Gartner发布NDR网络检测和响应市场指南:全球29家及中国6家厂商
.png)
网络检测和响应市场(NDR)持续增长,并通过 IaaS 部署扩展到混合网络场景。安全和风险管理领导者应在更加自动化的安全运营助手的背景下,重新将 NDR 视为人工智能分析的主要提供者。
主要发现
-
网络检测和响应 ( NDR) 通常用作补充检测和响应技术,作为更广泛的安全运营中心 (SOC)工具库的一部分。
-
以 SOC 助手形式出现的“人工智能增强”分析叠加将使 NDR 市场受益,成为聚合和总结视图的有用见解来源。
-
少数 NDR 供应商吸引了市场的大部分注意力。成熟度较高的组织通常具有更专业的检测用例,通常会将这些知名供应商与新兴的本地参与者混合在其候选名单中。
-
大多数组织在 NDR 提供商评估期间都重视响应能力,但在试点阶段之后仅部署非常有限的自动化响应。
建议
为了成功集成 NDR 功能,安全和风险管理领导者必须:
-
从小处开始。实施 NDR 以检测异常行为并为失陷后活动提供调查功能,并逐步扩展到不同类型的网络。
-
确定 NDR 基于行为的检测一旦调整后如何增强SOC 更快、更准确地响应事件的能力。
-
通过定义合理化指标并评估这些 NDR 工具如何对威胁检测和事件响应产生积极影响,来比较 NDR 供应商。
-
根据事件类型的现有事件响应 SLA 和检测引擎的误报率,逐步推出自动响应。
战略规划假设
-
到2029 年,NDR 技术发现的事件中 50% 以上将来自云网络活动,而目前这一比例还不到10 %。
-
到 2027 年,对网络异常检测进行自动响应的实施率将保持在检测到的异常的 40%以下。
市场定义
网络检测和响应 (NDR) 产品通过对网络流量数据应用行为分析来检测异常系统行为。他们不断分析内部网络(东西向)内以及内部和外部网络之间(南北向)的原始网络数据包或流量元数据。 NDR 产品包括直接或通过与其他网络安全工具集成的自动响应,例如主机遏制(通过集成)或流量阻止。 NDR 可以作为传感器硬件和软件设备的组合来提供,其中一些还具有 IaaS 支持。管理和编排控制台可以是软件或 SaaS。
组织依靠 NDR 来检测和遏制勒索软件、内部威胁和横向移动等泄露后活动。 NDR 补充了主要通过构建正常网络行为的启发式模型并检测异常来基于规则和签名触发警报的其他技术。 NDR通常用作补充检测和响应技术,作为更广泛的安全运营中心 ( SOC)工具库的一部分。其中包括安全事件编排自动化响应 (SOAR)、安全信息和事件管理 (SIEM)、终端检测和响应 (EDR) 以及其他检测技术,还包括托管检测和响应 (MDR) 等服务。
NDR 必须:
-
通过物理或虚拟传感器提供与本地和云网络兼容的外形规格,以分析原始网络数据包流量或流量(例如,IP 流信息)。NDR 还必须监控南北向流量(当它穿过边界时)和东西向流量(当它在整个网络中横向移动时)。
-
对正常网络流量进行建模并突出显示超出正常范围的异常流量活动。NDR 还必须提供基于行为技术的检测(非基于签名的检测),包括机器学习 (ML) 和检测网络异常的高级分析。
-
将单个告警聚合为结构化事件以促进威胁调查,并提供自动或手动响应功能以对恶意网络流量的检测做出反应。
该市场的标准功能包括:
-
监控和分析IaaS环境中的流量
-
更传统的检测技术,例如入侵检测和防御系统 (IDPS) 签名、基于规则的启发式方法和基于阈值的告警
-
基于多种因素(不仅仅是告警 ID 和重复告警)对逻辑安全事件进行告警聚合,通过与其他 SOC 工具集成以获得更丰富的上下文
-
自动响应,例如直接或通过与其他网络安全工具集成进行主机遏制(通过集成)或流量阻止
-
初步调整后误报率较低,成为可信赖的洞察来源并支持自动响应用例
