股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
EDR能(néng)力指南 | 亚信安(ān)全稳居领导者,引领技(jì )术创新(xīn)!
发布时间 :2021年10月12日
类型 :公(gōng)司新(xīn)闻
分(fēn)享:
今日,國(guó)内数字产(chǎn)业领域第三方调研机构数世咨询发布《EDR能(néng)力指南》,亚信安(ān)全EDR以优异的表现再次位居点阵图领导者象限。技(jì )术实力排名(míng)第二,市场执行力居前三甲!亚信安(ān)全EDR在技(jì )术实力、应用(yòng)创新(xīn)和市场认可(kě)方面的卓越能(néng)力再次获得肯定。
参与本次EDR安(ān)全能(néng)力点阵图的安(ān)全厂商(shāng)有(yǒu)12家,分(fēn)為(wèi)三种:
融合源:本身拥有(yǒu)多(duō)样产(chǎn)品線(xiàn)的综合性厂商(shāng),能(néng)够通过部分(fēn)其他(tā)产(chǎn)線(xiàn)能(néng)力(如专有(yǒu)的威胁情报团队)将EDR能(néng)力进一步发挥。
专注源:专注以EDR為(wèi)自身主要产(chǎn)品的厂商(shāng)。
能(néng)力源:在某一方面(如病毒查杀、主机防御)有(yǒu)突出能(néng)力,围绕该能(néng)力拓展成為(wèi)EDR的厂商(shāng)。
以下内容节选自《数世咨询:EDR能(néng)力指南》
前言
终端安(ān)全可(kě)以说是数字安(ān)全的起源——早在计算机还是一个庞然大物(wù)的时候,就有(yǒu)了最早的“病毒”概念。相对应的,针对终端的防御也随之开始。从发展的角度来看,终端防护手段的演化,有(yǒu)两个方面代表了整个数字安(ān)全领域的演化,即威胁方式的演化和安(ān)全理(lǐ)念的演进。
EDR的出现代表了安(ān)全理(lǐ)念的一个重要转变:从“预防”到“检测”与“响应”。安(ān)全中(zhōng)没有(yǒu)“银色子弹”,我们无法拦截所有(yǒu)攻击;而现在的安(ān)全理(lǐ)念,是从前置的严防死守,到及时发现异常并且进行处理(lǐ),将损害限制在可(kě)控范围内。因此,EDR不仅仅通过“特征”进行“预防”,更依靠“行為(wèi)”进行“检测”,并且进行“响应”。同时,EDR不再只是着眼于单个终端的防御,而是能(néng)够对各个终端上事件的关联分(fēn)析,还原整个攻击的流程,描绘出攻击事件的全貌——在当下愈演愈烈的APT攻击中(zhōng),尤為(wèi)重要。
(注:本报告中(zhōng),“终端”特指手机、電(diàn)脑、平板等用(yòng)户直接交互的设备,以及打印机、摄像头等物(wù)联网设备;“主机”指服務(wù)器;“端点”指“终端”与“主机”的总称。)
关键发现
端点安(ān)全的最关键的防护目标是為(wèi)了确保主机、服務(wù)器的安(ān)全;与之相对的,终端设备已经逐渐成為(wèi)新(xīn)的网络边界。
EDR在國(guó)内落地的核心价值集中(zhōng)在对未知威胁的应对以及溯源取证;关键技(jì )术能(néng)力為(wèi)防病毒引擎、数据采集分(fēn)析能(néng)力、响应策略能(néng)力、威胁情报以及安(ān)全服務(wù)能(néng)力。
对于有(yǒu)采購(gòu)EDR意向的组织,建议从自身的IT能(néng)力与安(ān)全现状出发,选購(gòu)适合自己需求的产(chǎn)品。
从市场来看,EDR在政府相关机构的占有(yǒu)率较高,購(gòu)买驱动力以合规為(wèi)主。
