Gartner NDR报告出炉：奇安信、360、微步、深信服、山石网科等厂商入选

就在月初，Gartner接连发布两份NDR新兴技术趋势报告（Emerging Tech: Security——Adoption Growth Insights for Network Detection and Response; Emerging Tech: Top Use Cases for Network Detection and Response，以下简称“报告”），在网安圈掀起一阵激烈讨论。包括奇安信、360、微步在线、深信服、山石网科等多家厂商入选其中，同时报告对终端用户关注点及NDR应用场景做了详尽分析。这里，我们也为大家梳理了如下最值得关注的几个看点。

看点1：中国厂商成全球NDR市场新势力

此次入选Gartner NDR新兴技术趋势报告的代表厂商中，国外企业仍占绝大多数，思科、Darktrace、ExtraHop、Fortinet、Trellix等知名安全厂商均在其中。相比之下，国内厂商相对较少，以奇安信、360、微步在线、深信服、山石网科等为代表厂商。对比往期同类趋势报告，本次入选中国厂商数量有小幅上升，也侧面反映NDR市场需求持续增长，国内NDR厂商影响力在不断提升。

看点2：NDR仍处早期成熟阶段，渗透率有很大提升空间

市场增速上，自Gartner2020年第一次提出该概念，NDR一直处在较快增长阶段。根据报告，2020年和2021年NDR全球市场收入分别增长23.7%和23.0%。不过，2022年NDR市场增速有所放缓，2022年第一季度至第三季度期间，收入同比增长仅为16.3%。

Gartner预计，从2021年到2026年，全球终端企业在NDR的支出（以固定货币计算），整体年复合增长率（CAGR）增速为14.1%，增速相对放慢。而从2022年Gartner最新安全运营技术成熟度曲线来看，目前NDR仍在早期成熟阶段，属于稳步爬升复苏期，要达到生产成熟期，仍需2-5年时间。NDR市场未来发展规模及渗透率，还有很大提升空间。

图源：Gartner, Inc., [Hype Cycle for Security Operations, 2022], [ Andrew Davies], [ July 5, 2022].

看点3：金融、政府仍为NDR主阵地，能源设施行业2022投入大幅增长

报告指出，2022年政府与金融依旧是对NDR最感兴趣的行业。究其原因，在于NDR作为专业型产品，想要充分发挥其价值，需要用户达到一定水平的安全能力与流程成熟度。而金融、政府在网络安全建设、安全人才储备上，相比其他行业均非常靠前。

从Gartner观察来看，金融与政府也是NDR产品的两大主要消费行业及和早期产品采用领域。它们通常会投资大量安全产品及工具，同时投入资源建设安全团队，从而提升安全产品利用效率。另外，传统对安全投入相对较少的能源及公共设施行业，2022年在NDR的投入有较大增长，主要原因在于大量供应链攻击事件的发生，以及物联网运营技术（OT）系统成为被攻击对象。

看点4：中型企业NDR兴趣提升，更关注自动化水平

根据报告，采用NDR产品的组织规模，与产品采用兴趣呈正相关，即组织越大，对NDR产品越感兴趣。大型组织的安全流程与能力，也足以满足NDR产品对安全成熟度的要求。另外，2022年也出现了一些新的变化：中型企业对NDR产生更大兴趣。原因在于，中型企业资源少，它们需要更多自动化的能力。对于厂商而言，如果想要服务好这些用户，NDR产品需要运用更多人工智能（AI）技术，且不仅仅局限于检测场景，还需将AI更多应用在安全运营工作流程中，改进自动化水平及整体易用性，例如告警优先级、安全措施建议、自动取证等用例。

看点5：NDR核心场景缩减，新增应急响应

报告中，Gartner将“威胁狩猎”与“取证”合并为“应急响应”（Incident Response，IR），定义为NDR新的三大核心场景之一（其余两大核心场景包括检测与响应）。这是一个集分类、额外数据追踪、取证及影响范围和整体风险评估、协调其他团队处理安全事件的过程。之所以这样划分，不仅是因为威胁狩猎与取证两者之间的联系非常紧密，更在于甲方企业也越来越关注该场景的能力。

报告称，如果企业无法通过第三方对检测能力进行准确评估，应急响应能力通常会成为企业选择某个厂商的主要原因。相比其他场景，“应急响应“能更直接体现NDR产品的工作流、用户界面操作体验的能力水平。企业在评价NDR产品时，也会重点验证应急响应整体流程，如果与企业自身工作实际流程匹配，多半会选择该产品或加速对该NDR产品的采购决策。

看点6：NDR响应方式以端点产品或EDR居多

NDR这个名字本身，就决定了它必须包含响应能力，针对发现的威胁或攻击进行处置。不过与传统“防护”类安全设备不一样的是，NDR的响应能力具备极强的灵活性，能够很好地与其他类型安全产品进行联动，处置威胁，可以降低产品部署在生产网中存在的潜在风险。

另外，在之前对NDR产品响应能力的分析中，市场都未曾出现过任何主流的响应对接方式，但2022年市场发生了新的变化。根据报告，在咨询企业终端用户过程中，最常见的响应方式是NDR与端点产品或EDR产品进行集成响应。另外，虽然AI应用到“响应”场景的投入远低于“检测”与“应急响应”场景，属于NDR产品中AI投入最少的核心场景，但未来很可能成为AI增长率最快的环节。

图源：Gartner, Inc., [Emerging Tech: Top Use Cases for Network Detection and Response], [Nat Smith, Christian Canales, Jeremy D'Hoinne, Dan Ayoub], [ 1.April 5, 2023].

以上是报告中，最值得关注的所有看点，不知道对你有何启发。随着国内对威胁可视化与实战化需求的迅速增加，NDR市场的发展依旧值得期待与持续关注。

参考资料：

Emerging Tech: Top Use Cases for Network Detection and Response, Nat Smith, Christian Canales, Jeremy D'Hoinne, Dan Ayoub, April 5, 2023

Emerging Tech: Security — Adoption Growth Insights for Network Detection and Response, Nat Smith, Christian Canales, Jeremy D'Hoinne, April 4, 2023

Hype Cycle for Security Operations, 2022, Andrew Davies, July 5, 2022