Gartner NDR: spostrzeżenia, kluczowe ustalenia i przyszłość (2025)

  • Kluczowe dania na wynos:
  • Jak Gartner definiuje NDR?
    NDR wykorzystuje wewnętrzne czujniki i modele zachowań do wykrywania anomalii w czasie rzeczywistym w przepływach sieciowych wschód-zachód i północ-południe.
  • Jaką lukę w bezpieczeństwie wypełnia NDR?
    Zapewnia wgląd w ruch wewnętrzny, który jest kontrolowany przez zapory sieciowe i SIEMczęsto nie trafiają, zamykając krytyczne martwe pola wykrywania.
  • Jakie trendy rynkowe odnotowuje Gartner?
    NDR szybko się rozwija (≈23% r/r), a główni dostawcy coraz częściej go wdrażają i rozszerzają swoje możliwości.
  • Co to oznacza dla zespołów ds. bezpieczeństwa?
    Raportowanie NDR staje się niezbędne do wielowarstwowej obrony, zwłaszcza w złożonych środowiskach chmurowych i hybrydowych o dużym natężeniu ruchu.

Przewodnik rynkowy NDR firmy Gartner jest kamieniem węgielnym do eksploracji skomplikowanych funkcji i przyszłości rosnącego rynku wykrywania i reagowania na incydenty sieciowe (NDR). Jako stosunkowo nowa część zestawu narzędzi cyberbezpieczeństwa, zespoły ds. bezpieczeństwa szybko rozwijają własną świadomość tego narzędzia: przedstawiając jasny przegląd, ten przewodnik rozpowszechnia badania rynku Gartnera i wywiady z klientami w przystępnym formacie.

Od czasu Raportu rynkowego z 2022 r. coroczne publikacje NDR firmy Gartner odzwierciedlają szybkie zmiany w tej dziedzinie: od 2022 r. 19 reprezentatywnych dostawców do kilkudziesięciu 2024, nawet główni dostawcy cyberbezpieczeństwa, tacy jak Cisco, zaczęli oferować możliwości NDR. Funkcje NDR znacznie się rozwinęły, a raport Gartnera z 2024 r. dostarcza najbardziej wszechstronnej definicji do tej pory.

#tytuł_obrazu

Rozwiązania Gartner® Magic Quadrant™ NDR

Zobacz, dlaczego jesteśmy jedynym dostawcą umieszczonym w kwadrancie Challenger...

Dowiedz się więcej
#tytuł_obrazu

Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!

Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber ​​umożliwiającą natychmiastowe wykrywanie zagrożeń...

Zaplanuj demo

Jak Gartner definiuje NDR?

NDR jest wdrażany w wewnętrznych sieciach organizacji: jego czujniki pobierają surowe dane pakietowe wraz z wszelkimi powiązanymi metadanymi i składają je w szczegółowy model codziennych zachowań każdej sieci. Ten model behawioralny umożliwia natychmiastowe wykrywanie nieprawidłowej aktywności w ruchu sieciowym zarówno wewnętrznym (wschód-zachód), jak i zewnętrznym (północ-południe). Dostarczane za pośrednictwem mieszanki czujników sprzętowych i programowych, wdrożenia NDR są zarządzane za pośrednictwem konsol orkiestracyjnych, podczas gdy ich alerty mogą być wprowadzane do istniejących wcześniej pulpitów nawigacyjnych przepływu pracy, a od 2024 r. – do zautomatyzowanych podręczników.

Aby lepiej zdefiniować, czym jest NDR, Gartner uwzględnia komponenty, które wykluczają produkt z list NDR. Niektóre z tych funkcji wykluczających obejmują narzędzia, które wymagają platformy wstępnej – na przykład wymagające SIEM lub zapory sieciowej do działania; nie spełnia to kryteriów autonomii, które są kluczowe dla NDR. Podobnie platformy, które priorytetowo traktują analizę sieci poprzez rozbudowane przechowywanie danych PCAP i analizę retrospektywną – zamiast wykrywania w czasie rzeczywistym – nie spełniają wymagań NDR w zakresie identyfikacji zagrożeń w czasie rzeczywistym. Wreszcie, specjalistyczne rozwiązania stworzone wyłącznie dla systemów cyberfizycznych lub analizy logów również odbiegają od sieciocentrycznego podejścia NDR do analizy behawioralnej.