该市场的可选功能包括:
-
用于分析事件和用户活动的 SaaS API 连接器
-
日志摄取、调查和响应功能使 SOC 分析师能够使用 NDR 控制台作为主要设施来执行操作职责和威胁狩猎,以代替 SIEM 或扩展检测和响应 (XDR) 等替代平台
-
传输层安全 (TLS) 流量解密
-
收集时或事件分析期间的元数据丰富
-
能够基于网络流数据执行追溯和取证分析,还可以使用具有长期数据保留的可扩展全数据包捕获 (PCAP)
市场描述
数十家供应商声称可以分析网络流量(或流量记录)并检测网络上的异常活动。为了在入围名单中具有竞争力,NDR 产品必须提供:
-
从原始流量中收集活动并建立基线的能力。
-
收集时或事件分析期间的元数据丰富。
-
部署形式与本地和云网络兼容,能够以物理设备或虚拟机的形式部署自己的传感器。
-
机器学习技术用于确定正常活动的基线并检测因资产受损或恶意内部人员而导致的异常行为。
-
基于多种因素(而不仅仅是警报 ID 和重复警报)对逻辑安全事件进行告警聚合,通过与其他 SOC 工具集成以获得更丰富的上下文。
-
自动响应,例如主机遏制(通过集成)或流量阻塞。
-
经过初步调整后,误报率较低,成为可信赖的见解来源并支持自动响应用例。
在以下情况下,技术通常会被排除在潜在的NDR 候选名单之外:
-
它们需要先决组件,例如需要SIEM 或防火墙平台的组件。
-
它们强调网络取证而非检测功能,主要是通过 PCAP 数据的存储和分析。
-
它们是专门的网络物理系统(CPS)保护平台。
-
它们主要从事日志分析。
-
供应商/提供商缺乏其 NDR 功能的市场知名度。
根据组织的规模,NDR 责任一旦部署,就会从基础设施延伸到SOC 团队,该团队负责分析警报并处理非自动化的响应。
市场方向
NDR产品将演变成以下技术平台场景中的一种或组合:
1. 混合网络NDR :这是独立 NDR 提供商的特权演进。它们扩展其产品组合以涵盖新型网络,通常从运营技术 (OT) 和基础设施即服务 (IaaS) 开始。它们在 NDR 产品中嵌入了新的检测技术来支持这些用例。主要检测监测仍然来自网络流量模式的分析,但可以通过添加其他类型的检测来扩展,例如云基础设施的安全态势异常。
2. 深度网络防御:一些 NDR 供应商集成了基于签名的威胁检测引擎(例如 Zeek、Suricata),这些引擎传统上是入侵检测和保护系统 (IDPS)的组件。随着他们添加更多模块,他们将 NDR 设备定位为“第二层防御”,位于外围控制后面,增加了内部流量(东西向)的可见性。
3. 扩展检测和响应 ( XDR ):NDR可以通过将网络事件分析纳入其中来为 XDR做出贡献。 Gartner 分析师继续认为,目前大多数 NDR 评估都是针对独立部署,但这种情况将来可能会发生变化。然而,通过继续添加其他监测来源,例如终端以及身份和访问管理 (IAM) 集成,NDR也可能与 XDR 市场有更多重叠。
4. 增强型 NDR :安全运营工具中大语言模型 (LLM) 功能的出现和加速采用可能会扰乱一些检测和响应市场动态。 NDR 提供网络可见性,这在尝试提供事件摘要时提供了一些优势,并且可以竞争成为首选的分析前端。
目前,独立 NDR 供应商提供了多功能安全平台(SIEM、XDR)所无法提供的广泛网络分析和功效。从长远来看,为了使 NDR 市场取得成功,混合网络 NDR 供应商必须说服拥有足够网络攻击面的组织进行持久投资并将 NDR 作为独立产品,或者相信 NDR 提供商也能成为相当好的分析控制台。
混合网络NDR
