Gartner NDR: идеи, основные выводы и будущее (2025)

  • Основные выводы:
  • Как Gartner определяет NDR?
    NDR использует внутренние датчики и модели поведения для обнаружения аномалий в реальном времени в сетевых потоках восток-запад и север-юг.
  • Какой пробел в безопасности заполняет NDR?
    Это обеспечивает прозрачность внутреннего трафика, который проходят межсетевые экраны и SIEMЧасто это приводит к упущениям, закрывая критически важные «слепые зоны» обнаружения.
  • Какие тенденции рынка отмечает Gartner?
    NDR стремительно растет (≈23% в годовом исчислении) за счет все более широкого внедрения и расширения возможностей среди основных поставщиков.
  • Что это означает для служб безопасности?
    NDR становится необходимым элементом многоуровневой защиты, особенно в сложных, облачных и гибридных средах с большим трафиком.

Руководство Gartner по рынку NDR является краеугольным камнем для изучения сложных особенностей и будущего растущего рынка обнаружения и реагирования на сетевые атаки (NDR). Как относительно новая часть инструментария кибербезопасности, команды по безопасности быстро развивают собственную осведомленность об этом инструменте: представляя четкий обзор, это руководство распространяет рыночные исследования Gartner и интервью с клиентами в доступном формате.

Начиная с отчета о рынке за 2022 год, ежегодные публикации Gartner NDR отражают быстрые изменения в этой области: с 2022 года 19 представителей поставщиков к нескольким десяткам 2024 года даже крупные поставщики кибербезопасности, такие как Cisco, начали предлагать возможности NDR. Функции NDR существенно выросли, и отчет Gartner за 2024 год дает наиболее полное определение на сегодняшний день.

#image_title

Решения Gartner® Magic Quadrant™ NDR

Узнайте, почему мы являемся единственным поставщиком, попавшим в квадрант Challenger...

Подробнее
#image_title

Испытайте безопасность на основе искусственного интеллекта в действии!

Откройте для себя передовой искусственный интеллект Stellar Cyber ​​для мгновенного обнаружения угроз...

Заказать визит

Как Gartner определяет NDR?

NDR развертывается во внутренних сетях организации: затем ее датчики принимают необработанные пакетные данные вместе со всеми связанными метаданными и собирают их в гранулярную модель повседневного поведения каждой сети. Эта поведенческая модель позволяет немедленно обнаруживать аномальную активность как во внутреннем (восток-запад), так и во внешнем (север-юг) сетевом трафике. Развертывания NDR, осуществляемые с помощью комбинации аппаратных и программных датчиков, управляются с помощью консолей оркестровки, в то время как их оповещения могут быть введены в уже существующие панели мониторинга рабочих процессов и — с 2024 года — в автоматизированные книги сценариев.

Для более точного определения понятия «уведомление о недоставке» (NDR) Gartner приводит компоненты, исключающие продукт из списков NDR. Некоторые из этих исключающих функций включают инструменты, зависящие от определенной платформы, например, требующие наличия определенной платформы. SIEM или брандмауэр для работы; это не соответствует критериям автономности, которые являются центральными для NDR. Аналогично, платформы, которые отдают приоритет сетевой криминалистике посредством обширного хранения PCAP-файлов и ретроспективного анализа, а не обнаружению в реальном времени, не соответствуют требованиям NDR к идентификации угроз в реальном времени. Наконец, специализированные решения, созданные исключительно для киберфизических систем или анализа журналов, также отклоняются от сетецентричного подхода NDR к поведенческому анализу.

Какую нишу на рынке заполняет NDR?

Поскольку NDR — это относительно новое решение, полезно рассмотреть его в более широком контексте других инструментов безопасности. Gartner сравнивает его с некоторыми многофункциональными платформами безопасности, которые сегодня широко используются, такими как системы управления информацией и событиями безопасности (SIM-ORD).SIEM) и брандмауэров. SIEM Межсетевые экраны, с другой стороны, сосредоточены на сборе, нормализации и анализе журналов из чрезвычайно широкого спектра источников; межсетевые экраны же отслеживают пакеты данных, поступающие в сети организации или выходящие из них. SIEM Предоставляет группам безопасности единую централизованную платформу, но отсутствие специализированного центра обработки данных делает его генератором большого количества оповещений; межсетевые экраны, хотя и предназначены специально для сетевой безопасности, лишь...
обеспечить видимость север-юг. Результатом является слепое пятно вокруг того, как сети внутри обмениваются данными.

