Gartner发布NDR平台新兴技术趋势： NDR平台的10大主要趋势

由于攻击面扩大，NDR 产品正在不断发展，但买家很难区分供应商。为了保持竞争力，产品领导者必须使用 AI 技术，将覆盖范围扩大到 OT、IoT 和云环境，并改善与其他安全产品的集成。

主要发现

• 各供应商在网络检测和响应 (NDR) 产品中采用 GenAI ，可以提高检测的性能和一致性，同时有助于减少误报和告警疲劳，并实现更好的事件关联和呈现。

• NDR 供应商正在开发超越传统网络的功能，以提供跨混合环境的覆盖，包括 IT、运营技术 ( OT )和多云环境。这种覆盖通过支持 IT 和 OT 协议来应对不断增长的攻击面。

• NDR 在成熟企业中仍然具有最大的吸引力，但 NDR 供应商也通过托管安全服务提供商(MSSP) 集成产品将重点放在中型企业上。行业特定和关键基础设施用例也是关注的重点。

建议

寻求利用新兴 NDR 趋势的产品领导者必须：

• 通过逐步推出自动化响应工作流程的 AI 代理，实现可以通过神经网络和深度学习检测加密流量的高保真检测。

• 通过针对 MITRE 等攻击框架进行基准测试，增强有效检测和应对攻击的能力，并将网络遥测的可见性集中到包括本地、多云和 OT 环境。

• 通过从网络检测发展到应对更广泛的攻击面，提高 NDR 产品作为综合威胁检测和响应平台的有效性。关注身份和用户行为，并与其他安全检测工具集成以提供全面的可视性。

介绍

过去三年带来收入的 NDR 产品路线图计划不会在未来五年带来成功。许多 NDR 供应商正在努力平衡三个优先事项：

• 减少产品的误报和告警疲劳

• 在企业之外的混合环境中扩展（即多云和 OT/IoT 环境）

• 实现与其他安全检测工具的集成并支持零信任生态系统

NDR 产品提供商必须将精力集中在三个特定的产品功能重点上，才能在日益拥挤、买家疲劳和沮丧的市场中保持或获得竞争差异化。

技术描述

NDR 产品通过对网络流量数据应用行为分析来检测异常系统行为。它们持续分析内部网络（东西向）和内部与外部网络（南北向）之间的原始网络数据包或流量元数据。NDR 产品包括自动响应，例如主机遏制或流量阻止，可直接或通过与其他网络安全工具集成实现。NDR 可以作为传感器硬件和软件设备的组合提供，其中一些设备具有 IaaS 支持。管理和编排控制台可以是软件或 SaaS。

组织还依赖 NDR 来检测和遏制勒索软件、内部风险或横向移动等违规后活动。NDR 通过构建正常网络行为的启发式模型并发现异常，补充了其他主要基于规则和签名触发警报的技术。

NDR的关键组件如图1所示。

图 1：NDR 核心功能

NDR 通常用作补充检测和响应技术，是更广泛的网络安全和安全运营工具库的一部分。这些工具包括安全编排、自动化和响应 (SOAR)、安全信息和事件管理 (SIEM)、终端检测和响应 (EDR) 以及扩展检测和响应 (XDR) 工具。

NDR 是现代网络安全战略的重要组成部分，专注于检测、调查和应对网络流量中的可疑活动和威胁，同时考虑东西向流量和南北向流量的横向移动。目前有 40 多家 NDR 供应商，每家都有不同的功能。随着网络威胁变得越来越复杂，NDR 产品也在不断发展，以提供更全面、更有效的保护。以下背景和上下文部分详细介绍了 NDR 产品中正在整合的一些不断发展的功能。

混合 NDR 平台有三个优先事项，与本分析中的建议相关。请参阅图 2 了解概览。

图 2：关键见解：混合网络检测和响应平台的三大优先事项

关键见解 1：为了保持竞争力，NDR 平台需要以人工智能和机器学习为核心。

通过使用机器学习算法分析数据，以及使用高级人工智能应用人类智能，NDR 平台在不断增长的混合攻击面上变得更加有效。通过有效使用大型语言模型 (LLM) 并专注于自动化功能，更广泛的威胁检测正在增加对 NDR 功能的关注，减少混合环境中的常规任务并增加威胁检测。高级行为分析使 NDR 平台能够更有效、更快地分析网络流量模式并检测表明恶意活动的异常。

