IDC：2021年中国网络威胁检测与响应市场规模达到3.1亿美元 同比增长36.6%

IDC 定义下的网络威胁检测与响应产品通过大数据分析、人工智能等高级技术对记录、提取的网络流量进行实时分析，结合用户行为分析、网络事件、威胁情报或攻击模拟技术发现网络中潜在的威胁事件，并通过自动化或半自动化的手段对威胁或异常进行及时响应。IDC 认为，随着企业级客户对网络安全的认知和重视程度逐步提升，安全管理人员更为关注的是网络安全产品或解决方案是否能够在帮助企业满足政策合规的基础上，真实有效地帮助企业发现潜在的网络威胁并对安全事件做出快速地分析和处置，而不拘泥于采购哪项先进技术或哪个类型的产品。

IDC 认为，技术服务商应重点关注如下趋势：

• 加密技术已经普遍应用于网络传输中，而网络流量的加密在保护传输数据隐私的同时，也帮助了网络攻击和恶意流量更好地隐藏自己，使得网络安全防护难度明显增加。众多技术提供商正在尝试通过机器学习、人工智能等先进技术识别加密流量中的恶意威胁，并取得了一定成效。
  
• 将威胁事件映射到 ATT&CK 框架。如果技术提供商能够在其管理平台提取、组合、精简告警，从而生成更具针对性、高级别的告警，并将信息映射到 ATT&CK 矩阵和子技术目录上，安全分析师只需要在屏幕上点击鼠标即可获得充分的分析数据，这对技术提供商来说将是一个重大优势。
  
• 物联网、工业互联网、5G 在我国快速发展，企业资产和网络流量变得愈发多样和复杂，随着企业业务广泛迁移到多云、混合云等云计算平台，云安全同样受到企业普遍关注，因此，NDR 产品需要覆盖更多的业务场景，为企业网络流量提供无处不在的持续检测和防御。
  
• 随着企业级客户对安全能力融合、统一威胁管理的需求日益明确，NDR 正在融入包括威胁情报、编排与自动化响应等越来越多的能力，并向 SOC 或者 XDR 发展。但 NDR 技术提供商也需要意识到：目前国内众多企业都已经建设了安全运营中心或更为综合的态势感知系统，出于保护企业已有投资的目的，NDR 产品应该实现与用户现有 SOC 系统的共存，并成为现有安全能力的强力补充。
  

分析师观点

IDC 中国网络安全市场研究经理赵卫京表示，面对当前复杂的网络环境和日益猖獗的网络攻击，各类网络边界和终端防护产品往往专精于对单点威胁的检测和处置，缺少对告警信息上下文的关联分析以及对 APT 的发现能力。NDR 产品凭借对于企业网络流量的持续监测，结合其他安全产品丰富的日志以及海量威胁情报数据，智能检测网络中的潜在威胁，在越来越重视实战化防护能力的企业网络安全防护体系中起到重要作用。