Gartner NDR: Аналітика, ключові висновки та майбутнє (2025)

  • Ключові виноски:
  • Як Gartner визначає NDR?
    NDR використовує внутрішні датчики та моделі поведінки для виявлення аномалій у режимі реального часу в мережевих потоках схід-захід та північ-південь.
  • Яку прогалину в безпеці заповнює NDR?
    Це забезпечує видимість внутрішнього трафіку, який використовуються брандмауерами та SIEMчасто промахуються, закриваючи критично важливі сліпі зони виявлення.
  • Які ринкові тенденції відзначає Gartner?
    NDR швидко зростає (≈23% у річному обчисленні), зі збільшенням впровадження та розширенням можливостей серед основних постачальників.
  • Що це означає для команд безпеки?
    NDR стає важливим для багаторівневого захисту, особливо у складних, хмарних та гібридних середовищах з високим трафіком.

Довідник ринку NDR від Gartner є наріжним каменем для дослідження складних функцій та майбутнього зростаючого ринку мережевого виявлення та реагування (NDR). Як відносно нова частина інструментарію кібербезпеки, команди безпеки швидко розвивають власну обізнаність про цей інструмент: цей посібник, представляючи чіткий огляд, поширює дослідження ринку Gartner та інтерв'ю з клієнтами у доступному форматі.

Починаючи з виходу Звіту про ринок за 2022 рік, щорічні публікації Gartner про нестандартні рішення (NDR) відображають швидкі зміни в цій галузі: з 2022 року 19 представників-постачальників До кількох десятків років 2024 року навіть великі постачальники кібербезпеки, такі як Cisco, почали пропонувати можливості NDR. Функції NDR значно зросли, і звіт Gartner за 2024 рік містить найповніше визначення на сьогоднішній день.

#заголовок_зображення

Рішення Gartner® Magic Quadrant™ NDR

Дізнайтеся, чому ми єдиний постачальник, який знаходиться в квадранті «Челленджер»...

Детальніше
#заголовок_зображення

Відчуйте безпеку на базі штучного інтелекту в дії!

Відкрийте для себе передовий штучний інтелект Stellar Cyber ​​для миттєвого виявлення загроз...

Графік демонстрації

Як Gartner визначає NDR?

NDR розгортається у внутрішніх мережах організації: її сенсори потім отримують необроблені пакетні дані разом із будь-якими пов’язаними метаданими та збирають їх у детальну модель щоденної поведінки кожної мережі. Ця поведінкова модель дозволяє негайно виявляти аномальну активність як у внутрішньому (схід-захід), так і в зовнішньому (північ-південь) мережевому трафіку. Розгортання NDR, що здійснюється за допомогою поєднання апаратних та програмних датчиків, керується через консолі оркестрації, тоді як їхні сповіщення можуть бути введені в існуючі панелі керування робочими процесами та – станом на 2024 рік – в автоматизовані плейбуки.

Щоб краще визначити, що таке NDR, Gartner включає компоненти, які виключають продукт зі списків NDR. Деякі з цих виключаючих функцій включають інструменти, які залежать від обов'язкової платформи, такі як вимога… SIEM або брандмауер для роботи; це не відповідає критеріям автономності, що є центральним для NDR. Аналогічно, платформи, які надають пріоритет мережевій криміналістиці за допомогою обширного сховища PCAP та ретроспективного аналізу, а не виявлення в режимі реального часу, не відповідають вимогам NDR щодо виявлення загроз у режимі реального часу. Нарешті, спеціалізовані рішення, створені виключно для кіберфізичних систем або аналізу журналів, також відрізняються від мережеорієнтованого підходу NDR до поведінкового аналізу.

Яку ринкову прогалину заповнює NDR?

Оскільки NDR – це таке нове рішення, корисно розглянути його в ширшому контексті інших інструментів безпеки. Gartner порівнює його з деякими багатофункціональними платформами безпеки, що регулярно розгортаються сьогодні, такими як Security Information and Event Management (SIEM) та брандмауери. SIEM зосереджується на зборі, нормалізації та аналізі журналів з надзвичайно широкого кола джерел; брандмауери, з іншого боку, відстежують пакети даних, що надходять до або з попередньо встановлених мереж організації. Хоча SIEM надає командам безпеки єдину централізовану платформу, відсутність спеціалізованого координатора робить його генератором великої кількості сповіщень; брандмауери, хоча й специфічні для мережевої безпеки, лише
забезпечують видимість з півночі на південь. Результатом є сліпа пляма щодо того, як мережі внутрішньо обмінюються даними.