大多数 Gartner 客户对 NDR 的呼吁仍然只包括网络检测用例,没有或非常有限的自动响应实施。 NDR 提供商不断提高其检测能力并改进事件响应工作流程,突出显示已识别的事件根本原因。凭借这种成功和信心,企业正在尝试新的 NDR 功能,并将其覆盖范围扩大到最初未暴露于 NDR 的网络区域,特别是查看不同类型基础设施之间的所有横向移动。这些包括:
1. IaaS :应用“遵循应用程序”范例,NDR 传感器部署在更靠近服务器工作负载的位置,因为大多数组织现在都在一个或多个 IaaS 平台上托管服务器场。由于部署限制不同,与本地网络相比,NDR 提供商更有可能利用云原生流分析 API 并接受其限制。
2. IT/OT融合:参与 IT/OT 融合路线图的组织越来越多地考虑利用同一 NDR 提供商来监控 IT 和 OT 细分市场。组织在评估 OT 网络技术时仍然有严格的要求。
3. SaaS:NDR 提供商将网络监控的定义延伸到最细的范围,利用 SaaS API 来监控用户与 SaaS 服务的连接,其中 Microsoft 365是最流行的示例。
4. 家庭网络:一小部分组织表示有意监控某些关键员工(例如,高管以及研发人员和“在家工作”的敏感职能部门的员工)的家庭网络连接。为此,他们可能会部署一个小型传感器,但由于组织很少愿意处理监控个人网络的潜在法律复杂性,因此他们还考虑在公司拥有的笔记本电脑上部署一个小型软件代理。
网络深度防御
一些提供商重新建立了10年前网络检测和响应早期的实践,重新添加了类似入侵防御系统 (IPS) 的模块,混合威胁情报和更传统的模式匹配来补充行为分析。这为提供商创造了潜在的额外收入来源,同时也使 NDR 成为更全面的产品,可以检测更广泛的异常情况。这有利于团队规模较小或基础设施安全工具较少的组织。这种“纵深防御”场景利用额外的威胁情报和签名来源,更加关注南北流量,提高捕获数据泄露或命令与控制 (C2) 通信的能力。这将主要吸引大型安全运营团队寻找可定制的多用途网络安全传感器。
相反,添加类似入侵检测系统 (IDS) 的签名可能会对 NDR 解决方案的预期优势之一产生负面影响:成为“交钥匙”和“低噪音”产品,仅突出显示关键异常。
XDR
NDR技术可以通过检测基于网络的异常以及在集中式仪表板中添加和关联这些事件来为 XDR 做出贡献。大多数 XDR 供应商的本机网络分析能力较弱,导致与当前 NDR 供应商的集成数量不断增加。
当今市场上的XDR主要是针对拥有多种安全产品的供应商的整合(“平台”)举措。供应商整合趋势正在推动更大平台的进一步采用,减少对单点解决方案的依赖。大型网络安全供应商在传达其现有集中管理和监控控制台的价值主张时也越来越多地使用术语“XDR” 。
Gartner 数据继续表明,XDR 问题通常是作为了解现有终端检测和响应 (EDR) 部署扩展潜力的请求而提出的。 XDR 等整合产品通常首先吸引中型企业。这些趋势是 NDR 技术未来成为 XDR 平台/产品组合组件的主要驱动力。然而,当 Gartner 客户从 NDR 角度出发时,他们通常不希望依赖于 XDR 部署中的其他组件。除了更传统的“同类最佳”与“同类最佳”内部争论之外,这对于大型企业来说仍然是 NDR 市场的一个有吸引力的特征。
增强型 NDR
利用自然语言处理 (NLP) 和大语言模型(LLM)的摘要功能,新的分析叠加正在出现。他们从现有安全控制(包括 EDR、NDR 和 SIEM产品)收集事件和告警,有时还从不同来源提取威胁情报,然后呈现总结的结果。
尽管 EDR/XDR 提供商将提供 SOC 助手(例如,来自 Crowd S trike 的 Charlotte AI),但其他方法(例如Microsoft C opilot for Security )将提示作为主要用户界面,并承诺与多个事件源集成、分析。已经从事混合网络覆盖并拥有ML技能和经验的NDR提供商能够很好地利用这些新的AI 技术进行事件总结。但是,尽管它们在分析跨多个网络环境的行为方面具有优势,但它们仍很难将自己的解决方案与XDR产品区分开来。