Jaką lukę rynkową wypełnia NDR?

Ponieważ NDR jest tak nowym rozwiązaniem, warto umieścić je w szerszym kontekście innych narzędzi bezpieczeństwa. Gartner porównuje je z niektórymi wielofunkcyjnymi platformami bezpieczeństwa, powszechnie stosowanymi obecnie, takimi jak Security Information and Event Management (SIEM) i zapór sieciowych. SIEM koncentruje się na gromadzeniu, normalizacji i analizowaniu logów z niezwykle szerokiego zakresu źródeł; zapory sieciowe z kolei śledzą pakiety danych przesyłane do lub z wcześniej ustalonych sieci organizacji. Podczas gdy SIEM zapewnia zespołom ds. bezpieczeństwa pojedynczą centralną platformę, brak wyspecjalizowanego punktu centralnego sprawia, że ​​jest to generator alertów o dużej liczbie użytkowników; zapory sieciowe, choć specyficzne dla bezpieczeństwa sieci,
zapewniają widoczność w kierunku północ-południe. Rezultatem jest martwy punkt wokół sposobu, w jaki sieci wewnętrznie udostępniają dane.

To jest luka rynkowa, którą NDR-y mają na celu załatać: samodzielne narzędzia NDR zapewniają granularność analityki sieciowej, która w innym przypadku jest nieosiągalna. Do 23% wzrostu rynku rok do roku przyczynia się dostępny proces wdrażania i ciągły rozwój funkcji poszczególnych dostawców.

Dlaczego nie ma Magicznego Kwadrantu NDR?

Jeśli chodzi o poszczególnych dostawców oferujących narzędzia NDR, Gartner zwykle porównuje je za pomocą Magic Quadrant, który pozycjonuje dostawców technologii na podstawie dwóch kluczowych kryteriów: kompletności wizji i zdolności do realizacji. Następnie wizualnie mapuje dostawców w dwuwymiarowej siatce podzielonej na cztery kwadranty: liderzy, pretendenci, wizjonerzy i gracze niszowi. W chwili pisania tego tekstu nie opublikowano jeszcze żadnego Magic Quadrant dla dostawców NDR.

Choć jest to przydatne narzędzie dla potencjalnych klientów NDR, należy pamiętać, że Gartner rozpoznał rynek NDR dopiero w 2020 r. Od tego czasu firma nadal koncentruje się na corocznych przewodnikach rynkowych: oceniają one nowych i wschodzących dostawców na rynku, porównują ich z rzeczywistymi opiniami klientów Gartnera i pomagają ustalić legalność rozwiązania i jego długoterminową trwałość.

Ostatecznie, aby umożliwić analizę porównawczą, Magic Quadrant wymaga, aby rynek osiągnął wystarczającą dojrzałość, dostawcy się zróżnicowali, a klienci przyjęli ofertę.

Przewodnik rynkowy Gartnera po podstawowych funkcjach NDR

Ponieważ różni dostawcy NDR twierdzą, że oferują szeroką gamę funkcji i platform, kluczowe jest dokładne zdefiniowanie, co obejmuje NDR. U podstaw rozwiązania NDR muszą znajdować się szerokie możliwości widoczności, wykrywania i reagowania w sieciach fizycznych, wirtualnych i hybrydowych. Ponieważ Gartner znajduje się na pierwszej linii między organizacjami a ich projektami wdrażania NDR, jest w dobrej pozycji, aby dokładnie określić, które funkcje najlepiej to obsługują.

Obowiązkowe funkcje NDR

Poniższe funkcje są absolutnie konieczne, aby narzędzie spełniło kryteria Gartnera dotyczące raportu NDR.