机器学习算法通过识别与驱动自动威胁检测的恶意活动相关的模式和行为，增强了识别新威胁和未知威胁的能力。这使得 NDR 能够通过构建正常网络行为的启发式模型和检测异常来补充其他主要根据规则和签名触发告警的技术。监督和非监督机器学习（一种人工智能）的使用增加正在提高 NDR 的价值。

由此产生的高级分析有助于减少误报，使安全团队能够专注于真正的威胁，并自动检测和响应容易发生的攻击。

通过监督和无监督机器学习提高威胁检测的有效性，AI 的使用已发展成为 NDR 供应商不可或缺的能力。NDR 供应商正在开发网络安全 AI 助手，以充当“SOC 助手”，以协助安全运营中心 (SOC) 团队。这一发展使快速、自动化的响应和优化的安全事件处理成为可能，确保实时威胁预测和预防，这对于维护网络完整性至关重要。 

对产品领导者的近期影响

AI 已在 NDR 中用于检测，因此为了脱颖而出，产品负责人应寻找替代用例。近期机会在于通过改进搜索能力和自动化工作流程来锁定安全运营中心 (SOC) 买家。使用神经语言处理功能提供“SOC 助手”功能来协助安全运营团队。

在提供商没有收入的情况下，工程团队可能会过度投资 AI 和 ML 来增加 NDR 产品的价值，从而存在风险。当然，这是一个有效的扩张计划，但首要任务应该是留住现有客户并击败竞争对手。首先评估 AI 技术和自动化的组合，以提高警报分类和响应能力。产品重点应放在运营方面，包括对警报进行优先级排序和自动获取取证以帮助搜寻。

未来 6 至 18 个月的建议行动

• 继续投资新的 AI 技术，使 NDR 成为威胁检测领域的核心功能，尤其关注 OT /IoT 和多云等特殊用例。通过构建提供快速、可操作答案的直观 UX 工具，评估结合 AI 技术与自动化对改善警报分类和响应能力的效果。

• 产品负责人应专注于运营方面，包括告警优先级排序和自动获取取证信息以帮助威胁狩猎。考虑使用自学习 AI 功能来检测整个网络中的已知和新型威胁，而无需依赖历史攻击数据。

• 希望在市场上脱颖而出的 NDR 供应商必须提高搜索能力、工作流程自动化和神经语言处理能力，以提供“SOC 助手”功能来协助安全运营团队。通过自动对最关键的威胁进行评分/排名，最大限度地减少误报，从而专注于响应。

关键见解 2：利用 NDR 作为零信任架构的补偿控制，促进预防优先的安全方法。

凭借资产发现、基于身份的检测和完整数据包捕获等功能，NDR 平台正成为持续验证零信任态势的有效工具。NDR产品正在不断发展，以在零信任生态系统中对攻击进行检测和响应。在将 NDR 与零信任框架集成时，目标需要是增强检测和响应能力，同时遵守零信任的严格访问控制和验证原则。

为了实现有效集成，NDR 产品应重点关注以下五种关键方法：

• 增强可视性：NDR 提供整个网络的全面可视性，这对于实施零信任策略至关重要。所有网络段（包括微分段部署）都需要可视性，以确保 NDR 能够检测到未经授权的访问尝试和策略违规行为。

• 上下文感知检测：将 NDR 与零信任原则相结合，可以实现上下文感知检测。例如，如果用户尝试访问他们通常不使用的资源，NDR 可以将此标记为可疑并触发其他验证步骤。

• 自适应安全：零信任策略可以根据 NDR 的洞察进行动态调整。例如，如果 NDR 检测到新的威胁模式，则可以更新零信任策略以减轻将来的类似威胁。

• 自动响应：NDR 工具可以通过隔离受感染的设备、终止可疑会话或要求对危险活动重新进行身份验证来自动实施零信任策略。

• 全面的日志记录和审计：NDR 和零信任都依赖于详细的日志记录和审计。集成这些日志有助于创建所有活动的统一视图，从而促进更好的事件响应和合规性报告。

对产品领导者的近期影响

近期有机会以零信任环境为重点发展 NDR，将零信任架构的原则与复杂的检测和响应能力相结合。产品领导者需要审查和调整当前的 NDR 产品路线图，以专注于检测和响应能力的先发制人的安全方法。他们必须使用零信任方法来检测和响应访问的身份验证和授权，作为更广泛的检测和响应能力的一部分。