Это рыночный пробел, который NDR стремятся залатать: автономные инструменты NDR обеспечивают детализацию сетевой аналитики, которая в противном случае недостижима. Вклад в 23%-ный рост рынка в годовом исчислении — это доступный процесс развертывания и постоянное развитие функций отдельных поставщиков.

Почему нет «Магического квадранта NDR»?

Что касается отдельных поставщиков, предлагающих инструменты NDR, то Gartner обычно использует формат сравнения Magic Quadrant, который позиционирует поставщиков технологий на основе двух ключевых критериев: полнота видения и способность к исполнению. Затем он визуально отображает поставщиков в двухмерной сетке, разделенной на четыре квадранта: лидеры, претенденты, визионеры и нишевые игроки. На момент написания статьи Magic Quadrant для поставщиков NDR еще не был опубликован.

Хотя это полезный инструмент для потенциальных клиентов NDR, важно помнить, что Gartner признал рынок NDR только в 2020 году. С тех пор они по-прежнему сосредоточены на ежегодных рыночных путеводителях: они оценивают новых и развивающихся поставщиков на рынке, сравнивают их с реальными данными клиентов Gartner и помогают установить легитимность и долгосрочную жизнеспособность решения.

В конечном счете, для проведения сравнительного анализа магические квадранты требуют, чтобы рынок достиг достаточной зрелости, дифференциации поставщиков и принятия клиентами.

Руководство Gartner по основным функциям NDR

Поскольку различные поставщики NDR заявляют о широком спектре функций и платформ, крайне важно точно определить, что включает в себя NDR. По своей сути решения NDR должны обеспечивать широкие возможности видимости, обнаружения и реагирования в физических, виртуальных и гибридных сетях. Поскольку Gartner находится на передовой между организациями и их проектами по внедрению NDR, они хорошо подготовлены к тому, чтобы точно определить, какие функции поддерживают это лучше всего.

Обязательные характеристики NDR

Следующие функции абсолютно необходимы для того, чтобы инструмент соответствовал критериям Gartner NDR.

  • Комплексная видимость дорожного движения: Эта функция основана на способности NDR извлекать метаданные, такие как IP-адреса, протоколы и данные о полезной нагрузке, из необработанной сетевой активности. Это достигается путем развертывания датчиков в локальных, облачных и гибридных инфраструктурах.
  • Двунаправленный мониторинг: Это непрерывный анализ движения сети как в направлении север-юг, так и в направлении восток-запад. Достигается с помощью многогранных типов датчиков, таких как сетевые отводы для направления восток-запад и NetFlow для данных в направлении север-юг.
  • Методы поведенческого обнаружения: Это описывает текущую идентификацию аномалий посредством машинного обучения и аналитики, независимо от статических сигнатур атак. Достигается путем отправки метаданных пакетов в центральный алгоритм машинного обучения, который может сопоставлять шаблоны собранного поведения сети с возможными стратегиями атак.
  • Определение исходных данных и обнаружение аномалий: Это статистическое моделирование поведения сети с течением времени, с конечной целью выявления отклонений и пометки подозрительной активности. Оно использует все собранные метаданные для построения профиля нормальной, повседневной сетевой активности.
  • Корреляция оповещений: Вместо того чтобы помечать любое отклонение от нормы как оповещение — что может привести к усталости от оповещений — Gartner подчеркивает необходимость того, чтобы NDR объединяла отдельные оповещения в согласованные инциденты. Это достигается алгоритмом NDR, который должен уметь связывать неожиданную сетевую активность с реальными признаками компрометации. Часто это улучшается за счет интеграции с другими системами. SOC инструментов.
  • Возможности автоматизированного и ручного реагирования: Так же, как последняя функция была критически важна для устранения усталости от оповещений, Gartner подчеркивает, что NDR не может чрезмерно нагружать ресурсы команды безопасности своими возможностями реагирования. Результатом является спрос на широкомасштабные возможности реагирования: ручные ответы могут быть идентифицированы в фазе корреляции оповещений, в то время как автоматизированные ответы могут потребовать интеграции с инструментами сдерживания и блокировки, такими как брандмауэр или IPS. 
  • Традиционные методы обнаружения: Наконец, Gartner признает, что поведенческий анализ может быть недостаточным сам по себе: NDR может также использовать сигнатуры IDPS, эвристику и оповещения на основе пороговых значений, чтобы использовать несколько уровней проверки угроз. Это также требует интеграции со сторонними каналами разведки угроз.

