近日,全球權(quán)威信息技術(shù)研究機(jī)構(gòu)Gartner接連發(fā)布兩份NDR新興技術(shù)趨勢(shì)報(bào)告(Emerging Tech: Security——Adoption Growth Insights for Network Detection and Response; Emerging Tech: Top Use Cases for Network Detection and Response,以下簡(jiǎn)稱“報(bào)告”),在網(wǎng)安圈掀起一陣激烈討論。包括奇安信、360、微步在線、深信服、山石網(wǎng)科等多家廠商入選其中,同時(shí)報(bào)告對(duì)終端用戶關(guān)注點(diǎn)及NDR應(yīng)用場(chǎng)景做了詳盡分析。其中,報(bào)告內(nèi)有以下幾個(gè)值得關(guān)注的看點(diǎn)。

看點(diǎn)一:中國(guó)廠商成為全球NDR市場(chǎng)新勢(shì)力

此次入選Gartner NDR新興技術(shù)趨勢(shì)報(bào)告的代表廠商中,國(guó)外企業(yè)仍占絕大多數(shù),思科、Darktrace、ExtraHop、Fortinet、Trellix等知名安全廠商均在其中。相比之下,國(guó)內(nèi)廠商相對(duì)較少,以奇安信、360、微步在線、深信服、山石網(wǎng)科等為代表廠商。但對(duì)比往期同類趨勢(shì)報(bào)告,本次入選的中國(guó)廠商數(shù)量有小幅上升,也側(cè)面反映了NDR市場(chǎng)需求持續(xù)增長(zhǎng),國(guó)內(nèi)NDR廠商影響力在不斷提升。


【資料圖】

看點(diǎn)二:NDR仍處于早期成熟階段,滲透率有很大提升空間

市場(chǎng)增速上,自Gartner2020年第一次提出該概念,NDR一直處在較快增長(zhǎng)階段。報(bào)告顯示,2020年和2021年NDR全球市場(chǎng)收入分別增長(zhǎng)23.7%和23.0%。不過(guò),2022年NDR市場(chǎng)增速有所放緩,2022年第一季度至第三季度期間,收入同比增長(zhǎng)僅為16.3%。

Gartner預(yù)計(jì),從2021年到2026年,全球終端企業(yè)在NDR的支出(以固定貨幣計(jì)算),整體年復(fù)合增長(zhǎng)率(CAGR)增速為14.1%,增速相對(duì)放慢。而從2022年Gartner最新安全運(yùn)營(yíng)技術(shù)成熟度曲線來(lái)看,目前NDR仍在早期成熟階段,屬于穩(wěn)步爬升復(fù)蘇期,要達(dá)到生產(chǎn)成熟期,仍需2-5年時(shí)間。NDR市場(chǎng)未來(lái)發(fā)展規(guī)模及滲透率,還有很大提升空間。

圖源:Gartner, Inc., [Hype Cycle for Security Operations, 2022], [ Andrew Davies], [ July 5, 2022].

看點(diǎn)三:金融、政府仍為NDR主陣地,能源設(shè)施行業(yè)2022投入大幅增長(zhǎng)

報(bào)告指出,2022年政府與金融依舊是對(duì)NDR最感興趣的行業(yè)。究其原因,在于NDR作為專業(yè)型產(chǎn)品,想要充分發(fā)揮其價(jià)值,需要用戶達(dá)到一定水平的安全能力與流程成熟度。而金融、政府在網(wǎng)絡(luò)安全建設(shè)、安全人才儲(chǔ)備上,相比其他行業(yè)均非常靠前。

從Gartner觀察來(lái)看,金融與政府也是NDR產(chǎn)品的兩大主要消費(fèi)行業(yè)及和早期產(chǎn)品采用領(lǐng)域。它們通常會(huì)投資大量安全產(chǎn)品及工具,同時(shí)投入資源建設(shè)安全團(tuán)隊(duì),從而提升安全產(chǎn)品利用效率。另外,一些傳統(tǒng)對(duì)安全投入相對(duì)較少的能源及公共設(shè)施行業(yè),2022年在NDR方面的投入有較大增長(zhǎng),主要原因在于大量供應(yīng)鏈攻擊事件的發(fā)生,以及物聯(lián)網(wǎng)運(yùn)營(yíng)技術(shù)(OT)系統(tǒng)成為被攻擊對(duì)象。

看點(diǎn)四:中型企業(yè)NDR興趣提升,更關(guān)注自動(dòng)化水平

根據(jù)報(bào)告,采用NDR產(chǎn)品的組織規(guī)模,與產(chǎn)品采用興趣呈正相關(guān),即組織越大,對(duì)NDR產(chǎn)品越感興趣。大型組織的安全流程與能力,也足以滿足NDR產(chǎn)品對(duì)安全成熟度的要求。