市场分析
随着在家工作安排的日益普及,本地流量模式从东西向转向南北向,NDR 在监控存在用户和工作负载的网络流量方面表现出了灵活性。因此,许多供应商加速了产品开发,以超越传统的本地数据中心和园区。
尽管面临来自其他平台的激烈竞争,NDR 全球市场收入继续实现两位数增长, 23 年第 1 季度至第 3 季度同比增长 19% 。当 NDR 市场刚刚兴起时,它由纯粹的初创公司和扩展到安全用例的网络监控公司组成。随着市场的增长,它正在吸引越来越多的大型平台提供商。
NDR 技术的优势之一是其管理和监控控制台能够促进事件响应工作流程。事件聚合和预定义视图缩短了学习曲线,并提供了小型安全团队所欣赏的可见性。
一些供应商优先考虑其工作流程中的完全透明度,允许专家安全分析师检查可用于进一步确定范围和更深入的取证检查的细粒度细节。拥有资源、技能和时间大量从事取证工作的组织将会欣赏这些专注于网络取证遥测的搜索、攻击框架以及长期使用和存储的 NDR 供应商。这些 NDR 解决方案的透明度和灵活性通常是以牺牲简单性和易用性为代价的。
相比之下,其他 NDR 供应商主要关注威胁检测用例,将其监控仪表板集中在安全事件的可解释性上,并通过尽可能多的自动化来简化其事件响应工作流程。安全团队规模较小的组织将立即受益于改进的检测功能,并可能利用自动响应和其他缓解措施。这些易于使用、完善的解决方案往往可以提供快速的投资回报,并且需要较少的人工交互。
NDR市场的最新趋势
Gartner 发现许多 NDR 产品已经扩展,可以捕获新的事件类别并分析其他流量模式。这些包括:
-
新传感器:通过构建或集成 EDR 等端点传感器、提取SIEM 等第三方日志、通过其监控 API 分析软件/平台/IaaS 事件,或添加对 OT 用例的支持。
-
新的检测技术:通过添加对更传统的签名、性能监控、威胁情报以及有时恶意软件检测引擎的支持。这种使用多种技术进行更多检测的举措非常适合网络/安全运营融合的用例,而且也适合中型企业。
-
托管 NDR :一些大型供应商已开始在 NDR 产品和订阅之上提供共同管理服务,范围从发生事件时供应商的主动通知到共同管理的威胁检测。 Gartner 首先观察了 SIEM 市场中的共同管理服务产品。NDR 供应商提供的许多单一技术管理服务都是最近才提供的,并得到小型但不断壮大的团队的支持。
-
不断发展的架构:现在越来越多的供应商仅在云中提供 ML 分析,因为集中式方法有助于改进 ML 检测并提高供应商的扩展能力。
-
可见性:NDR 最常部署在拥有许多检测信息源的大型企业中。当这些非 NDR 信号之一表明存在威胁时,SOC 团队可以利用 NDR 产品提供的信息深入了解资产。
一些NDR 供应商已经构建了 NDR 市场之外的安全产品组合,并在新领域(例如 SaaS 或电子邮件安全)利用他们的异常检测知识。这些供应商正在重新定位其以机器学习为核心的价值主张,而网络正在成为这种分析方法的用例之一。
Gartner 持续观察供应商使用替代方法进行数据收集和部署(例如Cynamics和 Netography),在与 NDR 供应商竞争类似用例的同时,将自己与 NDR 供应商区分开来。
“响应”并不总是意味着“补救”
在研究 NDR 入围名单时,Gartner 注意到大多数竞争者都将自己定位为 NDR 提供商,这表明 NDR 市场的边界随着时间的推移已经固化。供应商经常将SIEM提供商视为竞争对手,而安全团队则将 NDR 视为对传统 IDS 部署的改进。
此外,许多 NDR 供应商将其产品视为威胁狩猎团队的良好工具,并包含针对事件响应者的复杂搜索功能。 “响应”组件的这些特征定义了 NDR 技术及其检测功能。
