Российские организации преимущественно остаются в парадигме IDS/сигнатурного подхода, точечно внедряют автоматизацию, в то время как мир уже перешёл к NDR как обязательному элементу сетевой обороны. Это показал анализ мировых трендов в сетевой защите, который провела «Гарда».
Российский рынок кибербезопасности пока слабо использует поведенческий анализ и машинное обучение для мониторинга сетевого трафика; автоматизированное реагирование применяется фрагментарно. Большинство отечественных решений всё ещё строятся вокруг IDS-архитектуры и сигнатурного обнаружения, к которым добавляют вспомогательные модули — тогда как глобальные тенденции показывают уже сформировавшийся стандарт: NDR-платформы как базовый слой сетевой безопасности.
На фоне роста атак с lateral movement компании в РФ только начинают искать альтернативу устаревшим NGIDS/NTA-решениям и медленно движутся к концепции адаптивного реагирования. В мире же NDR тесно интегрирован с SIEM, SOAR, NGFW, NAC, EDR и песочницами, обеспечивает корреляцию событий, риск-скоринг, интерактивный анализ трафика и автоматическое принятие мер (изоляция хостов, разрыв сессий, блокировка каналов связи). Продвинутые платформы используют ИИ для расследований и автоклассификации инцидентов — снижая время реакции и повышая устойчивость инфраструктуры даже при неизвестных сценариях атак.
«Мы видим недостаточное внимание к технологиям несигнатурного детектирования угроз у российских заказчиков вместе с запросом на сокращение времени реакции и уменьшение нагрузки на аналитиков. NDR решает эту задачу за счет продвинутой аналитики и автоматизации расследований. Возможность обнаруживать угрозы на ранней стадии и автоматически на них реагировать приносит бизнесу тройную выгоду: минимизирует финансовые потери, высвобождает ресурсы команды SOC и обеспечивает скорость принятия критически важных решений. Все это создает фундамент для построения следующего уровня киберзащиты», – отмечает Станислав Грибанов, руководитель продукта «Гарда NDR».