國(guó)内信创市场会极大增加对EDR的需求,未来三年内,信创产(chǎn)业极会推动EDR的市场扩展。
从未来長(cháng)遠(yuǎn)发展来看,EDR主要会趋向成為(wèi)更為(wèi)整體(tǐ)的解决方案中(zhōng)的一个关键能(néng)力,但同样可(kě)能(néng)会有(yǒu)以EDR為(wèi)核心的整體(tǐ)解决方案。
EDR概念以及核心价值
EDR概念
数世咨询基于Gartner对EDR的定义,认為(wèi)國(guó)内的端点检测与防护概念如下: 端点检测与防护(Endpoint Detection and Response,EDR)是一种基于采集、记录并存储数字环境中(zhōng)各端点行為(wèi)数据与状态数据,并对数据进行关联分(fēn)析,以应对威胁的安(ān)全能(néng)力:通过对端点数据的分(fēn)析,检测出环境存在的威胁,并能(néng)进行隔离、查杀等响应手段;同时,对已发生,以及正在发生的安(ān)全事件,实现追踪溯源;针对潜在的风险(如二次攻击、有(yǒu)漏洞系统等),基于客户的需求,提供一定的修复与保护建议。最终,实现包括主机在内的整个数字环境中(zhōng),对未知威胁与高级可(kě)持续威胁的检测与响应。 EDR核心价值 基于以上数世咨询对EDR的概念理(lǐ)解,数世咨询认為(wèi)EDR的核心价值有(yǒu)以下三点: 1.未知威胁与高级可(kě)持续威胁检测 如今的数字环境攻防状况,最大的威胁是未知威胁,以及潜在的APT攻击。然而,传统的端点杀毒软件由于依赖规则库,无法应对这些基于未知漏洞,以及基于人员的威胁。EDR基于各个端点数据的关联分(fēn)析能(néng)力,不仅能(néng)够通过IOA,还能(néng)够通过IOC,发现遭到攻击的设备,将受害情况尽可(kě)能(néng)在早期限制在可(kě)控制范围内。 2.威胁响应 在对威胁的检测之上,EDR还需要能(néng)对发现的威胁采取一定的措施。除了传统的杀毒软件中(zhōng)会进行的查杀行為(wèi)之外,EDR更需要能(néng)尽可(kě)能(néng)将威胁控制在受攻击端点的隔离能(néng)力。因此,微隔离技(jì )术能(néng)够和EDR结合,更好地实现威胁控制。 3.溯源取证 对于现代的数字攻防,需要的不仅仅是能(néng)够防住攻击,更需要的是知道那些已经对自身环境实现了数个攻击步骤成功的原因。因此,就需要能(néng)对检测到的攻击进行溯源。基于端点的数据信息,通过对攻击的追踪溯源,发现自身端点设备中(zhōng)存在的安(ān)全隐患,从而采取后续的安(ān)全手段,降低之后攻击的成功率。
EDR市场指南
EDR市场调研
? EDR在数世咨询定义的市场成熟度,概念市场、新(xīn)兴市场、发展市场与成熟市场四个阶段中(zhōng),位于发展市场阶段。在数世咨询发布的《中(zhōng)國(guó)数字安(ān)全能(néng)力图谱》中(zhōng)属于“信息基础设施保护”维度中(zhōng)的“端点安(ān)全“技(jì )术领域。 中(zhōng)國(guó)数字安(ān)全能(néng)力图谱:信息基础设施保护(部分(fēn)) ? 根据调研,國(guó)内最早EDR相关产(chǎn)品出现在2016年,头部厂商(shāng)从2017年开始进入EDR市场。 ? 据本次调研统计,2020年國(guó)内EDR市场规模约在10.45亿元左右,综合各家提供商(shāng)的判断,预计2021年将达到15.46亿元左右,2022年将达到20.08亿元左右。在未来几年,信创产(chǎn)业将成為(wèi)EDR能(néng)力主要的市场突破口。 ? 在参加本次EDR安(ān)全能(néng)力调研的安(ān)全厂商(shāng)中(zhōng),EDR安(ān)全能(néng)力的平均收入為(wèi)8710.41万元,但收入标准差则高达5425.63万元。EDR的市场占有(yǒu)相对明显。 ? 据调研目前EDR交付模式主要可(kě)分(fēn)為(wèi)三种:单一标准化产(chǎn)品、定制化及运营产(chǎn)品以及集成模式。其中(zhōng)主要以“单一标准化产(chǎn)品”交付的比例占62.45%、以“定制化运营产(chǎn)品”形式交付占12.47%,集成模式占21.35%。另外,订阅及其他(tā)模式占3.46%。 ? 从销售方式来看,厂商(shāng)直接销售和通过渠道销售占比差距不大。但是,在调研过程中(zhōng)发现,对于单一厂商(shāng),EDR销售的方式本身呈现两极化:单独厂商(shāng)本身通过自身直销占比非常高,或者通过渠道销售的占比非常高,很(hěn)少出现单独厂商(shāng)自身两种销售方式占比差距很(hěn)小(xiǎo)的情况。 ? 如下图所示,國(guó)内各行业用(yòng)户对EDR的投入情况,排名(míng)前三的為(wèi):地方政府(12.36%)、金融(11.80%)、國(guó)家部委(10.49%)。从整體(tǐ)局势来看,國(guó)家相关单位、机关对端点安(ān)全非常重视。考虑到未来信创产(chǎn)业的发展,國(guó)家相关单位在EDR方面的占比会进一步扩大。 ? 从客户的分(fēn)布来看,华北、华南和华东依然是该领域安(ān)全产(chǎn)品的主要客户群體(tǐ),其中(zhōng)华北占比最高达35.72%,华南其次占21.74%,华东第三占20.95%。 ? EDR的落地推动因素,除了等保合规的政策性因素之外,还因為(wèi)攻击的形式越来越多(duō)样,越来越隐蔽。常规的端点防护手段防不住,传统的特征库查杀方式发现不了,这时就需要基于关联分(fēn)析的EDR能(néng)力对未知威胁进行检测和响应。另一方面,EDR能(néng)力中(zhōng)的溯源取证也帮助企业在大型演练活动与日常安(ān)全运维当中(zhōng)能(néng)够更好地定位攻击来源,从而实现自身的安(ān)全目标。 ? EDR的落地难点主要在于客户的IT环境复杂。一方面是本身IT结构复杂,不同资产(chǎn)的关联需要厘清。另一方面在于端点系统本身呈现的多(duō)样性增加了环境的复杂程度:信创市场后发先至,会给IT的操作(zuò)系统环境带来巨大的变化;而随着物(wù)联网的进一步发展,企业环境中(zhōng)的物(wù)联网设备数量也会增加,包括员工(gōng)自用(yòng)的智能(néng)手机、平板電(diàn)脑等,都会成為(wèi)企业网络的入口,使得企业的端点环境持续变化。
EDR未来趋势
EDR虽然已经不是一个新(xīn)的概念了,但是在國(guó)内落地情况依然处于发展中(zhōng)阶段。从未来来看,EDR能(néng)力有(yǒu)以下三个方向。
纯粹安(ān)全能(néng)力与解决方案
当前来看,EDR作(zuò)為(wèi)单一标准化解决方案有(yǒu)着62.45%的部署情况,但是从未来来看,EDR能(néng)力会有(yǒu)作(zuò)為(wèi)纯粹的安(ān)全能(néng)力与解决方案的两个变化方向。
EDR本身的出现是為(wèi)了弥补传统杀毒与EPP的短板,因此其本身就带有(yǒu)一定的附属性质(zhì)。从能(néng)力目标来看,要实现的主要还是针对未知威胁的防御以及溯源效果,其技(jì )术核心就是针对端点数据的采集与分(fēn)析。从这个角度来看,EDR很(hěn)难单独承担完整的端点安(ān)全功能(néng),因此更倾向于作(zuò)為(wèi)纯粹实现未知威胁检测与响应,以及溯源能(néng)力,作(zuò)為(wèi)整體(tǐ)端点安(ān)全解决方案的补充。在本次调研中(zhōng)发现,融合源厂商(shāng)对于整體(tǐ)的端点安(ān)全都强调了“EPP+EDR”的部署模式;不少客户对于端点安(ān)全软件的使用(yòng),依然主要依赖于EPP能(néng)力,并不开启EDR能(néng)力模块。在未来,当这一部分(fēn)客户开始意识到EDR的必要性时,会逐渐加大EDR作(zuò)為(wèi)纯粹安(ān)全能(néng)力的收入占比(即作(zuò)為(wèi)整體(tǐ)解决方案的一部分(fēn)或者部分(fēn)定制化集成与交付)。
同时,CWPP中(zhōng)也提到了对EDR端点数据采集的使用(yòng),代表了EDR作(zuò)為(wèi)纯粹的安(ān)全能(néng)力,在主机安(ān)全层面会有(yǒu)极大的价值。综合而言,EDR在長(cháng)遠(yuǎn)的发展维度,会更趋向于逐渐成為(wèi)纯粹的安(ān)全能(néng)力,作(zuò)為(wèi)更大规模的安(ān)全解决方案的一部分(fēn)。
另一方面, EDR整體(tǐ)解决方案在未来三年内依然会是比较主流的能(néng)力提供方式。但是,作(zuò)為(wèi)解决方案的EDR需要更多(duō)的改进。在调研过程中(zhōng)发现,不少EDR能(néng)力作(zuò)為(wèi)整體(tǐ)解决方案出现的时候,不仅仅会提供EDR概念中(zhōng)需要的检测、遏制、溯源的能(néng)力,还会有(yǒu)资产(chǎn)管理(lǐ)、虚拟补丁等额外功能(néng),逐渐演化為(wèi)“以EDR為(wèi)核心的终端管理(lǐ)能(néng)力”。
EDR演化的两个方向其实代表了两种对EDR不同的发展理(lǐ)念:是将EDR作(zuò)為(wèi)一种EPP、CWPP或者端点安(ān)全总體(tǐ)解决方案的额外辅助能(néng)力,还是认為(wèi)端点的安(ān)全应该直接由“检测与响应”出发进行一體(tǐ)化解决方案。
EDR到TDR
随着XDR概念的提出,就开始不断有(yǒu)声音表示EDR即将走到尽头,但事实上并非如此。
EDR的缺陷在于只采集端点侧数据,缺乏和其他(tā)安(ān)全产(chǎn)品的联动性(如NDR),从而难以将关联分(fēn)析更进一步扩展到整个环境。XDR概念的提出就是為(wèi)了解决安(ān)全产(chǎn)品之间缺乏协同的问题。因此,XDR即使要进入实践,从当前来看,EDR能(néng)力依然是一个核心组件。另一方面,XDR的落地有(yǒu)两个方向:集成平台融合多(duō)家不同厂商(shāng)的产(chǎn)品,或者单独综合性厂商(shāng)自身完成协同。在前者的方式下,独立的EDR解决方案依然会成為(wèi)关注点,因為(wèi)集成平台可(kě)以将不同厂商(shāng)的产(chǎn)品协同到一起,从而让企业能(néng)够选择每个领域最佳的产(chǎn)品。
从國(guó)内的发展来看,TDR(Threat Detection and Response)更可(kě)能(néng)成為(wèi)趋势。无论是“威胁情报”,还是“威胁狩猎”服務(wù),都是从“威胁”的角度出发,而近年来的大型演练活动更突显了这一点:当下,数字环境的核心,是出于“威胁”的应对。无论是检测,还是响应,都只是手段;而检测和响应这两个手段的目的,是為(wèi)了处理(lǐ)“威胁”。