在许多情况下,基于网络的自动响应的可接受用例是相关的南北流量模式(C2 通信、数据泄露)或勒索软件横向移动。通过与其他安全控制、监控仪表板和事件响应工作流程自动化的集成,可以看到更显着的改进。
NDR 的智能“响应”方法是通过事件聚合、工作流程自动化和上下文感知来支持事件响应工作流程。必要时,它还会阻止或包含恶意活动。单个供应商提供低误报率和高效调查能力的能力将鼓励客户采用该供应商的响应能力。
代表厂商
下表包含 Gartner 能够收集和确认准确信息的代表性 NDR 供应商的示例列表。之所以将这些供应商纳入其中,是因为收集到的足够证据表明他们符合“市场描述”部分中强调的 Gartner 定义和要求。该表还包括有关 IT 和 OT 环境的物理和虚拟设备可用性的信息,以及对全球三大 IaaS 平台(Amazon Web Services ( AWS)、Microsoft Azure 和 Google Cloud Platform (GCP))以及选定 SaaS 环境的支持的信息。请注意,提及受支持的用例并不表示任何特定的集成深度。
表1 :网络检测和响应领域的代表性供应商
供应商
NDR产品
总部
IT 传感器(物理、虚拟)
OT 传感器(
物理、虚拟)
IaaS (AWS、Azure、GCP)
SaaS (API)(M365、Google Workspace等)
Arista Networks
Arista NDR
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
M365、其他
思科
思科安全网络分析,
思科XDR
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
其他的
Corelight
Corelight 开放式 NDR 平台
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
—
Darktrace
Darktrace检测,
Darktrace响应
英国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
M365、Google Workspace 等
Exeon Analytics
ExeonTrace
瑞士
虚拟的
虚拟的
AWS、Azure、
GCP
其他的
ExtraHop
ExtraHop Reveal(x) NDR
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
M365
飞塔
FortiNDR、FortiNDR 云
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
其他的
Gatewatcher
Gatewatcher NDR (AIONIQ)
法国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
—
山石网科
Hillstone 威胁感知系统 (BDS)
美国
物理和虚拟设备
—
—
—
LinkShadow
LinkShadow 智能 NDR、
Linkshadow 云检测和响应
美国
物理和虚拟设备
—
AWS、Azure、
GCP
M365、Google Workspace、其他
MixMode
MixMode 网络检测和响应
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
M365、Google Workspace、其他
Muninn
AI检测、AI预防
丹麦
物理和虚拟设备
物理和虚拟设备
亚马逊云、Azure
M365
NANO Corp.