Дополнительные функции NDR

При таком разнообразии конкретных вариантов использования компания Gartner также признает, что следующие функции могут быть необязательными в зависимости от уникальных сетевых архитектур различных клиентов.  

  • Мониторинг трафика IaaS: Прозрачность сред «инфраструктура как услуга» становится все более важной: некоторые решения NDR обеспечивают это путем развертывания легких датчиков в среде IaaS, которые затем отражают трафик между облачными рабочими нагрузками.
  • SaaS-интеграция: Gartner отмечает, что самым слабым местом некоторых инструментов NDR является то, что некоторые NDR позволяют обнаруживать и анализировать трафик приложений SaaS. Этот мониторинг приложений SaaS чаще всего осуществляется с помощью API-коннекторов; Microsoft 365 — одна из особенно популярных интеграций API NDR.
  • Ввод логов и SOC Клиентская поддержка: Эта функциональность обеспечивает инструменту NDR большую гибкость, поскольку предоставляет панель управления и связанные с ней рабочие процессы, посредством которых SOC Команды могут просматривать и расследовать оповещения. Это прямое взаимодействие осуществляется через консоль NDR.
  • Полный захват пакетов (PCAP): Файлы PCAP регистрируют необработанный сетевой трафик, захватывая заголовки, полезную нагрузку и метаданные каждого пакета. Эти данные могут служить «основной истиной» для сетевой активности и позволяют NDR восстанавливать сетевые разговоры в соответствии с конкретной тактикой злоумышленника.
  • Однако PCAP не является постоянной необходимостью, поскольку он чрезвычайно объемный и может потребовать ресурсоемкого процесса расшифровки. В результате PCAP позиционируется как нечто приятное – и поставщики NDR, которые предлагают эту функцию, также должны иметь в виду масштабируемость и долгосрочное хранение. 
  • Инструменты поиска на основе искусственного интеллекта: С ростом числа панелей мониторинга NDR компания Gartner также отметила возросший спрос на функции поиска с использованием искусственного интеллекта. Умные помощники на базе Large Language Model (LLM) могут позволить аналитикам запрашивать платформы NDR, поддерживая более быстрый поиск угроз и генерацию отчетов.
  • EDR & SIEM Интеграция: Учитывая, что EDR и SIEM Обе системы представляют собой глубокие источники информации об угрозах, а интеграция NDR с ними направлена ​​на достижение более точной корреляции оповещений. Например, обнаруженные NDR закономерности горизонтального перемещения могут быть подтверждены оповещениями EDR о выполнении вредоносного ПО за тот же период времени. Полученное перекрестное оповещение позволяет аналитику гораздо быстрее разобраться в инциденте.
  • Настройка после оповещения: Поскольку поведенческий анализ может увеличить частоту ложных срабатываний, настройка после оповещения имеет важное значение для того, чтобы NDR стал надежным источником сигнала. Иногда это достигается путем сравнения PCAP, при котором поведенческая модель самопроверяется и, следовательно, корректирует собственную логику обнаружения. Ручная настройка также может быть необходимой частью этого, при этом некоторые поставщики NDR предлагают опции одного щелчка, чтобы пометить неточные оповещения.

