Relatório

SANS Detection & Response Survey

Pontos cegos, lacunas na automação e a mudança para a defesa aumentada por IA

The new SANS Detection & Response survey reveals a security landscape under strain. 

  • EDR is used by the majority of organizations, yet overreliance on the endpoint is creating new blind spots.
  • A automação continua a expandir-se, mas a confiança total continua baixa.  
  • As equipas SOC enfrentam um aumento de falsos positivos, escassez de competências e regulamentações cada vez mais rigorosas. 

Descubra por que a deteção deve ocorrer mais cedo na cadeia de ataque, que tipo de análise comportamental deve ser implementada e como a IA deve complementar, e não substituir, os analistas. 

Partilhar este relatório

Principais conclusões

The SANS data uncovers widening gaps caused by endpoint-heavy security postures, rising complexity,
and inconsistent intelligence sharing.

89%

O EDR continua a ser uma ferramenta «abrangente»

O foco intenso nos terminais deixa o perímetro e a entrada na nuvem amplamente desprotegidos,
criando lacunas na detecção pós-comprometimento.

73%

Os falsos positivos estão a aumentar

Os falsos positivos sobrecarregam as equipas SOC, que já enfrentam restrições devido à falta de pessoal.

13%

Adoção total da automação diminui 

Apesar de 90% utilizarem ferramentas de detecção automatizadas, apenas uma pequena parte confia totalmente na resposta automatizada.

Pontos Endpoint

O EDR só oferece visibilidade depois que os ficheiros maliciosos chegam ao terminal. As organizações estão a perder ameaças em fase inicial no perímetro, na nuvem e nos caminhos de movimentação de ficheiros.

Alta adoção, baixa realização

As equipas SOC muitas vezes não confiam na automação porque as ferramentas não se integram aos fluxos de trabalho humanos. Uma automação eficaz deve enriquecer, correlacionar e priorizar — não substituir o julgamento.

Pressão regulatória muda a colaboração

Apenas 37% compartilham regras de detecção externamente, mesmo com a NIS2 e a DORA a pressionarem as organizações a compartilhar incidentes e IOCs obrigatoriamente.

Por que este relatório é importante

A pesquisa revela as mudanças arquitetónicas necessárias para evoluir as capacidades do SOC.
Entenda onde modernizar os pipelines de detecção e como reduzir a carga de trabalho, melhorando a precisão.

Os analistas são
superados pelo ruído

As equipas devem adotar sandboxing comportamental e pesquisa de similaridade de ameaças com aprendizagem automática.

A complexidade expande-se mais rapidamente do que a especialização

Descubra o impacto na segurança da fragmentação multicloud e das lacunas de integração.

A IA deve complementar o talento humano

As equipas de segurança precisam de consultas em linguagem natural, extração automatizada de IOC e correlação de ameaças com base na similaridade.

Fortaleça a sua estratégia de detecção

Obtenha o relatório completo da pesquisa da SANS e saiba como reduzir pontos cegos, ampliar a capacidade dos analistas e adotar um pipeline de detecção em várias camadas.

Descarregar o relatório