n.Scope
法国
虚拟设备
虚拟设备
AWS、Azure、
GCP
—
NetWitness
NetWitness平台
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
M365、Google Workspace、其他
绿盟科技
绿盟网络检测与响应解决方案
中国
物理和虚拟设备
物理和虚拟设备
AWS、Azure
—
Plixer
PlixerOne Security
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure
—
Progress
Progress Flowmon 异常检测系统 (ADS)
美国
物理和虚拟设备
—
AWS、Azure、
GCP
—
奇安信
天眼
中国
物理和虚拟设备
—
AWS、Azure、
GCP
M365、Google Workspace、其他
深信服科技
深信服Sangfor Cyber Command
中国
物理和虚拟设备
—
AWS、Azure、
GCP
—
Sesame it
Jizô NDR,
Jizô-m
法国
物理和虚拟设备
物理和虚拟设备
—
—
Sophos
Sophos NDR
英国
虚拟设备
—
AWS
其他
Stamus Networks
Stamus安全平台
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
—
Stellar Cyber
Stellar Cyber NDR,
开放 XDR 平台
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure、
GCP
M365、Google Workspace、其他
博通赛门铁克
赛门铁克安全分析
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure
—
腾讯
T-Sec NDR
中国
物理和虚拟设备
—
AWS、Azure
其他
Trellix
Trellix 网络检测和响应 (NDR)
美国
物理和虚拟设备
物理和虚拟设备
AWS、Azure
—
趋势科技
Trend Vision One — XDR for Networks,
Trend Micro Deep Discovery,
Trend Micro TippingPoint
日本
物理和虚拟设备
物理和虚拟设备
AWS、Azure
M365、Google Workspace、其他
Vectra
Vectra NDR
美国
虚拟的
虚拟的
AWS、Azure、
GCP
M365、其他
启明星辰
CSA-NTA
中国
物理和虚拟设备
物理和虚拟设备
—
—
注:AWS = 亚马逊云服务; Azure = 微软Azure; GCP = 谷歌云平台
资料来源:Gartner(2024 年 3 月)
市场建议
企业应大力考虑 NDR 解决方案来补充基于签名的网络安全工具和网络沙箱。许多 Gartner 客户报告说,NDR 工具已检测到其他外围安全工具未能检测到的可疑网络流量。
评估 NDR 供应商时,请评估以下因素:
-
纯功能与 NDR 作为功能:在决定将 NDR 作为其他技术供应商(例如 SIEM 或 XDR)的功能实施,或投资更全面的功能之前,请考虑 NDR 检测的成本、部署要求、复杂性和效率。本市场指南中分析的供应商之一提供的特色纯 NDR 解决方案。
-
混合网络可见性:新 NDR 部署的范围仅适用于本地 IT 部分的情况很少见。每种类型的网络(例如 OT、IaaS)都有其自己的一组要求,并且可能面临特定的威胁。
-
检测:NDR 检测依赖于多种技术。一些 NDR 产品之所以强大,是因为它们结合了多种技术;其他人主要依赖于单一技术(机器学习、威胁情报或签名)。重点关注检测类型,并考虑“NDR 检测到的关键事件的百分比”等指标来比较 NDR 解决方案。
-
误报:所有基于异常检测的技术都容易出现误报。确定选择的供应商是否具有良好的记录,可以通过可定制的阈值或与所在细分市场中的组织微调行为生物识别技术来帮助最大限度地减少误报。
-
响应:一些供应商更注重自动响应(例如,向防火墙发送命令以丢弃可疑流量),而其他供应商则更注重支持事件响应工作流程,甚至通过威胁搜寻功能对其进行补充。
-
集成:当 NDR 产品检测到问题时,告警是否必须发送到其控制台,还是可以发送到第三方工具进行警报?是否与第三方执行产品(例如企业防火墙或网络访问控制产品)集成?
此外,负责评估和比较 NDR 供应商的安全和风险管理领导者应首先定义合理化的指标(例如,“严重事件的百分比”、“误报百分比”、“分类为误报的平均时间”或“改进”)。同时检测勒索软件事件”)。这些
指标与 NDR 等检测系统更相关,应触发较少数量的告警。领导者还应该评估 NDR 如何改变威胁检测、SOC 生产力和自动响应“足够好”的定义。此类指标的示例包括“NDR 检测到的关键事件的百分比”或“调查事件/误报的平均时间平均减少”。
-
-
-
-
-
-
-
-
-
