近日，全球權(quán)威信息技術(shù)研究機構(gòu)Gartner接連發(fā)布兩份NDR新興技術(shù)趨勢報告（Emerging Tech: Security——Adoption Growth Insights for Network Detection and Response; Emerging Tech: Top Use Cases for Network Detection and Response，以下簡稱“報告”），在網(wǎng)安圈掀起一陣激烈討論。包括奇安信、360、微步在線、深信服、山石網(wǎng)科等多家廠商入選其中，同時報告對終端用戶關(guān)注點及NDR應(yīng)用場景做了詳盡分析。其中，報告內(nèi)有以下幾個值得關(guān)注的看點。

看點一：中國廠商成為全球NDR市場新勢力

此次入選Gartner NDR新興技術(shù)趨勢報告的代表廠商中，國外企業(yè)仍占絕大多數(shù)，思科、Darktrace、ExtraHop、Fortinet、Trellix等知名安全廠商均在其中。相比之下，國內(nèi)廠商相對較少，以奇安信、360、微步在線、深信服、山石網(wǎng)科等為代表廠商。但對比往期同類趨勢報告，本次入選的中國廠商數(shù)量有小幅上升，也側(cè)面反映了NDR市場需求持續(xù)增長，國內(nèi)NDR廠商影響力在不斷提升。

【資料圖】

看點二：NDR仍處于早期成熟階段，滲透率有很大提升空間

市場增速上，自Gartner2020年第一次提出該概念，NDR一直處在較快增長階段。報告顯示，2020年和2021年NDR全球市場收入分別增長23.7%和23.0%。不過，2022年NDR市場增速有所放緩，2022年第一季度至第三季度期間，收入同比增長僅為16.3%。

Gartner預(yù)計，從2021年到2026年，全球終端企業(yè)在NDR的支出（以固定貨幣計算），整體年復(fù)合增長率（CAGR）增速為14.1%，增速相對放慢。而從2022年Gartner最新安全運營技術(shù)成熟度曲線來看，目前NDR仍在早期成熟階段，屬于穩(wěn)步爬升復(fù)蘇期，要達到生產(chǎn)成熟期，仍需2-5年時間。NDR市場未來發(fā)展規(guī)模及滲透率，還有很大提升空間。

圖源：Gartner, Inc., [Hype Cycle for Security Operations, 2022], [ Andrew Davies], [ July 5, 2022].

看點三：金融、政府仍為NDR主陣地，能源設(shè)施行業(yè)2022投入大幅增長

報告指出，2022年政府與金融依舊是對NDR最感興趣的行業(yè)。究其原因，在于NDR作為專業(yè)型產(chǎn)品，想要充分發(fā)揮其價值，需要用戶達到一定水平的安全能力與流程成熟度。而金融、政府在網(wǎng)絡(luò)安全建設(shè)、安全人才儲備上，相比其他行業(yè)均非?？壳啊?/p>

從Gartner觀察來看，金融與政府也是NDR產(chǎn)品的兩大主要消費行業(yè)及和早期產(chǎn)品采用領(lǐng)域。它們通常會投資大量安全產(chǎn)品及工具，同時投入資源建設(shè)安全團隊，從而提升安全產(chǎn)品利用效率。另外，一些傳統(tǒng)對安全投入相對較少的能源及公共設(shè)施行業(yè)，2022年在NDR方面的投入有較大增長，主要原因在于大量供應(yīng)鏈攻擊事件的發(fā)生，以及物聯(lián)網(wǎng)運營技術(shù)（OT）系統(tǒng)成為被攻擊對象。

看點四：中型企業(yè)NDR興趣提升，更關(guān)注自動化水平

根據(jù)報告，采用NDR產(chǎn)品的組織規(guī)模，與產(chǎn)品采用興趣呈正相關(guān)，即組織越大，對NDR產(chǎn)品越感興趣。大型組織的安全流程與能力，也足以滿足NDR產(chǎn)品對安全成熟度的要求。

此外，2022年也出現(xiàn)了一些新的變化：中型企業(yè)對NDR產(chǎn)生更大興趣。原因在于，中型企業(yè)資源少，其需要更多自動化的能力。對于廠商而言，如果想要服務(wù)好這些用戶，NDR產(chǎn)品需要運用更多人工智能（AI）技術(shù)，且不僅僅局限于檢測場景，還需將AI更多應(yīng)用在安全運營工作流程中，改進自動化水平及整體易用性，例如告警優(yōu)先級、安全措施建議、自動取證等用例。

看點五：NDR核心場景縮減，新增應(yīng)急響應(yīng)

報告中，Gartner將“威脅狩獵”與“取證”合并為“應(yīng)急響應(yīng)”（Incident Response，IR），定義為NDR新的三大核心場景之一（其余兩大核心場景包括檢測與響應(yīng)）。這是一個集分類、額外數(shù)據(jù)追蹤、取證及影響范圍和整體風(fēng)險評估、協(xié)調(diào)其他團隊處理安全事件的過程。之所以這樣劃分，不僅是因為威脅狩獵與取證兩者之間的聯(lián)系非常緊密，更在于甲方企業(yè)也越來越關(guān)注該場景的能力。

報告稱，如果企業(yè)無法通過第三方對檢測能力進行準(zhǔn)確評估，應(yīng)急響應(yīng)能力通常會成為企業(yè)選擇某個廠商的主要原因。相比其他場景，“應(yīng)急響應(yīng)“能更直接體現(xiàn)NDR產(chǎn)品的工作流、用戶界面操作體驗的能力水平。企業(yè)在評價NDR產(chǎn)品時，也會重點驗證應(yīng)急響應(yīng)整體流程，如果與企業(yè)自身工作實際流程匹配，多半會選擇該產(chǎn)品或加速對該NDR產(chǎn)品的采購決策。

看點六：NDR響應(yīng)方式以端點產(chǎn)品或EDR居多

NDR這個名字本身，就決定了它必須包含響應(yīng)能力，針對發(fā)現(xiàn)的威脅或攻擊進行處置。不過與傳統(tǒng)“防護”類安全設(shè)備不一樣的是，NDR的響應(yīng)能力具備極強的靈活性，能夠很好地與其他類型安全產(chǎn)品進行聯(lián)動，處置威脅，并降低產(chǎn)品部署在生產(chǎn)網(wǎng)中存在的潛在風(fēng)險。

另外，在之前對NDR產(chǎn)品響應(yīng)能力的分析中，市場上都未曾出現(xiàn)過任何主流的響應(yīng)對接方式，但2022年市場發(fā)生了新的變化。報告顯示，在咨詢企業(yè)終端用戶過程中，最常見的響應(yīng)方式是NDR與端點產(chǎn)品或EDR產(chǎn)品進行集成響應(yīng)。還有一點需要關(guān)注的是，雖然AI應(yīng)用到“響應(yīng)”場景的投入遠低于“檢測”與“應(yīng)急響應(yīng)”場景，屬于NDR產(chǎn)品中AI投入最少的核心場景，但未來很可能成為AI增長率最快的環(huán)節(jié)。

圖源：Gartner, Inc., [Emerging Tech: Top Use Cases for Network Detection and Response], [Nat Smith, Christian Canales, Jeremy D"Hoinne, Dan Ayoub], [ 1.April 5, 2023].

以上是報告中一些值得關(guān)注的看點，不知道對你有何啟發(fā)。未來，隨著國內(nèi)對威脅可視化與實戰(zhàn)化需求的迅速增加，NDR市場的發(fā)展依舊值得期待和持續(xù)關(guān)注。（雷渺鑫）

標(biāo)簽：