此外,2022年也出現(xiàn)了一些新的變化:中型企業(yè)對(duì)NDR產(chǎn)生更大興趣。原因在于,中型企業(yè)資源少,其需要更多自動(dòng)化的能力。對(duì)于廠商而言,如果想要服務(wù)好這些用戶,NDR產(chǎn)品需要運(yùn)用更多人工智能(AI)技術(shù),且不僅僅局限于檢測(cè)場(chǎng)景,還需將AI更多應(yīng)用在安全運(yùn)營(yíng)工作流程中,改進(jìn)自動(dòng)化水平及整體易用性,例如告警優(yōu)先級(jí)、安全措施建議、自動(dòng)取證等用例。

看點(diǎn)五:NDR核心場(chǎng)景縮減,新增應(yīng)急響應(yīng)

報(bào)告中,Gartner將“威脅狩獵”與“取證”合并為“應(yīng)急響應(yīng)”(Incident Response,IR),定義為NDR新的三大核心場(chǎng)景之一(其余兩大核心場(chǎng)景包括檢測(cè)與響應(yīng))。這是一個(gè)集分類、額外數(shù)據(jù)追蹤、取證及影響范圍和整體風(fēng)險(xiǎn)評(píng)估、協(xié)調(diào)其他團(tuán)隊(duì)處理安全事件的過(guò)程。之所以這樣劃分,不僅是因?yàn)橥{狩獵與取證兩者之間的聯(lián)系非常緊密,更在于甲方企業(yè)也越來(lái)越關(guān)注該場(chǎng)景的能力。

報(bào)告稱,如果企業(yè)無(wú)法通過(guò)第三方對(duì)檢測(cè)能力進(jìn)行準(zhǔn)確評(píng)估,應(yīng)急響應(yīng)能力通常會(huì)成為企業(yè)選擇某個(gè)廠商的主要原因。相比其他場(chǎng)景,“應(yīng)急響應(yīng)“能更直接體現(xiàn)NDR產(chǎn)品的工作流、用戶界面操作體驗(yàn)的能力水平。企業(yè)在評(píng)價(jià)NDR產(chǎn)品時(shí),也會(huì)重點(diǎn)驗(yàn)證應(yīng)急響應(yīng)整體流程,如果與企業(yè)自身工作實(shí)際流程匹配,多半會(huì)選擇該產(chǎn)品或加速對(duì)該NDR產(chǎn)品的采購(gòu)決策。

看點(diǎn)六:NDR響應(yīng)方式以端點(diǎn)產(chǎn)品或EDR居多

NDR這個(gè)名字本身,就決定了它必須包含響應(yīng)能力,針對(duì)發(fā)現(xiàn)的威脅或攻擊進(jìn)行處置。不過(guò)與傳統(tǒng)“防護(hù)”類安全設(shè)備不一樣的是,NDR的響應(yīng)能力具備極強(qiáng)的靈活性,能夠很好地與其他類型安全產(chǎn)品進(jìn)行聯(lián)動(dòng),處置威脅,并降低產(chǎn)品部署在生產(chǎn)網(wǎng)中存在的潛在風(fēng)險(xiǎn)。

另外,在之前對(duì)NDR產(chǎn)品響應(yīng)能力的分析中,市場(chǎng)上都未曾出現(xiàn)過(guò)任何主流的響應(yīng)對(duì)接方式,但2022年市場(chǎng)發(fā)生了新的變化。報(bào)告顯示,在咨詢企業(yè)終端用戶過(guò)程中,最常見的響應(yīng)方式是NDR與端點(diǎn)產(chǎn)品或EDR產(chǎn)品進(jìn)行集成響應(yīng)。還有一點(diǎn)需要關(guān)注的是,雖然AI應(yīng)用到“響應(yīng)”場(chǎng)景的投入遠(yuǎn)低于“檢測(cè)”與“應(yīng)急響應(yīng)”場(chǎng)景,屬于NDR產(chǎn)品中AI投入最少的核心場(chǎng)景,但未來(lái)很可能成為AI增長(zhǎng)率最快的環(huán)節(jié)。

圖源:Gartner, Inc., [Emerging Tech: Top Use Cases for Network Detection and Response], [Nat Smith, Christian Canales, Jeremy D"Hoinne, Dan Ayoub], [ 1.April 5, 2023].

以上是報(bào)告中一些值得關(guān)注的看點(diǎn),不知道對(duì)你有何啟發(fā)。未來(lái),隨著國(guó)內(nèi)對(duì)威脅可視化與實(shí)戰(zhàn)化需求的迅速增加,NDR市場(chǎng)的發(fā)展依舊值得期待和持續(xù)關(guān)注。(雷渺鑫)

標(biāo)簽: