Według przygotowanego przez firmę badawczą raportu "Network Access Control in 2009 and Beyond", w 80 proc. wdrożeń biznes wykorzystuje NAC w celu przyznawania ograniczonego dostępu użytkownikom, którzy mają uzasadniony powody, aby włączyć się do sieci, a nie są pełnoetatowymi pracownikami, z gwarantowanym pełnym dostępem do sieci.

Ustalenie czy punkt końcowy sieci spełnia podstawowy profil bezpieczeństwa - powód, dla którego stworzono NAC - jest na odległym, drugim miejscu: tylko 15 proc. wdrożeń ogranicza dostęp do sieci opierając się na stanie bezpieczeństwa punktu końcowego, określanym przez NAC.

Organizacje kupują rozwiązania NAC z dwóch zasadniczych powodów. Pierwszy to lansowanie pracy sieciowej opartej na tożsamości, poprzez łączenie adresów IP z indywidualna tożsamością użytkownika w celu lepszego śledzenie jego poczynań. Drugi to powstrzymywanie epidemii wirusowych i innych kodów złośliwych w momencie, kiedy zaczynają objawiać się one w podejrzanych zachowaniach.

Pięć lat temu NAC była uważany za technologię przeprowadzającą inspekcji laptopów i desktopów w momencie, kiedy łączyły się z siecią, oraz zapewniającą mechanizmy blokujące dostęp jeżeli nie spełniały one wymogów obowiązującej polityki bezpieczeństwa. Polityka mogła określać zarówno aktualność łatek systemu operacyjnego i oprogramowania bezpieczeństwa jak również właściwe ustawienia zapory ogniowej.

Jednak blokowanie dostępu w oparciu o taka ocenę do niezbyt dobry pomysł. Według raportu, takie podejście jest rzadko stosowane i generalnie powoduje więcej zamieszania niż pożytku. Bardzie powszechne i użyteczniejsze jest naprawa niedostatków wykazanych w czasie oceny NAC.

Jakiekolwiek niedostatki - wynikające z przyjętej polityki - ma punkt końcowy, oznacza to tylko tyle, że jest on narażony, a niekoniecznie niebezpieczny, tak więc nie ma konieczności poddawania go kwarantannie. Automatyczne uzupełnianie punktu końcowego w czasie podłączania do sieci jest bardziej powszechne i mniej "destrukcyjne" dla wydajności pracowników w takich wypadkach.

Według raportu, punkty końcowe, które są w wyraźny sposób niebezpieczne powinny być izolowane, ale większość rozwiązań NAC nie jest dostatecznie dojrzała, aby obsługiwać takie sytuacje.

Biorąc od uwagę rzeczywisty model stosowania NAC przez biznes, Gartner zmienił swoją definicję technologii NAC i określa ją teraz w następujący sposób: "jest to proces, który ocenia stan bezpieczeństwa punktu końcowego w momencie podłączania się do sieci; monitoruje stan punktu końcowego już podłączonego i implementuje polityki dostępu do sieci opierając się na stanie punktu końcowego, zagrożeniach środowiska i tożsamości użytkownika".