V najnovšej štúdie Gartner sa zameriame na najdôležitejšie prípady použitia, ktoré ovplyvňujú trh NDR a poskytneme hlbšie pochopenie preferencií a trendy zákazníkov.
Opis technológie
Produkty na detekciu a odozvu na siete (NDR) zisťujú abnormálne správanie systému použitím behaviorálnej analýzy na údaje o sieťovej prevádzke. Priebežne analyzujú nespracované sieťové pakety alebo metadáta o prevádzke vo vnútorných sieťach (východ – západ) a verejných sieťach (sever – juh). NDR sa môže dodávať ako kombinácia hardvérových a softvérových zariadení pre snímače a konzoly na správu a orchestráciu vo forme lokálneho softvéru alebo SaaS. Organizácie sa spoliehajú na NDR pri odhaľovaní a potláčaní aktivít po útoku, ako sú ransomvér, vnútorné hrozby alebo bočné pohyby. NDR dopĺňa ostatné technológie, ktoré spúšťajú výstrahy predovšetkým na základe pravidiel a signatúr, vytváraním heuristických modelov bežného správania siete a odhaľovaním anomálií.
Tri prípady použitia NDR
Spoločnosť Gartner zaznamenáva vysoký počet otázok koncových používateľov týkajúcich sa NDR. Tento prieskum dokumentuje tri hlavné prípady použitia NDR a dôvody, prečo sú žiadané. Ukazuje tiež relatívne trhové preferencie týchto prípadov použitia a identifikuje konkrétne vplyvy a odporúčania pre lídrov produktov NDR
- Detection – odhaľuje útoky a iné škodlivé aktivity
- Incident Response – proces triedenia, vyhľadávania ďalších údajov a forenzných informácií, posudzovania rozsahu a celkového rizika, ako aj rokovania s ostatnými tímami s cieľom vyriešiť incident
- Response – automatická alebo manuálna činnosť na zmiernenie útoku, zhromažďovanie ďalších forenzných údajov alebo zaznamenávanie útoku do iných systémov
Klienti sa čoraz viac stotožňujú s bezpečnostnými operačnými centrami (SOC), čo pred dvoma rokmi, keď dominovali sieťové riešenia, neplatilo. Toto zosúladenie je pravdepodobne zodpovedné aj za nárast prípadov použitia IR.
Umelá inteligencia je naďalej kľúčovou požiadavkou na produkty NDR. Všetci klienti požadujú a očakávajú od produktov NDR funkciu AI. Trh to vníma tak, že ide o jednu z kľúčových technológií, ktoré odlišujú NDR od ostatných produktov sieťovej bezpečnosti. Nedostatok schopnosti AI alebo dokonca robustná schopnosť AI pravdepodobne vyradí produkt NDR z úvahy. Namiesto schopnosti detekcie, ktorá identifikuje len “známe” útoky, umožňuje AI NDR nájsť “neznáme” útoky prostredníctvom korelácie historických údajov alebo rozpoznania anomálnej aktivity, ktorá je (alebo pravdepodobne je) škodlivá. Tento prístup je v mnohých prípadoch pravdepodobnostný namiesto deterministického, ale trh má pocit, že technológia NDR dozrela do takej miery, že je táto forma detekcie praktická.
Pre podrobnejšie a rozšírenejšie analýzy prejdite na celú správu (Zdroj): Gartner Reprint
