之间的协作 | 34% |
数据管理中的黑洞
数据访问和质量成为许多检测工程团队面临的重大障碍。
这一数据瓶颈可能严重限制即使是最先进的检测策略的有效性,突显了整个行业在数据管理实践方面的改进需求。
近一半的受访者报告无法获得进行威胁检测所需的数据
只有45%的受访者报告称他们能够获得进行威胁检测所需的充分数据,这凸显了一个关键挑战。对于企业组织而言,这一问题尤为严重,58%的受访者表示他们无法访问相关数据,或不确定是否具备正确的日志记录来实现检测目标。
您是否认为自己能获得满足威胁检测目标所需的所有数据源/日志记录?
image
数据工程整合差距突显关键能力需求
52%的人表示数据工程是一个有价值的检测工程技能,但他们没有并且需要发展
39%的人认为数据工程是他们组织中的主要检测工程活动
35%的人表示与数据工程团队的整合有限或为零
检测工程的未来
检测工程正处于转型的前沿,人工智能和自动化正在重塑安全团队开发、实施和维护检测能力的方式。
88%的人认为AI将在未来三年内对检测工程产生影响
这一压倒性的共识与现实相符——AI不仅仅是检测工程中的炒作,它正成为基础要素。团队应该开始构建他们的AI路线图,以保持领先地位。尽管如此,检测工程师并不相信过去的“黑箱AI”——那些难以定制、容易产生误报的解决方案更像是“江湖骗子”。而且,AI并不会取代检测工程师。相反,它将帮助他们更快地工作,通过接管那些最不受欢迎的任务,让他们能够专注于更高回报的活动。
您认为AI将在未来三年内对检测工程产生影响吗?
image
45% 的团队目前在其检测工程工作中使用 AI
不到一半的团队已经开始采用 AI,表明仍有足够的空间进行深思熟虑、审慎的采纳,而不是急于投入。安全团队过去曾因安全供应商的 AI 炒作而遭受损失。可以说,这一数据反映了这一历史,并与从小规模开始、战略性地扩展的务实方法相一致。
您在您的检测工程工作中是否使用 AI?
image
检测工程师使用 AI 的不同方式
43% 的检测工程师主要将 AI 用于异常检测,剩余的应用则大致平均分布在规则生成(20%)、告警分流(19%)以及其他用例(18%),这凸显了 AI 在检测工程工作流中被整合的多种方式。
您是如何使用 AI 的?
image
93% 的团队正在使用或计划在其检测工程工作流中使用自动化
绝大多数组织已经在其检测工程工作流中使用自动化,或计划实施自动化,其中近三分之二(63%)的团队已经部署了自动化,表明行业内检测工程过程正朝着自动化转型。
您是否正在使用或计划在您的检测工程工作流中使用自动化?
image
当前自动化与计划自动化的四个主要领域
58%的团队已实施SOAR能力,成为自动化领域中响应最高的部分
开发检测规则和安全数据工程分别排名为计划自动化的首要优先事项,各占44%。紧随其后的是调整现有检测和威胁狩猎,均为42%。
当前自动化
自动化领域 | 百分比 |
|---|---|
自动化与编排 | 58% |
威胁情报集成 | 50% |
事件响应 | 48% |
指标与报告 | 48% |
调整现有检测 | 37% |
安全工具管理 | 36% |
威胁狩猎 | 35% |
开发检测规则 | 30% |
安全数据工程 | 25% |
培训与知识共享 | 20% |
其他 | 2% |
计划自动化
自动化领域 | 百分比 |
|---|---|
开发检测规则 | 44% |
安全数据工程 | 44% |
调整现有检测 | 42% |
威胁狩猎 | 42% |
培训与知识共享 | 42% |
威胁情报集成 | 37% |
指标与报告 | 36% |
事件响应 | 33% |
安全工具管理 | 33% |
自动化与编排 | 31% |
其他 | 9% |
可操作的建议
《2025年检测工程现状报告》揭示了一个快速发展的领域,得到了强有力的领导支持和投资。尽管基于行为的和定制的检测正在上升,以应对误报问题,但团队仍在努力解决数据访问挑战、技能差距、手动过程以及不断向领导层传达检测工程价值的需求。
以下是四条关键建议,帮助您应对这一变化并最大化您的检测工程投资:
01. 检测工程已经获得资金,现在要让它发挥作用。
在我们的调查中,80%的组织正在投资检测工程,但许多领导者仍未完全理解其价值。如果没有清晰的沟通其影响,检测工程可能会被低估或优先级降低。ROI是显而易见的——现在,检测工程团队需要在组织内部上下沟通其价值,并认同那些使其成功的人。
