文章总结： SANS2025报告显示AI与自动化正重塑检测响应领域，76%组织计划扩大AI/ML应用以弥补人力缺口。云安全检测转向专业第三方工具，MITREATT&CK框架普及率持续上升。尽管面临误报率高、技能短缺及预算限制等严峻挑战，企业仍致力于提升指标管理并构建主动智能的韧性安全体系，推动安全运营向自动化与情报驱动转型。 综合评分： 84 文章分类： 威胁情报,安全运营,AI安全,安全建设,云安全

SANS 2025网络安全检测与响应报告

原创

XaelC

SecLink安全空间

2025年12月31日 08:25 上海

全文共计1956字，预计阅读10分钟

在数字化转型持续深化、云环境普及与威胁手段日益复杂的当下，网络安全检测与响应能力成为企业抵御风险的核心屏障。近日，SANS研究所发布《2025年网络安全检测与响应调查》，基于全球多行业受访者的真实反馈，揭示了当前安全团队面临的挑战与未来发展趋势。

一、核心趋势：技术落地与战略升级并行

1. AI从”实验”走向”实战”，自动化成刚需

报告显示，AI和机器学习（ML）的应用已实现关键跨越——76%的组织计划扩大AI/ML在检测与响应中的使用，较去年的67%显著提升。其中，自动化威胁狩猎（73%）、预测分析（68%）成为重点方向，标志着AI不再是实验室中的概念，而是逐步成为提升安全运营效率的核心引擎。

自动化工具的普及率持续走高，2025年近90%的组织依赖自动化工具进行威胁检测，较2024年的87%稳步上升。大型企业（员工超1.5万人）更是接近全员采用，而AI/ML技术的使用率也从39%增至45%，成为弥补人力缺口的关键手段。

图1：2024-2025年网络威胁检测方式对比（数据来源：SANS 2025检测与响应调查）

2. 云安全转向”专业化”，第三方工具成主流

随着多云环境的普及，云安全检测的复杂性持续升级。报告指出，20%的受访者认为第三方安全解决方案”极其有效”，较去年的17%提升明显，而”无效”评价降至11%。反观自研工具，”极其有效”的评分从19%骤降至14%，显示企业正逐渐放弃资源消耗大的自研方案，转向可扩展的专业化工具。

图2：云基础设施威胁检测工具有效性对比（数据来源：SANS 2025检测与响应调查）

3. 指标体系日趋成熟，聚焦”质效并重”

企业对检测与响应的量化管理意识显著提升：64%的组织跟踪检测到的事件数量，62%测量平均响应时间（MTTR），56%监测平均检测时间（MTTD），较去年均有改善。值得注意的是，误报率（43%）和平均关闭时间（MTTC，41%）的跟踪比例大幅上升，说明企业不再只追求”检测速度”，更注重”响应精度”和”处理效率”。

MITRE ATT&CK®矩阵成为检测覆盖评估的主流框架，78%的组织采用该工具，较去年的74%持续增长，彰显行业对标准化检测体系的认可。

图3：检测与响应的KPI（数据来源：SANS 2025检测与响应调查）

二、顽固痛点：这些问题仍在困扰安全团队

1. 误报率飙升，成最大运营负担

误报问题在2025年进一步加剧：73%的受访者将其列为检测工作的主要挑战，较去年的64%大幅上升；20%的组织表示”频繁遭遇高频率误报”，较去年的13%显著增加。大量无效警报不仅占用分析师精力，更给攻击者提供了可乘之机，严重影响响应效率。

图4：2024-2025年检测网络威胁的主要挑战（数据来源：SANS 2025检测与响应调查）

2. 资源缺口持续，响应效率待提升

应对网络威胁仍然十分复杂，技能缺口（56%）和团队协作（55%）持续位居挑战榜单前列。响应时间问题显著上升，从去年的45%增至53%，表明许多团队难以跟上更快、更复杂的威胁节奏。工具限制（39%）和监管压力（26%）也日益突出，反映出运营敏捷性和合规要求正在考验即便是成熟的网络安全项目。

预算限制仍是维持有效检测与响应能力的主要障碍：56%的受访者将其列为首要挑战，另有25%将其排在第二位，体现出在人员配备、工具采购和流程改进方面的资金持续紧张。人才招聘与留任紧随其后，超过一半的受访者将其列为前两大挑战之一，凸显出资金和专业人才仍是提升运营成熟度的关键要素。

图5：2024-2025年检测网络威胁的主要挑战（数据来源：SANS 2025检测与响应调查）

三、未来展望：谨慎乐观，聚焦三大方向

人工智能（AI）和机器学习（ML）在威胁检测与响应中的应用持续加速，76%的受访者计划扩大其使用范围，高于去年的67%。其中，自动化威胁狩猎的增长最为显著，达到73%；预测性分析（68%）和高级关联引擎（65%）也获得更广泛应用，反映出安全运营正从被动响应转向更主动、以情报驱动的模式。这些发现表明，AI已不再是实验性技术，而正日益成为实现更快、更具适应性的安全响应的核心支撑。

关于未来几年自动化在检测与响应中角色的演变，2025年对自动化的期待达到新高：47%的受访者预计其作用将显著增强，明显高于去年的36%。另有37%预计会有适度增长，这进一步说明大多数组织将自动化视为未来能力建设的关键驱动力，而非边缘性补充。若这些计划得以实施，安全团队将能以更高的速度和一致性应对不断增长的告警数量和日益复杂的威胁。

图6：2024-2025年检测网络威胁的未来展望（数据来源：SANS 2025检测与响应调查）

在云环境下的检测与响应方面，组织仍高度重视人员能力准备：68%的机构计划加强安全团队培训，虽略低于去年。最大的增长出现在AI与ML的集成应用上，比例从52%上升至64%，体现出向更自动化、自适应防御策略的转变。与此同时，定制化解决方案的开发比例从37%下降至31%，表明许多团队正倾向于采用可扩展、由厂商支持的方案，而非耗费资源的内部自研系统。

图7：2024-2025年检测网络威胁的未来展望（数据来源：SANS 2025检测与响应调查）

结语

2025年调查显示，全球安全团队正积极进化其检测与响应能力，融合自动化、AI、行为分析与人工研判，从被动防御转向主动、智能、协作的韧性安全体系。尽管面临技能短缺、资源紧张等挑战，组织普遍加大在培训、流程和技术上的投入，强调精准响应与业务连续性的平衡。整体趋势表明，安全运营正变得更快速、更智能、更具前瞻性，为应对未来威胁奠定了坚实基础。

（注：文中配图均源自SANS 2025 Detection and Response Survey）

请关注SecLink安全空间获取我们最新的更新

欢迎加入SecLink安全空间微信群探讨安全问题！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecLink安全空间 XaelC《SANS 2025网络安全检测与响应报告》