  • Kompleksowa widoczność ruchu: Ta funkcja opiera się na zdolności NDR do wyodrębniania metadanych, takich jak adresy IP, protokoły i szczegóły ładunku, z surowej aktywności sieciowej. Jest to osiągane poprzez wdrożenie czujników w infrastrukturach lokalnych, chmurowych i hybrydowych.
  • Monitorowanie dwukierunkowe: Jest to ciągła analiza ruchu sieciowego zarówno północ-południe, jak i wschód-zachód. Osiągnięta przez wieloaspektowe typy czujników, takie jak odczepy sieciowe dla kierunkowości wschód-zachód i NetFlow dla danych północ-południe.
  • Techniki wykrywania zachowań: Opisuje to trwającą identyfikację anomalii za pomocą uczenia maszynowego i analityki, niezależnie od statycznych sygnatur ataków. Osiągnięto to poprzez wysyłanie metadanych pakietów do centralnego algorytmu uczenia maszynowego, który może dopasować wzorce zebranego zachowania sieciowego do możliwych strategii ataku.
  • Ustalanie linii bazowej i wykrywanie anomalii: Jest to statystyczne modelowanie zachowania sieci w czasie, którego ostatecznym celem jest identyfikacja odchyleń i sygnalizowanie podejrzanej aktywności. Wykorzystuje wszystkie zebrane metadane do zbudowania profilu normalnej, codziennej aktywności sieciowej.
  • Korelacja alertów: Zamiast oznaczać każde odchylenie od normy jako alert – co mogłoby prowadzić do zmęczenia alertami – Gartner podkreśla konieczność agregowania przez NDR poszczególnych alertów w spójne incydenty. Osiąga się to dzięki algorytmowi NDR, który musi być w stanie powiązać nieoczekiwaną aktywność sieciową z rzeczywistymi oznakami naruszenia. Często jest to udoskonalane poprzez integrację z innymi. SOC narzędzia.
  • Możliwości automatycznej i ręcznej reakcji: Podobnie jak ostatnia funkcja była krytyczna dla usunięcia zmęczenia alertami, Gartner podkreśla, że ​​NDR nie może nadmiernie obciążać zasobów zespołu ds. bezpieczeństwa swoimi możliwościami reagowania. Rezultatem jest zapotrzebowanie na szerokie możliwości reagowania: ręczne odpowiedzi można zidentyfikować w fazie korelacji alertów, podczas gdy zautomatyzowane odpowiedzi mogą wymagać integracji z narzędziami do ograniczania i blokowania, takimi jak zapora sieciowa lub IPS. 
  • Tradycyjne metody wykrywania: Wreszcie Gartner zdaje sobie sprawę, że sama analiza behawioralna może nie wystarczyć: NDR może również wykorzystywać podpisy IDPS, heurystykę i alerty oparte na progach, aby wykorzystać wiele warstw weryfikacji zagrożeń. Wymaga to również integracji z zewnętrznymi kanałami wywiadowczymi dotyczącymi zagrożeń.

Opcjonalne funkcje NDR

Biorąc pod uwagę tak szeroki zakres konkretnych przypadków użycia, Gartner wskazuje również na poniższe funkcje, które mogą być opcjonalne w zależności od unikalnej architektury sieciowej poszczególnych klientów.  