因此,从“威胁”这个维度出发,构建数字环境的安(ān)全體(tǐ)系,会是國(guó)内未来的趋势。在这一场景下,端点显然是直面“威胁”的重点區(qū)域。对于组织和机构而言,无论是作(zuò)為(wèi)独立的解决方案,还是作(zuò)為(wèi)TDR中(zhōng)的一个关键组件,EDR能(néng)力必然会成為(wèi)整體(tǐ)安(ān)全结构中(zhōng)的重要一环。
信创
在由众诚智库发布的《中(zhōng)國(guó)信创产(chǎn)业发展白皮书(2021)》中(zhōng)提到,未来三年内,我國(guó)信创市场容量将突破万亿元。这个庞大的市场同样离不开安(ān)全。
尤其在國(guó)内信创领域还处于初期发展阶段,研发层面会更侧重于能(néng)力的实现,这就需要安(ān)全厂商(shāng)的端点能(néng)力去补足防护的需求;另一方面,由于信创产(chǎn)业的快速发展,信创系统的更新(xīn)迭代也会非常的频繁,这也就需要安(ān)全厂商(shāng)能(néng)够将自身产(chǎn)品的适配能(néng)力跟上信创系统的步伐。
我國(guó)关键行业、部门大规模替换信创产(chǎn)品是必然趋势,这给EDR市场带来的绝对的市场机会。但是,能(néng)否抓住这一机会,需要技(jì )术的积累,以及和信创市场的磨合。
泛终端化
物(wù)联网的发展必然会造成企业IT环境中(zhōng)的端点类型越来越多(duō)样。IT环境不再是计算机、服務(wù)器,以及打印机之类的传统办(bàn)公(gōng)网络设备,还逐渐增加了智能(néng)手机、平板電(diàn)脑、工(gōng)作(zuò)台等员工(gōng)个人使用(yòng)的设备。未来,甚至还可(kě)能(néng)有(yǒu)更多(duō)如智能(néng)手表等可(kě)穿戴的个人设备出现在企业的网络当中(zhōng)——而这些设备都可(kě)能(néng)能(néng)够进入企业网络,成為(wèi)隐患的传播者。
这些物(wù)联网设备都有(yǒu)两个共性。
一个共性是本身移动性强,难以管理(lǐ)。因為(wèi)员工(gōng)会使用(yòng)自己的设备,但这些设备并不会長(cháng)久地停留在企业网络中(zhōng),而是会频繁在企业网络与公(gōng)网环境中(zhōng)移动,带来了极大隐患。
另一个共性在于设备本身的多(duō)样性与复杂性。不同设备会来源于不同的制造商(shāng),会采用(yòng)不同的系统和版本,因此也会存在不同的安(ān)全隐患,使得统一管理(lǐ)和对安(ān)全事件的溯源更為(wèi)困难。
因此,EDR未来的方向之一,也会和移动安(ān)全与物(wù)联网安(ān)全产(chǎn)生交集,不仅需要和客户合作(zuò)产(chǎn)出解决方案,还可(kě)能(néng)需要和物(wù)联网厂商(shāng)协作(zuò),完善在物(wù)联网设备的兼容性覆盖面。
EDR SaaS
从國(guó)外市场来看,以CrowdStrike為(wèi)代表的EDR厂商(shāng)在EDR SaaS上发现了大量的市场需求。EDR SaaS可(kě)以借助厂商(shāng)在云端的能(néng)力,得到更多(duō)的计算分(fēn)析能(néng)力,同时可(kě)以借助云端专家和威胁情报的能(néng)力,进一步提升安(ān)全分(fēn)析能(néng)力。
尽管说國(guó)内不少企业和机关单位对公(gōng)有(yǒu)云依然保持怀疑态度,但是行业云的发展可(kě)以弥补公(gōng)有(yǒu)云在这些机构中(zhōng)的乏力。因此,行业云、政務(wù)云是EDR SaaS未来的巨大市场。一旦相关的行业云、政務(wù)云的供应商(shāng)意识到了EDR SaaS能(néng)够给行业内企业带来的巨大安(ān)全价值,EDR SaaS的落地也自然水到渠成。
分(fēn)享到微信
X