Анализ российского рынка сетевой безопасности показывает преобладание традиционных подходов к анализу трафика. Российские компании в основном используют сигнатурные методы и системы обнаружения вторжений, в то время как на глобальном рынке активно применяются платформы NDR с поведенческим анализом и автоматическим реагированием.
Российские компании почти не применяют продвинутые методы анализа сетевого трафика на базе поведенческого анализа и машинного обучения, а автоматизация реагирования используется точечно. Также многие поставщики средств защиты продолжают опираться на сигнатурный подход и IDS (систему обнаружения вторжений) с дополнительными модулями. В то же время в мире NDR (Network Detection and Response) перестал быть нишевым инструментом и стал обязательным элементом современной архитектуры сетевой безопасности. Это показал анализ мировых трендов в сетевой защите, который провела «Гарда».
Рост числа атак с горизонтальным перемещением вынуждает российские компании искать новые, более эффективные способы защиты своей инфраструктуры. Хотя активно развиваются интеграции с SIEM и песочницами, рынок все еще полагается на устаревшие технологии NGIDS и NTA и не спешит переходить к NDR-платформам. Внедрение NDR делает бизнес более устойчивым, обеспечивает прозрачность сетевых коммуникаций и позволяет уверенно реагировать даже на неизвестные угрозы.
Современные компании ищут способы быстрее выявлять сетевые атаки и снижать ущерб, и именно эту задачу решают решения класса NDR. Во всем мире эта технология уже стала стандартом: NDR-платформы интегрируются с другими системами для мониторинга и реагирования на кибератаки (SIEM, SOAR, NGFW, NAC, EDR и песочницами), что позволяет сформировать единый контур защиты. Более 70% решений поддерживают риск-скоринг, временные шкалы, интерактивный анализ трафика и ручной запуск плейбуков. Автоматическое реагирование – изоляция хостов, разрыв сессий, блокировка соединений – выполняется без участия человека, а продвинутые продукты используют искусственный интеллект для расследований, приоритезации и автозакрытия инцидентов.
«Мы видим недостаточное внимание к технологиям несигнатурного детектирования угроз у российских заказчиков вместе с запросом на сокращение времени реакции и уменьшение нагрузки на аналитиков. NDR решает эту задачу за счет продвинутой аналитики и автоматизации расследований. Возможность обнаруживать угрозы на ранней стадии и автоматически на них реагировать приносит бизнесу тройную выгоду: минимизирует финансовые потери, высвобождает ресурсы команды SOC и обеспечивает скорость принятия критически важных решений. Все это создает фундамент для построения следующего уровня киберзащиты».
Станислав Грибанов, руководитель продукта «Гарда NDR»