  • Monitorowanie ruchu IaaS: Coraz ważniejsze staje się zapewnienie wglądu w środowiska infrastruktury jako usługi: niektóre rozwiązania NDR zapewniają ten dostęp poprzez wdrażanie lekkich czujników w środowisku IaaS, które następnie odzwierciedlają ruch między obciążeniami w chmurze.
  • Integracja SaaS: Najsłabszym punktem niektórych narzędzi NDR, Gartner zauważa, że ​​niektóre NDR umożliwiają wykrywanie i analizowanie ruchu do aplikacji opartych na SaaS. To monitorowanie aplikacji opartych na SaaS jest najczęściej realizowane przez łączniki API; Microsoft 365 jest jedną ze szczególnie popularnych integracji NDR API.
  • Pobieranie dziennika i SOC Wsparcie: Funkcjonalność ta zapewnia narzędziu NDR większą elastyczność, ponieważ zapewnia pulpit nawigacyjny i powiązane przepływy pracy, za pomocą których SOC Zespoły mogą przeglądać i analizować alerty. Ta bezpośrednia interakcja odbywa się z poziomu konsoli NDR.
  • Przechwytywanie pełnego pakietu (PCAP): Pliki PCAP rejestrują surowy ruch sieciowy, przechwytując nagłówki, ładunek i metadane każdego pakietu. Dane te mogą służyć jako „prawda podstawowa” dla aktywności sieciowej i umożliwiać NDR-om odbudowę konwersacji sieciowych zgodnie ze specyficznymi taktykami atakującego.
  • Jednak PCAP nie jest stałą koniecznością, ponieważ jest niezwykle obszerny i może wymagać procesu deszyfrowania wymagającego dużych zasobów. W rezultacie PCAP jest pozycjonowany jako coś miłego do posiadania – a dostawcy NDR, którzy oferują tę funkcję, muszą również mieć na uwadze skalowalność i długoterminowe przechowywanie. 
  • Narzędzia wyszukiwania oparte na sztucznej inteligencji: Wraz ze wzrostem liczby paneli NDR Gartner zauważył również zwiększony nacisk na funkcje wyszukiwania wspomagane przez AI. Inteligentni asystenci zasilani przez Large Language Model (LLM) mogą pozwolić analitykom na przeszukiwanie platform NDR, co wspiera szybsze wyszukiwanie zagrożeń i generowanie raportów.
  • EDR i SIEM Integracja: Biorąc pod uwagę, że EDR i SIEM Oba stanowią głębokie źródła informacji o zagrożeniach, a integracja NDR z nimi ma na celu uzyskanie dokładniejszej korelacji alertów. Na przykład, odkrycie wzorców ruchu bocznego przez NDR może zostać potwierdzone alertami EDR dotyczącymi wykonania złośliwego oprogramowania z tego samego przedziału czasowego. Uzyskany w ten sposób alert z odniesieniami krzyżowymi pozwala analitykowi znacznie szybciej zagłębić się w incydent.
  • Strojenie po alercie: Ponieważ analiza behawioralna może zwiększyć liczbę fałszywych alarmów, strojenie po alercie jest niezbędne, aby zapewnić, że NDR stanie się wiarygodnym źródłem sygnału. Czasami osiąga się to poprzez porównanie PCAP, w którym model behawioralny weryfikuje się sam, a zatem dostosowuje własną logikę wykrywania. Strojenie ręczne może być również niezbędną częścią tego, a niektórzy dostawcy NDR oferują opcje jednym kliknięciem, aby oznaczyć niedokładne alerty.

Ten kompleksowy zestaw możliwości zapewnia, że ​​systemy NDR mogą służyć zarówno jako silniki detekcji, jak i centra orkiestrowanej odpowiedzi. Mając na uwadze te funkcje, raport Gartnera kontynuuje ustanawianie pewnych kluczowych zmian w krajobrazie NDR.

Zalecenia Gartnera dotyczące wyboru NDR

Ponieważ Gartner jest pozycjonowany jako doradca branżowy, jego zalecenia dotyczące wyboru raportu NDR mogą być kluczowe dla osób dopiero rozpoczynających pracę w tej dziedzinie.

Utwórz przepływ pracy

W przypadku każdego dostawcy należy rozważyć, czy alerty jego narzędzia muszą być zarządzane za pośrednictwem natywnej konsoli NDR, czy też mogą być kierowane do narzędzi innych firm w celu scentralizowanego powiadamiania i reagowania. Równie ważne jest zrozumienie możliwości integracji rozwiązania z technologiami egzekwowania — takimi jak zapory korporacyjne lub systemy kontroli dostępu do sieci. Umożliwiają one zautomatyzowane lub skoordynowane odpowiedzi w całym szerszym stosie zabezpieczeń.

Zidentyfikuj wspólną metrykę

Biorąc pod uwagę, że różne platformy NDR opierają się na mieszance technik wykrywania – od analizy behawioralnej po metody oparte na sygnaturach – ustalenie wspólnej podstawy do porównania jest niezbędne. Ocena dostawców powinna wykraczać poza listy kontrolne funkcji i koncentrować się na jakości i zakresie ich możliwości wykrywania. Metryki takie jak „procent krytycznych incydentów wykrytych przez NDR” mogą stanowić znaczący punkt odniesienia, pomagając zespołom ds. bezpieczeństwa oceniać skuteczność różnych rozwiązań z przejrzystością i spójnością.

