W ciągu ostatnich kilku lat rozwiązania typu Detection & Response przestały być jedynie wąską niszą, a stały się dobrze rozpoznawalnym elementem wielowarstwowej strategii ochrony. Dzięki temu uzupełniają narzędzia zabezpieczające bazujące na regułach i sygnaturach oraz umożliwiają tworzenie heurystycznych modeli typowego zachowania sieci, które następnie wykorzystują do wykrywania anomalii.

Nic zatem dziwnego, że Gartner odnotowuje stały i szybki wzrost rynku NDR (Network Detection and Response), szacowany na 22,5 proc. rocznie. Wydany w marcu tego roku raport tej firmy analitycznej pokazuje, że przedsiębiorstwa coraz częściej poszukują rozwiązań, które mogą zapewnić im kompleksową widzialność w złożonych i hybrydowych środowiskach sieciowych, na które składa się infrastruktura on-premise, wdrożenia w chmurze, a także systemy automatyki przemysłowej (Operational Technology). Odnotowując coraz większy poziom złożoności infrastruktury, raport wskazuje na znaczenie rozwiązań NDR, które mogą być dostosowane do różnorodnych scenariuszy sieciowych.

Analitycy akcentują także transformacyjny wpływ sztucznej inteligencji na rozwiązania NDR. Przy czym wykorzystanie zaawansowanych modeli uczenia maszynowego (ML) jest wspierane przez architektury chmurowe. Umożliwia to przeprowadzanie w czasie rzeczywistym analiz na dużych wolumenach danych generowanych przez sieci korporacyjne. W efekcie NDR staje się coraz częściej stosowanym rozwiązaniem do wykrywania zagrożeń i reagowania na nie, które jest komplementarne i współpracuje z innymi narzędziami centrum operacji bezpieczeństwa (SOC), takimi jak SOAR, SIEM czy EDR.

Postępująca integracja

Obserwatorzy rynku wskazują na postępującą integrację NDR z innymi rozwiązaniami. Obejmuje ona współpracę z sensorami na urządzeniach końcowych, takimi jak EDR (End-point Detection and Response), a także przetwarzanie logów zewnętrznych z takich rozwiązań jak SIEM, analizę zdarzeń na monitorowanych platformach chmurowych poprzez interfejs API, jak również wsparcie środowisk przemysłowych (OT).

Warto przy tym zwrócić uwagę na nowe techniki wykrywania, związane ze wsparciem dla rozwiązań z sygnaturami oraz monitorowania wydajności i wykorzystania zewnętrznych informacji o zagrożeniach (threat intelligence). Ewolucja w kierunku wielofunkcyjnego wykrywania sieciowego ma – zdaniem analityków – współgrać z konwergencją operacji sieciowych i bezpieczeństwa.

W obszarze NDR zachodzi przy tym coraz większa automatyzacja procesu reagowania na incydenty. Rozwiązania tego typu same dokonują analizy informacji o pojedynczych, niepożądanych zdarzeniach, korelują je i agregują. Poprzez wzbogacanie alertów o informacje zapewniające lepszy kontekst oraz stosowanie uczenia maszynowego do usprawniania reagowania na incydenty, dostawcy chcą zachęcić zespoły SOC do większego korzystania z konsoli NDR i nieograniczania się tylko do przekazywania alertów do SIEM.

Zmiany zachodzą także w zarządzaniu NDR-ami. Wśród dostawców są tacy, którzy zaczęli oferować więcej usług wykraczających poza sam produkt i subskrypcje NDR. Usługi te mogą obejmować proaktywne powiadomienia od dostawcy w przypadku wykrycia incydentu, ale także w pełni zarządzane wykrywanie zagrożeń. Jednocześnie w obszarze NDR zachodzi przechodzenie do architektury chmurowej. Ponieważ scentralizowane podejście zwiększa jakość wykrywania dzięki sztucznej inteligencji, coraz więcej dostawców zapewnia więc tego typu analitykę tylko w chmurze.

Oszałamiające tempo wzrostu na rynku XDR Według szacunków Market Search Future wartość rynku XDR wzrośnie z poziomu 2,2 mld dol. w 2023 r. do 31,3 mld dol. w roku 2032, co daje zawrotną średnią roczną stopę wzrostu bliską 40 proc. Jego głównymi czynnikami są: rosnąca powierzchnia ataku, wymogi zgodności z nowymi regulacjami, brak wykwalifikowanych pracowników, integracja narzędzi bezpieczeństwa, rosnące wykorzystanie chmury oraz konieczność skutecznego reagowania na incydenty. Jeśli zaś chodzi o sposób wdrażania, wiele dużych firm i instytucji, które mają do czynienia z wrażliwymi danymi, preferuje systemy XDR on-premise, ponieważ zapewniają one wysoki poziom ochrony i kontroli dostępu.