Це та прогалина на ринку, яку прагнуть заповнити інструменти NDR: окремі інструменти NDR забезпечують таку деталізацію мережевої аналітики, яка інакше була б недосяжною. 23% річному зростанню ринку сприяє доступний процес розгортання та постійний розвиток функцій окремих постачальників.

Чому немає магічного квадранта NDR?

Що стосується окремих постачальників, які пропонують інструменти для NDR, звичайний формат порівняння Gartner — це їхній Магічний квадрант, який позиціонує постачальників технологій на основі двох ключових критеріїв: повноти бачення та здатності до реалізації. Потім він візуально відображає постачальників у двовимірній сітці, розділеній на чотири квадранти: лідери, претенденти на перемогу, візіонери та нішеві гравці. На момент написання статті ще не було опубліковано жодного Магічного квадранта для постачальників NDR.

Хоча це корисний інструмент для потенційних клієнтів NDR, важливо пам’ятати, що Gartner визнав ринок NDR лише у 2020 році. Відтоді вони зосереджуються на щорічних ринкових довідниках: вони оцінюють нових та перспективних постачальників на ринку, порівнюють їх з реальними даними клієнтів Gartner та допомагають встановити легітимність рішення та його довгострокову стійкість.

Зрештою, для проведення порівняльного аналізу, Магічні квадранти вимагають, щоб ринок досяг достатньої зрілості, диференціації постачальників та прийняття клієнтами.

Маркетинговий посібник Gartner щодо основних функцій NDR

Оскільки різні постачальники NDR заявляють про широкий спектр функцій та платформ, вкрай важливо точно визначити, що включає NDR. За своєю суттю, рішення NDR повинні забезпечувати широкі можливості видимості, виявлення та реагування у фізичних, віртуальних та гібридних мережах. Оскільки Gartner знаходиться на передовій між організаціями та їхніми проектами впровадження NDR, вони мають гарні можливості для точного визначення того, які функції найкраще це підтримують.

Обов’язкові функції NDR

Наведені нижче функції є абсолютно необхідними для того, щоб інструмент відповідав критеріям Gartner щодо NDR.

  • Комплексна видимість дорожнього руху: Ця функція залежить від здатності NDR витягувати метадані, такі як IP-адреси, протоколи та деталі корисного навантаження, з необробленої мережевої активності. Це досягається шляхом розгортання датчиків у локальних, хмарних та гібридних інфраструктурах.
  • Двонаправлений моніторинг: Це безперервний аналіз руху мережі як з півночі на південь, так і зі сходу на захід. Досягається за допомогою багатогранних типів датчиків, таких як мережеві відгалуження для спрямованості схід-захід та NetFlow для даних з півночі на південь.
  • Методи виявлення поведінки: Це описує постійну ідентифікацію аномалій за допомогою машинного навчання та аналітики, незалежно від статичних сигнатур атак. Досягається шляхом надсилання метаданих пакетів до центрального алгоритму машинного навчання, який може зіставити шаблони зібраної поведінки мережі з можливими стратегіями атаки.
  • Базове визначення та виявлення аномалій: Це статистичне моделювання поведінки мережі з часом, кінцевою метою якого є виявлення відхилень та позначання підозрілої активності. Воно використовує всі зібрані метадані для створення профілю звичайної щоденної мережевої активності.
  • Кореляція сповіщень: Замість того, щоб позначати будь-яке відхилення від норми як сповіщення, що може призвести до втоми від сповіщень, Gartner наголошує на необхідності для NDR об'єднувати окремі сповіщення в цілісні інциденти. Цього досягає алгоритм NDR, який повинен мати змогу пов'язувати неочікувану мережеву активність зі справжніми ознаками компрометації. Часто це покращується завдяки інтеграції з іншими... SOC інструментів.
  • Можливості автоматизованого та ручного реагування: Так само, як остання функція була критично важливою для усунення втоми від сповіщень, Gartner підкреслює, що звіт про недоставку не може надмірно навантажувати ресурси команди безпеки своїми можливостями реагування. Результатом є попит на широкі можливості реагування: ручні відповіді можна ідентифікувати на етапі кореляції сповіщень, тоді як автоматизовані відповіді можуть потребувати інтеграції з інструментами стримування та блокування, такими як брандмауер або IPS. 
  • Традиційні методи виявлення: Зрештою, Gartner визнає, що самого лише поведінкового аналізу може бути недостатньо: звіт про недоставку може також використовувати сигнатури IDPS, евристики та сповіщення на основі порогових значень, щоб використовувати кілька рівнів перевірки загроз. Це також вимагає інтеграції зі сторонніми каналами інформації про загрози.