Этот всеобъемлющий набор возможностей гарантирует, что системы NDR могут служить как механизмами обнаружения, так и центрами организованного реагирования. Имея в виду эти особенности, отчет Gartner продолжает устанавливать некоторые ключевые изменения в ландшафте NDR.

Рекомендации Gartner по выбору отчета о нераспространении информации

Поскольку Gartner позиционирует себя как отраслевой консультант, ее рекомендации по выбору отчета о нераспространении информации могут оказаться жизненно важными для новичков в этой области.

Наладьте рабочий процесс

Для каждого поставщика подумайте, должны ли оповещения их инструмента управляться через собственную консоль NDR или их можно направить на сторонние инструменты для централизованного оповещения и реагирования. Не менее важно понимание способности решения интегрироваться с технологиями обеспечения безопасности, такими как корпоративные брандмауэры или системы контроля доступа к сети. Они обеспечивают автоматизированные или скоординированные ответы в рамках вашего более широкого стека безопасности.

Определите общую метрику

Учитывая, что разные платформы NDR полагаются на сочетание методов обнаружения — от поведенческой аналитики до методов на основе сигнатур — создание общей основы для сравнения имеет важное значение. Оценка поставщиков должна выходить за рамки контрольных списков функций и фокусироваться на качестве и объеме их возможностей обнаружения. Такие метрики, как «процент критических инцидентов, обнаруженных NDR», могут предоставить значимый ориентир, помогая группам безопасности оценивать эффективность различных решений с ясностью и последовательностью.

Другие понятные, рационализированные показатели могут включать в себя показатели ложных срабатываний, среднее время классификации оповещений или улучшение скорости обнаружения программ-вымогателей — все это дает более обоснованную основу для сравнения продуктов разных поставщиков.

Определите, как обрабатываются ложные срабатывания

Технологии обнаружения поведенческих аномалий, включая NDR, изначально несут в себе более высокий риск ложных срабатываний. При оценке поставщиков крайне важно оценить способность каждого из них минимизировать этот шум. Ищите поставщиков с большим опытом поддержки тонкой настройки, будь то с помощью настраиваемых пороговых значений, адаптивного обучения или индивидуального поведенческого профилирования, особенно в организациях, похожих на вашу.

Определите ваши требования к автоматизации

Поставщики NDR часто различаются по тому, на чем они делают акцент в жизненном цикле реагирования. Некоторые отдают приоритет автоматизированным действиям, таким как отправка команд брандмауэрам для блокировки подозрительного трафика, в то время как другие больше внимания уделяют обогащению ручного рабочего процесса реагирования на инциденты, предлагая надежную поддержку для расследования и интегрируя расширенные возможности поиска угроз. Понимание этого баланса является ключом к выбору решения, которое соответствует стилю работы и зрелости вашей команды по безопасности, будь то автоматизация или принятие решений под руководством аналитика.

Определите, нужен ли вам NDR или XDR

Современные сетевые экосистемы невероятно разнообразны – эффективные стратегии NDR обеспечивают охват инструментами, адаптирующимися к конкретным рискам и потребностям каждой среды. С развитием NDR в XDRПоэтому часто возникает необходимость в аналитическом взгляде на собственные процессы организации: глубокая видимость на уровне сети имеет особую ценность в гибридных сетях и сетях с большим количеством операционных технологий. С другой стороны, если ручные процессы обеспечения безопасности замедляют работу всей системы, XDR может предложить основные возможности обнаружения и реагирования на сбои (NDR), одновременно объединяя сигналы от конечных устройств, идентификационных данных, электронной почты и сетей в единую систему обнаружения и реагирования.

Оцените, где находятся ваши «слепые зоны» в системе обнаружения угроз. Если покрытие конечных точек хорошее, но видимость сети ограничена, NDR может заполнить критически важный пробел. Если вы используете несколько разрозненных инструментов и сталкиваетесь с перегрузкой оповещений или медленным временем отклика, XDRИнтегрированный подход может принести большую пользу, особенно если он сможет заменить и консолидировать устаревший инструмент.

