近日,,業(yè)內(nèi)知名調(diào)研機(jī)構(gòu)賽迪顧問正式發(fā)布了《中國終端安全檢測與響應(yīng)產(chǎn)品市場研究報告(2022)》(以下簡稱“報告”),,報告從終端安全檢測與響應(yīng)((Endpoint Detection & Response,以下簡稱“EDR”)產(chǎn)品定義,、產(chǎn)品市場現(xiàn)狀及趨勢,、市場競爭格局等多個維度展開分析,,并發(fā)布了三個典型案例,對我國的EDR市場情況做出了完整且詳盡的闡述,,對業(yè)內(nèi)各方也都有著較強(qiáng)的參考價值和實(shí)際意義,。
合規(guī)+價值需求疊加
我國EDR產(chǎn)品市場逐漸成熟
報告認(rèn)為,當(dāng)前我國終端安全市場仍是傳統(tǒng)的被動防御產(chǎn)品為主,,具備主動防御能力的EDR產(chǎn)品在市場發(fā)展過程中尚處在起步階段,,但近年來的整體發(fā)展趨勢已經(jīng)表明,EDR產(chǎn)品即將進(jìn)入高速發(fā)展階段,。
● 一方面,,從合規(guī)角度考量,伴隨我國網(wǎng)絡(luò)安全相關(guān)法律法規(guī)趨于完善,,相關(guān)政策要求不斷提升,,對政企用戶的終端數(shù)據(jù)安全和實(shí)戰(zhàn)能力提出更高要求,具備主動防御能力的EDR在滿足合規(guī),、政策相關(guān)要求方面具備更高的優(yōu)勢,;
● 另一方面,,在數(shù)字化進(jìn)程不斷加快的當(dāng)下,數(shù)字資產(chǎn)對企業(yè)的重要性不言而喻,,報告援引數(shù)據(jù)顯示,,多達(dá)90%的成功網(wǎng)絡(luò)攻擊和多達(dá)70%的成功數(shù)據(jù)竊取都源自終端設(shè)備,這意味著缺乏實(shí)時檢測響應(yīng)能力以及防御未知威脅能力的傳統(tǒng)終端安全產(chǎn)品,,在應(yīng)對高級威脅方面的實(shí)戰(zhàn)能力較為匱乏,,而可實(shí)現(xiàn)對終端全生命周期(包括從預(yù)測、防護(hù),、檢測到響應(yīng))持續(xù)性安全防護(hù)的EDR產(chǎn)品無疑是一個絕佳補(bǔ)充,,有利于企業(yè)提升其終端安全防護(hù)能力和水平,成為越來越多行業(yè)客戶所關(guān)注,、采購的對象,。
與此同時,國內(nèi)安全廠商紛紛開始布局EDR產(chǎn)品市場,,在推動客戶對EDR的認(rèn)知進(jìn)一步增強(qiáng)之外,,伴隨輕量級EDR及服務(wù)托管模式日趨成熟,EDR產(chǎn)品所面向的客戶群體也已廣泛覆蓋大,、中,、小型政企用戶。
根據(jù)過往經(jīng)驗(yàn),,數(shù)字安全領(lǐng)域中的單一市場增長,,都普遍具備合規(guī)驅(qū)動為主、價值驅(qū)動為輔的特征,,同時需要有更多安全廠商參與,,形成合力,不斷教育市場,、培育市場,、發(fā)展市場并最終走向繁榮市場,終端安全市場乃至EDR市場同樣如此,。因此,,當(dāng)合規(guī)、價值需求疊加,,將有力推動EDR市場規(guī)模的進(jìn)一步擴(kuò)大和高速增長,。
圖片來源:賽迪顧問《中國終端安全檢測與響應(yīng)產(chǎn)品市場研究報告(2022)》
數(shù)據(jù)方面,在報告統(tǒng)計(jì)的2019-2021年的周期中,,我國EDR市場規(guī)模持續(xù)高速增長,,且增速不斷加快,至2021年,,整體市場規(guī)模已從2019年的8.4億元提升到2021年的14.3億元,。
綜合性安全廠商仍是EDR市場主力軍
360 EDR市場占有率超10%排名第一
關(guān)于我國EDR產(chǎn)品市場競爭格局方面的具體情況,,報告也作了較為詳盡的闡述。統(tǒng)計(jì)數(shù)據(jù)顯示,,我國EDR產(chǎn)品市場份額仍主要被業(yè)內(nèi)頭部綜合性安全廠商所占據(jù),,其中360是唯一一家市場份額占比超過10%的安全廠商,排名第一,。
圖片來源:賽迪顧問《中國終端安全檢測與響應(yīng)產(chǎn)品市場研究報告(2022)》
通過數(shù)據(jù)可以看出,,綜合性廠商仍是EDR市場主力軍。盡管EDR仍屬于數(shù)字安全中一個單一領(lǐng)域,,但其自身特點(diǎn)決定了要想做好就必須要具備強(qiáng)大的綜合實(shí)力,,一方面是產(chǎn)品能力要高,另一方面則是頭部廠商所具備的成熟盈利模式,。