Додаткові функції NDR

З огляду на такий діапазон конкретних випадків використання, Gartner також визнає наступні функції, які можуть бути додатковими, залежно від унікальних мережевих архітектур різних клієнтів.  

  • Моніторинг трафіку IaaS: Видимість середовищ інфраструктури як послуги стає все більш важливою: деякі рішення NDR забезпечують це, розгортаючи легкі датчики в середовищі IaaS, які потім відображають трафік між хмарними робочими навантаженнями.
  • Інтеграція SaaS: Найслабшим місцем деяких інструментів NDR, як зазначає Gartner, є те, що деякі NDR дозволяють виявляти та аналізувати трафік до SaaS-додатків. Такий моніторинг SaaS-додатків найчастіше досягається за допомогою API-конекторів; Microsoft 365 є однією з особливо популярних інтеграцій NDR API.
  • Запис журналу та SOC Support: Ця функціональність надає інструменту NDR більшу гнучкість, оскільки вона забезпечує панель інструментів та пов’язані з ними робочі процеси, за допомогою яких SOC команди можуть переглядати та досліджувати сповіщення. Ця пряма взаємодія здійснюється з консолі NDR.
  • Повне захоплення пакетів (PCAP): Файли PCAP реєструють необроблений мережевий трафік, фіксуючи заголовки, корисне навантаження та метадані кожного пакета. Ці дані можуть служити «первинною інформацією» про мережеву активність і дозволяють службам NDR перебудовувати мережеві розмови відповідно до конкретної тактики зловмисника.
  • Однак PCAP не є постійною необхідністю, оскільки це надзвичайно великий обсяг даних, і він може вимагати ресурсомісткого процесу розшифрування. Як результат, PCAP позиціонується як зручний інструмент, і постачальники NDR, які пропонують цю функцію, також повинні враховувати масштабованість та довгострокове зберігання. 
  • Інструменти пошуку на основі штучного інтелекту: Зі зростанням популярності панелей інструментів NDR, Gartner також відзначив посилення попиту на функції пошуку за допомогою штучного інтелекту. Розумні помічники на базі моделей великої мови (LLM) можуть дозволити аналітикам запитувати платформи NDR, підтримуючи швидше виявлення загроз та створення звітів.
  • EDR та SIEM Інтеграція: Враховуючи, що EDR та SIEM обидва є глибокими джерелами інформації про загрози, інтеграція NDR з ними спрямована на досягнення точнішої кореляції сповіщень. Наприклад, виявлення NDR шаблонів горизонтального переміщення може бути підтверджено сповіщеннями EDR про виконання шкідливого програмного забезпечення за той самий період часу. Отримане перехресне сповіщення дозволяє аналітику набагато швидше заглибитися в інцидент.
  • Налаштування після оповіщення: Оскільки поведінковий аналіз може збільшити рівень хибнопозитивних результатів, налаштування після сповіщення є важливим для того, щоб NDR стало надійним джерелом сигналу. Іноді це досягається за допомогою порівняння PCAP, під час якого поведінкова модель самоперевіряється і, таким чином, коригує власну логіку виявлення. Ручне налаштування також може бути необхідною частиною цього, оскільки деякі постачальники NDR пропонують опції позначення неточних сповіщень одним клацанням миші.