产品领导者应重点关注以下可提高：

• 能见度

• 情境感知检测

• 自适应安全

• 自动响应操作

他们还应该考虑管理控制台的有效性，确保仪表板中的复杂可见性仍然有效，以提供强大的用户体验。

未来 6 至 18 个月的建议行动

• 产品领导者必须以平台思维来审查和开发现有的 NDR 路线图，以便与企业中现有的安全平台集成，从而从多个点产品（包括防火墙、EDR、ZTNA、SOAR、SIEM 和基于传统签名的检测工具）中提取数据。

• 开发利用 NDR 作为零信任架构补偿控制的用例。无论是在方法还是在信息传递方面，关键都是通过检测预防控制措施遗漏的内容来促进预防优先的安全方法，重点关注上述五种关键方法。

• 寻求与相邻的安全工具（例如identity 和用户和实体行为分析 (UEBA)）与现有 NDR 平台的集成，以在零信任生态系统中实现有效的主动防御。

关键见解 3：NDR平台通过提供对 OT 和 IoT 网络的可视性进行扩展。

NDR 产品正成为保护OT 和IoT 环境的重要功能，可提供可视性、威胁检测和自动响应功能，以满足工业控制系统和关键基础设施的独特需求。日益增长的攻击形势和 IT 与 OT 之间空隙的缩小正在创造这种用例。医疗保健、制造业、国防和关键国家基础设施环境等行业尤其受到关注。市场份额最大的 NDR 供应商继续将产品发展为基于平台的功能，专注于与相邻的安全工具（如 XDR、EDR、防火墙、SIEM、IDS 和身份产品）集成。

为了使 NDR 产品能够全面了解所有网络流量（包括 IT 和 OT 网络），它们需要更广泛的协议感知来支持 OT 环境。OT 使用与典型 IT 协议不同的专用协议（例如 Modbus、DNP3、IEC 61850），并引起了组织越来越多的关注。NDR供应商通过利用 AI 支持 OT 协议，正在扩展其有效检测和缓解网络威胁的能力，确保 OT 和 IoT 网络的安全性、可靠性和连续性，NDR市场中专注于此类新兴技术的供应商正在实现最高的产品差异化，如下图 3 所示。 

图 3：NDR 市场机会

对产品领导者的近期影响

NDR 产品负责人应将 OT 集成能力纳入其产品路线图中，以确保覆盖更广泛的攻击面。这应提供对 OT、工业控制系统和监控和数据采集 (SCADA) 环境的可见性，并支持本机 OT 协议，以在两种环境中提供全面的功能。此外，NDR 平台需要能够与现有安全平台集成，包括：

• SIEM 提供 IT 和 OT 环境中安全事件的集中记录、关联和分析

• 安全编排、自动化和响应 (SOAR) 平台，用于扩展不同安全工具之间的自动化工作流程和协调响应操作

• 基于规则的检测，用于识别特定于 OT 环境的已知威胁和攻击模式

未来 6 至 18 个月的建议行动

• 通过构建对 OT 的基本功能支持（包括资产发现和对分析 OT 协议的支持），满足 OT 环境内检测和响应可见性的需求，这使 NDR 平台能够有效地在不断扩大的攻击面上进行检测和响应。

• 专注于特定行业和用例以增强 IT/OT 集成产品，并通过与相邻的安全平台集成来测试跨混合部署的产品有效性，包括用于集中日志记录和工作流程和响应自动化的 SIEM/SOAR 工具。