Inne przejrzyste, uzasadnione wskaźniki mogą obejmować wskaźniki fałszywych alarmów, średni czas klasyfikowania alertów lub poprawę szybkości wykrywania oprogramowania ransomware — wszystkie te wskaźniki zapewniają bardziej ugruntowaną podstawę do porównywania produktów różnych dostawców.

Określ, w jaki sposób zarządza się fałszywymi wynikami pozytywnymi

Technologie wykrywania anomalii behawioralnych – w tym NDR – z natury wiążą się z większym ryzykiem fałszywych wyników pozytywnych. Oceniając dostawców, kluczowe jest oszacowanie zdolności każdego z nich do minimalizowania tego szumu. Szukaj dostawców z ugruntowaną historią wspierania dostrajania – czy to poprzez dostosowywalne progi, adaptacyjne uczenie się, czy też dostosowane profilowanie behawioralne – szczególnie w organizacjach podobnych do Twojej.

Określ swoje wymagania dotyczące automatyzacji

Dostawcy NDR często wyróżniają się tym, gdzie kładą nacisk w cyklu życia odpowiedzi. Niektórzy priorytetowo traktują działania zautomatyzowane, takie jak wydawanie poleceń zaporom sieciowym w celu blokowania podejrzanego ruchu, podczas gdy inni bardziej koncentrują się na wzbogacaniu ręcznego przepływu pracy reagowania na incydenty, oferując solidne wsparcie dla dochodzeń i integrując zaawansowane możliwości polowania na zagrożenia. Zrozumienie tej równowagi jest kluczowe dla wyboru rozwiązania, które jest zgodne ze stylem operacyjnym i dojrzałością zespołu ds. bezpieczeństwa, niezależnie od tego, czy jest ono napędzane automatyzacją, czy też skoncentrowane na podejmowaniu decyzji przez analityków.

Określ, czy potrzebujesz NDR, czy XDR

Dzisiejsze ekosystemy sieciowe są niezwykle zróżnicowane – skuteczne strategie NDR zapewniają dostęp do narzędzi, które dostosowują się do specyficznych ryzyk i potrzeb każdego środowiska. Wraz z ewolucją NDR XDR, dlatego często konieczne jest analityczne spojrzenie na procesy organizacji: dogłębna widoczność na poziomie sieci jest wyjątkowo cenna w sieciach hybrydowych i mocno obciążonych OT. Z drugiej strony, jeśli ręczne procesy bezpieczeństwa spowalniają cały system, XDR może zapewnić podstawowe możliwości NDR, a jednocześnie jeszcze bardziej skonsolidować sygnały z punktów końcowych, tożsamości, wiadomości e-mail i sieci w ramach jednego środowiska wykrywania i reagowania.

Oceń, gdzie znajdują się Twoje martwe punkty w wykrywaniu zagrożeń. Jeśli zasięg punktów końcowych jest silny, ale widoczność sieci jest ograniczona, NDR może wypełnić krytyczną lukę. Jeśli zarządzasz wieloma odizolowanymi narzędziami i zmagasz się z przeciążeniem alertami lub długim czasem reakcji, XDRZintegrowane podejście może przynieść większą wartość – zwłaszcza jeśli pozwoli zastąpić i skonsolidować przestarzałe narzędzie.

Rozwój hybrydowego NDR

Rynek NDR przeszedł już duże zmiany od momentu swojego powstania w 2020 r.: nagły wzrost pracy zdalnej w tym roku spowodował nowe zapotrzebowanie na monitorowanie ruchu sieciowego wszędzie tam, gdzie występują użytkownicy i obciążenia. W rezultacie ustalenia dotyczące pracy z domu zmieniły wzorce ruchu ze wschodu na zachód na północ-południe i spowodowały powszechne przyjęcie dwukierunkowej analizy NDR.

Konwergencja IT i OT to ważny plan działania dla niektórych organizacji: w 2024 r. nastąpiła znacząca ekspansja możliwości NDR, aby to objąć. I to z dobrego powodu – NDR jest wyjątkowo dobrze przystosowany do monitorowania aktywności urządzeń Internetu rzeczy (IoT), które nie mogą obsługiwać lokalnych agentów oprogramowania EDR lub IPS. Oprócz monitorowania bez agentów, świadomość protokołu NDR pozwala również na mapowanie protokołów specyficznych dla OT, takich jak Modbus TCP, i protokołów specyficznych dla IT, takich jak HTTPS, i szczegółowe opisanie, w jaki sposób każdy z nich oddziałuje w sieci.