● 產(chǎn)品能力方面,,企業(yè)購買EDR產(chǎn)品的目的,在于提升對潛在及未知威脅的監(jiān)測,、響應(yīng)和處置能力,,對相關(guān)廠商的能力要求并不單一。如EDR將基于端點(diǎn)收集的信息進(jìn)行處理,,需要結(jié)合大數(shù)據(jù),、機(jī)器學(xué)習(xí)等相關(guān)技術(shù)和能力,貫穿整個終端的事前監(jiān)控/加固,、事中檢測/分析/響應(yīng),、事后追溯全過程,對技術(shù),、能力以及實(shí)戰(zhàn)經(jīng)驗(yàn)等多方面均有較高要求,,而以360為代表的頭部綜合性廠商在這方面則有著較為深厚的基礎(chǔ),,并經(jīng)過長年的實(shí)踐檢驗(yàn),,已擁有豐富的成功經(jīng)驗(yàn),相比于沒有大數(shù)據(jù)積累,,沒有數(shù)十億終端部署量的廠商來說,,有極大的優(yōu)勢。
● 在盈利模式方面,,渠道建設(shè)相對更加完善,,且擁有更多直客資源的綜合性廠商,其優(yōu)勢不言而喻,,對產(chǎn)品銷售,、市場擴(kuò)張極為有利。以360為例,,其輕量級EDR產(chǎn)品已經(jīng)開始以SaaS化服務(wù)形式面向全行業(yè)客戶輸出,。
因此我們認(rèn)為,,在未來較長的一段時間內(nèi),伴隨市場規(guī)模的不斷擴(kuò)大,,頭部綜合性廠商在各方面的綜合優(yōu)勢將會進(jìn)一步放大,,而市場占有率方面的優(yōu)勢地位也將得以鞏固。
有效的EDR產(chǎn)品須具備的必要能力與關(guān)鍵能力
隨著越來越多的企業(yè)進(jìn)入EDR產(chǎn)品市場,,在帶來更多選擇的同時,,也對客戶企業(yè)如何選擇提出了難題,尤其在當(dāng)前主流產(chǎn)品均已具備包括安全事件檢測,,安全事件調(diào)查,,抑制終端利用以及安全修復(fù)等EDR必備核心安全功能的情況下,那到底如何衡量一款EDR產(chǎn)品的水平呢,?
在我們看來,,由Gartner與360在2022年5月聯(lián)合發(fā)布的《數(shù)字時代EDR技術(shù)發(fā)展趨勢》白皮書中已有清晰的闡述。
根據(jù)Gartner的定義規(guī)范,,EDR產(chǎn)品的三大必要能力水平需著重關(guān)注,,具體體現(xiàn)在:
1、大數(shù)據(jù)存儲及處理能力
海量數(shù)據(jù)是發(fā)現(xiàn)攻擊痕跡的基礎(chǔ),,是構(gòu)建檢測模型的基礎(chǔ),,這也意味著如果脫離了大數(shù)據(jù)的支撐,那么EDR的產(chǎn)品能力乃至價值都是空談,。對大數(shù)據(jù)的存儲及處理能力提出了極高要求,。在EDR中,通過對多維度且高質(zhì)量的大數(shù)據(jù)進(jìn)行智能化關(guān)聯(lián)分析和運(yùn)營,,可有效追溯攻擊過程并尋找漏洞源和攻擊源,,形成完整的攻擊鏈圖譜,是確保終端安全的最優(yōu)路徑,。
2,、安全分析能力
這一能力是衡量EDR產(chǎn)品水平高低的重要標(biāo)準(zhǔn)之一,需要有各種安全檢測分析技術(shù),,能對海量多異構(gòu)數(shù)據(jù)進(jìn)行分析,,這就要求EDR產(chǎn)品的分析能力應(yīng)不僅僅局限于某個終端,而是可將所有終端的異常事件進(jìn)行全局關(guān)聯(lián)分析,。由于高級威脅攻擊的痕跡往往會隱藏在看似正常的運(yùn)行行為之中,,因而需要有對海量歷史數(shù)據(jù)的反復(fù)檢測能力,這對EDR的大數(shù)據(jù)運(yùn)算能力也提出了更高要求,,也是EDR能力的關(guān)鍵支撐,。
3、強(qiáng)而有力的安全專家團(tuán)隊(duì)
盡管當(dāng)前主流產(chǎn)品已具備不俗的大數(shù)據(jù)自動化關(guān)聯(lián)分析能力,但安全專業(yè)人員,、團(tuán)隊(duì)仍然是EDR產(chǎn)品能夠?qū)踩治瞿芰Φ靡猿浞职l(fā)揮的重要角色,,除了EDR產(chǎn)品本身的使用會對專業(yè)性要求較高之外,對于收集到的數(shù)據(jù)進(jìn)行人工分析和解釋也是十分重要的一環(huán),,因?yàn)樽罱K能夠根據(jù)調(diào)查結(jié)果提出更為合理,、合法的威脅解決方案的,一定還是專家,。