Цей комплексний набір можливостей гарантує, що системи NDR можуть служити як механізмами виявлення, так і центрами оркестрованого реагування. З огляду на ці особливості, у звіті Gartner далі викладено деякі ключові зміни в ландшафті NDR.

Рекомендації Gartner щодо вибору NDR

Оскільки Gartner позиціонується як галузевий консультант, їхні рекомендації щодо вибору NDR можуть бути життєво важливими для новачків у цій галузі.

Встановіть робочий процес

Для кожного постачальника врахуйте, чи потрібно керувати сповіщеннями їхнього інструменту через вбудовану консоль NDR, чи їх можна перенаправляти до сторонніх інструментів для централізованого сповіщення та реагування. Не менш важливим є ваше розуміння здатності рішення інтегруватися з технологіями забезпечення дотримання правил, такими як корпоративні брандмауери або системи контролю доступу до мережі. Вони дозволяють автоматизувати або скоординувати реагування в межах вашого ширшого стеку безпеки.

Визначте спільний показник

З огляду на те, що різні платформи NDR покладаються на поєднання методів виявлення – від поведінкової аналітики до методів на основі сигнатур – встановлення спільної основи для порівняння є надзвичайно важливим. Оцінка постачальників повинна виходити за рамки контрольних списків функцій і зосереджуватися на якості та обсягу їхніх можливостей виявлення. Такі показники, як «відсоток критичних інцидентів, виявлених NDR», можуть забезпечити значущий орієнтир, допомагаючи командам безпеки чітко та послідовно оцінювати ефективність різних рішень.

Інші чіткі, раціоналізовані показники можуть включати рівень хибнопозитивних результатів, середній час класифікації сповіщень або покращення швидкості виявлення програм-вимагачів – усі вони пропонують більш обґрунтовану основу для порівняння різних постачальників.

Визначте, як обробляються хибнопозитивні результати

Технології виявлення поведінкових аномалій, включаючи NDR, за своєю суттю несуть підвищений ризик хибнопозитивних результатів. Під час оцінки постачальників важливо оцінити здатність кожного з них мінімізувати цей шум. Шукайте постачальників із вагомим досвідом підтримки точного налаштування – чи то за допомогою налаштовуваних порогів, адаптивного навчання, чи індивідуального профілювання поведінки – особливо в організаціях, подібних до вашої.

Визначте свої потреби в автоматизації

Постачальники NDR часто відрізняються тим, на яких етапах життєвого циклу реагування вони роблять акцент. Деякі надають пріоритет автоматизованим діям, таким як видача команд брандмауерам для блокування підозрілого трафіку, тоді як інші більше зосереджуються на збагаченні робочого процесу реагування на інциденти вручну, пропонуючи надійну підтримку для розслідування та інтегруючи розширені можливості пошуку загроз. Розуміння цього балансу є ключовим для вибору рішення, яке відповідає операційному стилю та зрілості вашої команди безпеки, незалежно від того, чи воно керується автоматизацією, чи зосереджене на прийнятті рішень під керівництвом аналітиків.

Визначте, чи потрібен вам NDR чи XDR

Сучасні мережеві екосистеми неймовірно різноманітні – ефективні стратегії NDR забезпечують охоплення інструментів, яке адаптується до конкретних ризиків та потреб кожного середовища. З еволюцією NDR у XDR, тому часто необхідно аналітично розглядати власні процеси організації: глибока видимість на рівні мережі є унікально цінною в гібридних мережах та мережах з інтенсивним використанням операційних технологій. З іншого боку, якщо ручні процеси безпеки уповільнюють роботу системи в цілому, XDR може пропонувати основні можливості NDR, одночасно консолідуючи сигнали від кінцевих точок, ідентифікаторів, електронної пошти та мереж в єдину систему виявлення та реагування.

Оцініть, де знаходяться сліпі зони у виявленні загроз. Якщо покриття кінцевих точок сильне, але видимість мережі обмежена, NDR може заповнити критичну прогалину. Якщо ви керуєте кількома ізольованими інструментами та маєте проблеми з перевантаженням сповіщеннями або повільним часом реагування, XDRІнтегрований підхід може принести більшу цінність, особливо якщо він зможе замінити та консолідувати недіючий інструмент.