Рост гибридного NDR

Рынок NDR уже претерпел серьезные изменения с момента своего создания в 2020 году: внезапный рост удаленной работы в том году привел к новому спросу на мониторинг сетевого трафика везде, где есть пользователи и рабочие нагрузки. В результате, схемы работы на дому изменили структуру трафика с востока на запад в основном на север-юг и привели к широкому внедрению двунаправленного анализа NDR.

Конвергенция ИТ и ОТ является важной дорожной картой для некоторых организаций: в 2024 году произошло значительное расширение возможностей NDR для покрытия этой цели. И на то есть веская причина — NDR уникально подходит для мониторинга активности устройств Интернета вещей (IoT), которые не могут поддерживать локальные программные агенты EDR или IPS. Наряду с мониторингом без агентов, знание протоколов NDR также позволяет ему сопоставлять протоколы, специфичные для OT, такие как Modbus TCP, и протоколы, специфичные для ИТ, такие как HTTPS, и подробно описывать, как каждый из них взаимодействует в сети.

Другие гибридные разработки NDR постоянно фокусируются на бесшовной интеграции с инструментами EDR. Оба инструмента имеют индивидуально гранулированные, жестко ограниченные фокусные точки с алгоритмами машинного обучения, которые обучаются исключительно на шаблонах атак каждой среды. Эта общая архитектура также делает два решения высокосовместимыми, и некоторые поставщики NDR уже начали предлагать оба.

Каково будущее рынка NDR?

Будущее рынка отмечено динамичным сдвигом в сторону того, что NDR станут более универсальными и широко интегрированными. Вместо того чтобы оставаться автономными инструментами, ориентированными исключительно на анализ схем трафика, решения NDR все больше поддерживают более широкие полосы конвейера реагирования на инциденты.

Одним из ключевых направлений является рост глубинной защиты. Здесь платформы NDR интегрируют сигнатурные механизмы обнаружения, такие как Zeek или Suricata, которые традиционно используются в решениях по обнаружению и реагированию на вторжения. Эта модульная конструкция решения — и большее количество интеграций — рассматривает растущее присутствие NDR как вторичную линию обороны.

Все большее число новаторских поставщиков решений NDR раздвигают границы между NDR, EDR и IDS, создавая инструменты NDR, которые являются частью расширенной системы обнаружения и реагирования (FDR).XDRСтратегия ). Интеграция сетевой телеметрии с сигналами от конечных устройств и источниками идентификации все больше выводит NDR на передний план. XDR пространство. Эта конвергенция улучшает обнаружение угроз в разных доменах, обеспечивая более целостную картину угроз. Это также основная причина, по которой некоторые поставщики NDR позиционируют себя SIEM инструменты как конкуренты, поскольку XDR Возможности все больше сокращаются. SIEM .

Наконец, появление инструментов на базе LLM позиционирует NDR как потенциальное решение для интерфейсов операций по обеспечению безопасности, где описания инцидентов и быстрые выводы из расследований становятся центральными элементами опыта аналитика.

По мере развития NDR его траектория отражает более широкое движение к конвергенции, контексту и автоматизации в сфере кибербезопасности.

Как компания Stellar Cyber ​​расширяет границы между NDR и XDR

Компания Stellar Cyber ​​предоставляет услуги NDR и XDR возможности как часть его объединенных XDR Платформа, сочетающая в себе сетевое двустороннее обнаружение с предотвращением и реагированием на междоменные угрозы. Open XDR, он может развертывать датчики NDR, а также принимать данные безопасности и оповещения от любых других инструментов безопасности. Затем он применяет несколько уровней анализа для координации этих оповещений в полные инциденты, включая выявление возможных шаблонов MITRE ATT&CK. Наконец, автоматизированные сценарии позволяют автоматически устранять угрозы.

В результате, ОткрытьXDR Предоставляет небольшим командам всестороннюю и легко адаптируемую платформу для обеспечения безопасности всей организации. Изучите доступные панели мониторинга и рабочие процессы Stellar Cyber. с демо сегодня.

Звучит слишком хорошо, чтобы
будь настоящим?
Смотрите сами!

Запросить демо
Наверх
Подпишитесь на рассылку новостей