Inne hybrydowe rozwiązania NDR cechują się stałym naciskiem na bezproblemową integrację z narzędziami EDR. Oba narzędzia mają indywidualnie granularne, ściśle ograniczone punkty ogniskowe, z algorytmami ML, które są trenowane wyłącznie na podstawie wzorców ataków każdego środowiska. Ta wspólna architektura sprawia również, że oba rozwiązania są wysoce kompatybilne, a niektórzy dostawcy NDR już zaczęli oferować oba.

Jaka jest przyszłość rynku NDR?

Przyszłość rynku wyznacza dynamiczna zmiana w kierunku bardziej wszechstronnych i szeroko zintegrowanych NDR-ów. Zamiast pozostawać samodzielnymi narzędziami skupionymi wyłącznie na analizie wzorców ruchu, rozwiązania NDR coraz częściej obsługują szersze pasma rurociągu reagowania na incydenty.

Jednym z kluczowych kierunków jest wzrost obrony w głąb. Tutaj platformy NDR integrują silniki wykrywania oparte na sygnaturach, takie jak Zeek lub Suricata, które są tradycyjnie spotykane w rozwiązaniach wykrywania i reagowania na włamania. Ta modułowa konstrukcja rozwiązania – i większa liczba integracji – widzi rosnącą obecność NDR jako drugorzędną linię obrony.

Coraz więcej nowatorskich dostawców NDR przesuwa granicę między NDR, EDR i IDS, tworząc narzędzia NDR, które stanowią część rozszerzonego systemu wykrywania i reagowania (XDR) strategia. Integracja telemetrii sieciowej z sygnałami z punktów końcowych i źródeł tożsamości coraz bardziej przesuwa NDR w stronę XDR przestrzeń. Ta konwergencja usprawnia wykrywanie międzydomenowe, umożliwiając bardziej holistyczną widoczność zagrożeń. To również główny powód, dla którego niektórzy dostawcy NDR pozycjonują SIEM narzędzia jako konkurenci, ponieważ XDR możliwości są coraz bardziej ograniczone SIEM Oferty.

Wreszcie, pojawienie się narzędzi opartych na LLM sprawia, że ​​NDR staje się potencjalnym rozwiązaniem front-end dla operacji bezpieczeństwa, w których narracje dotyczące incydentów i wnioski z szybkiego śledztwa stają się centralnym punktem doświadczenia analityka.

W miarę rozwoju NDR jego trajektoria odzwierciedla coraz powszechniejsze dążenie do konwergencji, kontekstu i automatyzacji w obszarze cyberbezpieczeństwa.

Jak Stellar Cyber ​​przesuwa granicę między NDR a XDR

Stellar Cyber ​​zapewnia NDR i XDR możliwości jako część swojego ujednoliconego XDR platforma łącząca dwukierunkowe wykrywanie zorientowane na sieć z międzydomenową ochroną przed zagrożeniami i reagowaniem na nie. Jako Open XDR, jest w stanie wdrożyć czujniki NDR, a także pobierać dane dotyczące bezpieczeństwa i alertów z dowolnych innych narzędzi bezpieczeństwa. Następnie stosuje kilka warstw analizy, aby skoordynować te alerty w kompletne incydenty, w tym identyfikować możliwe wzorce MITRE ATT&CK. Na koniec zautomatyzowane playbooki umożliwiają automatyczne usuwanie zagrożeń.

W rezultacie OtwórzXDR Zapewnia szczupłym zespołom kompleksową i wysoce adaptacyjną platformę zapewniającą pełne bezpieczeństwo w całej organizacji. Poznaj dostępne pulpity nawigacyjne i przepływy pracy Stellar Cyber. z dzisiejszą demonstracją.

Brzmi zbyt dobrze, żeby...
Mów prawdę?
Zobacz to sam!

Poproś o demo
Przewiń do góry
Zarejestruj się, aby otrzymywać biuletyny