Зростання гібридного NDR

Ринок NDR вже зазнав значних змін з моменту свого заснування у 2020 році: раптове зростання віддаленої роботи того року призвело до нового попиту на моніторинг мережевого трафіку скрізь, де є користувачі та робочі навантаження. В результаті, домовленості про роботу з дому змістили моделі трафіку зі сходу на захід переважно на північ на південь, і двонаправлений аналіз NDR отримав широке поширення.

Конвергенція ІТ та ОТ є важливим напрямком розвитку для деяких організацій: у 2024 році можливості NDR значно розширилися для охоплення цієї теми. І не безпідставно – NDR унікально добре підходить для моніторингу активності пристроїв Інтернету речей (IoT), які не можуть підтримувати локальні програмні агенти EDR або IPS. Поряд з безагентним моніторингом, обізнаність NDR про протоколи також дозволяє йому відображати специфічні для ОТ протоколи, такі як Modbus TCP, та специфічні для ІТ протоколи, такі як HTTPS, а також детально описувати, як кожен з них взаємодіє в мережі.

Інші гібридні розробки NDR постійно зосереджуються на безшовній інтеграції з інструментами EDR. Ці два інструменти мають індивідуально деталізовані, жорстко обмежені фокусні точки з алгоритмами машинного навчання, які навчаються виключно на шаблонах атак кожного середовища. Ця спільна архітектура також робить ці два рішення високосумісними, і деякі постачальники NDR вже почали пропонувати обидва.

Яке майбутнє ринку NDR?

Майбутнє ринку характеризується динамічним зрушенням у бік більшої універсальності та широкої інтеграції NDR. Замість того, щоб залишатися окремими інструментами, зосередженими виключно на аналізі моделей трафіку, рішення NDR все частіше підтримують ширші сфери процесу реагування на інциденти.

Одним з ключових напрямків є підвищення рівня глибоко ешелонованого захисту. Тут платформи NDR інтегрують механізми виявлення на основі сигнатур, такі як Zeek або Suricata, які традиційно використовуються в рішеннях для виявлення та реагування на вторгнення. Ця модульна конструкція рішення – і більша кількість інтеграцій – розглядає зростаючу присутність NDR як вторинну лінію захисту.

Все більше новаторських постачальників NDR розширюють межу між NDR, EDR та IDS, а також створюють інструменти NDR, які є частиною розширеного виявлення та реагування (XDR) стратегія. Інтеграція мережевої телеметрії із сигналами від кінцевих точок та джерел ідентифікації дедалі більше просуває NDR у XDR простір. Ця конвергенція покращує міждоменне виявлення, забезпечуючи більш цілісну видимість загроз. Це також є основною причиною, чому деякі постачальники NDR позиціонують SIEM інструменти як конкуренти, оскільки XDR можливості дедалі більше вичерпуються SIEM Жертви

Зрештою, поява інструментів на базі LLM позиціонує NDR як потенційне фронтенд-рішення для операцій безпеки, де описи інцидентів та швидкі результати розслідування стають центральними для досвіду аналітиків.

У міру розвитку NDR його траєкторія відображає ширший рух до конвергенції, контексту та автоматизації в кібербезпеці.

Як Stellar Cyber ​​розширює межу між NDR та XDR

Stellar Cyber ​​забезпечує NDR та XDR можливості як частину його єдиної XDR платформа, що поєднує двонаправлене виявлення, орієнтоване на мережу, із запобіганням міждоменним загрозам та реагуванням на них. Як Open XDR, він може розгортати датчики NDR, а також отримувати дані безпеки та сповіщення з будь-яких інших інструментів безпеки. Потім він застосовує кілька рівнів аналізу для координації цих сповіщень у повні інциденти, включаючи виявлення можливих шаблонів MITRE ATT&CK. Нарешті, автоматизовані схеми дозволяють автоматично усувати загрози.

В результаті, ВідкритиXDR надає командам Lean глибоку та високоадаптивну платформу для повної безпеки всієї організації. Ознайомтеся з доступними інформаційними панелями та робочими процесами Stellar Cyber. з демонстрацією сьогодні.

Звучить занадто добре, щоб
бути правдою?
Подивіться самі!

Запит на демонстрацію
Прокрутка до початку
Підпишіться на розсилку