检测工程不仅是一个技术职能,它是一个战略性的业务推动者,且其指标已经开始在董事会层面报告。它直接参与降低风险、支持合规、改善事件响应以及增强组织韧性,尤其在云计算、人工智能和新兴技术使得组织环境日益复杂时。未能充分投资检测工程会带来实际的后果——遗漏、过度调优或失效的规则可能导致安全漏洞,而嘈杂的检测会导致警报疲劳、增加SOC工作量以及更高的人员成本来应对调查和响应。
检测工程团队需要使用有意义的指标来沟通影响,展示您独特环境和威胁优先级的检测效果。弥合技术执行与业务目标之间的差距至关重要,这将把检测工程定位为SOC效率、成本节约和风险降低的驱动因素。跟踪季度和年度进展对于展示价值至关重要。但老实说,“指标与报告”被列为检测工程师最不喜欢的任务。好消息是,使用合适的检测工程工具,很多任务可以自动化。
02. 错误的数据等于错误的检测,解决数据问题。
检测工程的有效性取决于它所依赖的数据,但近一半的受访者报告称无法获得所需的数据。对于企业组织而言,这一挑战更为严重——58%的受访者表示他们无法访问必要的日志记录,或不确定是否拥有合适的日志来实现检测目标。日志存储成本、不一致的保留政策以及分散的数据造成了平衡成本和可见性的权衡,而孤立的团队可能会制造政治壁垒,导致检测工程师无法获得所需的数据。
如果您对高级威胁检测认真投入,请与数据工程和应用团队紧密合作,确保正确的日志能够收集、规范化并随时可用。减少安全团队在获取所需数据时的不必要摩擦。这并不意味着更多的日志,而是更好管理的、具有目的的数据,能够为您独特环境中的准确检测提供支持。如果遗留的日志管理架构因成本上涨而成为障碍,请考虑通过将大量数据流转移到成本效益更高的安全数据湖中来进行补充,这些数据湖可能已经在其他团队中使用。
03. 培养塑造检测工程未来的技能。
检测工程团队不仅在与威胁作斗争,他们还在应对数据过载、过时的流程,并且需要深入了解他们独特的环境,以更好地保护组织。从战术检测到基于行为的检测策略的转变正由高度熟练的团队引领,他们正在应对越来越复杂的威胁。随着他们完善自己的专业技能,他们不仅提升了自身的能力,还推动了整个行业的发展!
基于行为的检测策略需要了解攻击者的操作方式以及他们的数字足迹出现的地方。根据我们的调查,团队识别出几个关键的技能差距,这些差距可以显著提升他们的检测能力:
威胁建模(53%):跨职能合作,提前绘制出您最重要威胁的攻击路径,帮助团队预测攻击者的行动并完善检测策略。
数据工程(52%):了解需要收集、过滤和丰富的数据,确保安全团队在正确的时间获得正确的遥测数据,而不会被噪声淹没。这个技能也有助于安全团队与拥有所需日志的外部团队更好地协作。
软件开发生命周期原则(47%)和检测即代码(46%):这两个技能是相辅相成的。随着检测工程的发展,团队越来越多地采用版本控制、结构化工作流程和可重用的检测逻辑,以保持规则的高效性、一致性和适应性,尤其是在管理跨多个数据平台和安全工具的数百或数千个检测时。
04. 利用Gen AI和自动化。
自动化在检测工程中蓬勃发展,但AI的采纳还在追赶。88%的安全团队相信AI将在2028年对检测工程产生巨大影响,但只有45%的人今天在使用它。我们知道AI炒作无处不在,一些供应商甚至承诺完全自主的SOC。让我们明确一点——AI不会取代检测工程师,但它可以扩展他们的专业知识、改善团队协作并帮助他们更快地工作。曾经需要数小时的任务,如数据收集、处理和理解,现在可以通过GenAI在几分钟内完成。
AI Copilot 充当实时助手,提供查询建议、威胁洞察和上下文感知分析,加速调查过程。GenAI可以简化数据规范化,确保为准确的检测提供更清洁、更结构化的数据流。它还可以自动化文档和操作手册的创建,为SOC分析师提供清晰、一致的调查指导。除了提高效率外,AI还可以帮助检测工程师扩展他们的专业知识——使得某一领域的专家(如终端安全)能够更容易地为新领域(如云安全)构建检测。现在是时候探索GenAI如何支持并提升您的检测工程战略了。关键是谨慎实施,以消除瓶颈并释放团队去专注于更复杂的任务,最终增强他们的检测工程项目的效果。
以上内容编译自 SANS
声明:本文来自RedTeam,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