代表性样品供应商

• aizoOn

• Arista Networks

• Cisco

• Corelight

• Cynamics

• Darktrace

• Exeon

• ExtraHop

• Fidelis Security

• Fortinet

• Gatewatcher

• 山石

• LogRhythm

• MixMode

• NANO Corp

• Netography

• NetWitness

• NextRay AI

• Plixer

• Quad Miners

• 深信服

• Sesame IT

• Stamus Networks

• Stellar Cyber

• 腾讯

• 微步

• ThreatWarrior

• Trellix

• Trend Micro

• Vectra

背景和上下文

NDR 平台的主要趋势

1、人工智能和机器学习

行为分析——现在，NDR 供应商都使用 AI 和机器学习来分析网络流量模式，并更有效、更可靠地检测可能表明恶意活动的异常。

自动威胁检测——人工智能和机器学习算法通过识别与恶意活动相关的模式和行为，增强了识别新威胁和未知威胁的能力。

减少误报——事件关联算法有助于减少误报，使安全团队能够专注于真正的威胁。

2、NDR 延伸至云端

可扩展性和灵活性——NDR能够检测来自云环境的网络流量，从而具有完整的可见性并提供可扩展性和灵活性，从而更容易监控和保护动态云环境，大多数 NDR 供应商都提供将检测扩展到超大规模环境和一些区域云提供商的能力。

NDR 产品越来越多地与云安全工具和平台集成，为云工作负载和服务提供全面的保护。

3、与扩展检测和响应 (XDR) 集成

统一威胁检测——XDR平台集成来自多个安全层的数据，包括 NDR、终端检测和响应 (EDR) 以及电子邮件安全，以提供威胁的整体视图。

简化的事件响应——通过关联不同安全域的数据，XDR 可以实现更快、更准确的事件响应。

4、IoT 和 OT 网络的可视性

NDR 产品越来越多地用于保护OT 环境。这些环境往往是复杂网络威胁的目标，因为它们具有关键性质，并且可能造成中断影响。OT 网络通常具有可预测的流量模式，并且对内联安全控制的容忍度很低，这是 NDR 异常检测技术的一个很好的用例。

OT 安全——NDR产品也正在适应保护 OT 环境，例如工业控制系统和 SCADA 系统，这些系统越来越多地成为网络威胁的攻击目标。

物联网安全——随着物联网设备数量的增长，NDR 产品正在扩展其监控和警报物联网网络中异常活动的功能。

5、零信任集成

持续监控— NDR 通过捕获无法阻止的攻击来支持零信任态势。直接从所有设备和应用程序收集和分析遥测数据可以提供持续的可视性，即使在已应用零信任原则和微分段策略的网络中也是如此。

6、加密流量分析

加密流量的可见性——随着加密的使用日益增多，NDR 产品不断添加无需解密即可分析加密流量的技术，使用流量模式分析和元数据检查等方法。

传输层安全 ( TLS) 解密——一些 NDR 产品提供解密和检查 TLS 流量的功能，从而提供对网络通信的更深入的可视性。然而，这引发了隐私法以及如何处理和存储解密数据的问题。

7、威胁情报集成

实时威胁情报——集成实时威胁情报源可增强 NDR 产品检测和应对新出现的威胁的能力。

上下文威胁分析——威胁情报为检测到的异常提供背景，帮助安全团队更有效地确定威胁的优先级并应对威胁。

8、自动化和编排

自动响应措施——NDR 产品正在整合自动响应功能，例如隔离受感染的设备或通过与其他工具集成来阻止恶意流量，从而缩短缓解威胁的时间。

SOAR 集成——与 SOAR 平台集成可实现跨不同安全工具的自动化工作流程和协调的响应操作。

9、用户和实体行为分析（UEBA）

异常检测——UEBA功能正在集成到 NDR 产品中，以检测可能表明内部威胁或账户受损的用户和实体的异常行为。

背景洞察——UEBA为检测到的异常提供背景洞察，帮助安全团队了解威胁的性质和潜在影响。

10、加强取证和事件调查

深度数据包检测——NDR产品采用深度数据包检测 (DPI) 来提供网络流量的详细分析，并通过在数据保留期内存储全数据包捕获来支持取证调查。

历史数据分析——存储和分析历史网络流量数据的能力有助于安全团队调查过去的事件并识别恶意活动的模式。

结论

NDR 格局正在迅速发展，以应对日益复杂和精密的网络威胁。通过利用 AI/ML 等先进技术并与 XDR 和零信任等更广泛的安全框架集成，同时将可见性扩展到云、物联网和 OT 环境。

NDR 解决方案在检测和应对威胁方面变得越来越有效。随着组织继续采用这些先进的 NDR 功能，他们将能够更好地保护其网络和数据免受新兴网络威胁的侵害。