那么結(jié)合360EDR產(chǎn)品來看,,不難看出其市場份額之所以能夠保持領(lǐng)先,根本還是源于其產(chǎn)品能力上的優(yōu)勢,,并且在此基礎(chǔ)之上,,從實(shí)戰(zhàn)角度進(jìn)一步提出了在云端的關(guān)鍵能力:
1、大數(shù)據(jù)方面的能力
依靠在終端安全領(lǐng)域17年的數(shù)據(jù)積累,,以及早期在安全大數(shù)據(jù)領(lǐng)域的布局,,讓360擁有超過300億的程序文件樣本,90億域名信息以及高達(dá)22萬億的安全日志,,安全大數(shù)據(jù)已達(dá)2EB級別(1EB=1,048,576TB),,這一個個龐大的數(shù)字令360EDR具備了全網(wǎng)安全攻防和態(tài)勢感知能力,為終端安全的快速檢測和響應(yīng)提供強(qiáng)有力的支撐,。同時,,云端還提供了對歷史數(shù)據(jù)的回溯能力,配合專業(yè)人員的分析,,可給出更為準(zhǔn)確的威脅評估結(jié)果,。
2、安全分析能力方面
依靠自身的360全網(wǎng)數(shù)字安全大腦賦能的安全分析平臺,,360EDR通過各種檢測分析技術(shù),,對海量多異構(gòu)數(shù)據(jù)進(jìn)行分析,同時結(jié)合全網(wǎng)APT情報,,確保了各類威脅全面可視,。可視是前提,,沒有可視的前提,,任何威脅的處理都是一句空話,,而威脅的可視化就是360EDR的“雷達(dá)”能力,,而這種針對各類攻擊的“雷達(dá)”能力,是需要強(qiáng)大的安全分析能力作為保證的,,360作為一家具有17年歷史的數(shù)字安全領(lǐng)導(dǎo)公司,,360EDR提供了“運(yùn)營商級別”的運(yùn)算能力,可瞬間調(diào)用數(shù)百萬顆CPU參與計(jì)算、檢索與關(guān)聯(lián)分析,,具備快速繪出完整攻擊鏈圖譜能力,。
3、安全專家團(tuán)隊(duì)方面
360的優(yōu)勢則更為顯而易見,,其專家成員不僅成功挖掘谷歌,、微軟、蘋果等主流廠商的CVE漏洞超3000個,,還曾成功追蹤溯源海蓮花,、蔓靈花、藍(lán)寶菇等針對中國的境外APT組織累計(jì)多達(dá)50個,,而通過這些安全專家的經(jīng)驗(yàn)賦能,,能最大化產(chǎn)品價值, 讓360EDR從一開始就具備來自云端的快速檢測響應(yīng)能力,。
“云地聯(lián)動”將是未來EDR產(chǎn)品演進(jìn)方向
在EDR產(chǎn)品的未來趨勢方面,,整合云端能力和終端資源以 SaaS 化的形式面向不同規(guī)模的客戶提供服務(wù)將成為未來EDR發(fā)展的重要方向,這一觀點(diǎn)也曾出現(xiàn)在Gartner的《數(shù)字時代EDR技術(shù)發(fā)展趨勢》報告文中,。
EDR能力成熟度模型
圖片來源:Gartner《數(shù)字時代EDR技術(shù)發(fā)展趨勢》
報告指出,,通過 SaaS 化的形式提供云端EDR能力,可將云端強(qiáng)大的數(shù)據(jù)存儲,、分析以及實(shí)時情報能力及時賦能到終端,,實(shí)現(xiàn)終端和云端的實(shí)時交互。并且,,基于云視角打造的終端安全防護(hù)體系,,可以使得各類終端安全事件與云端大數(shù)據(jù)形成廣泛的數(shù)據(jù)聯(lián)動,實(shí)現(xiàn)安全能力從孤島式,、被動式的單點(diǎn)防護(hù)到主動式,、全局式的縱深防御的有序演進(jìn)。這一點(diǎn)與頭部廠商產(chǎn)品“360EDR支持云端輕量化SaaS部署”不謀而合,。
與此同時,,泛終端安全檢測與響應(yīng)會成為安全廠商布局的熱點(diǎn)領(lǐng)域,這一點(diǎn)不難理解,,隨著數(shù)字化進(jìn)程的不斷推進(jìn)和深入發(fā)展,,大數(shù)據(jù)、云計(jì)算,、AI等新技術(shù)被廣泛應(yīng)用,,更多新的場景也被引入,企業(yè)應(yīng)用的終端設(shè)備無論從類型上,、數(shù)量上還是接入方式上都會較之以往有著更進(jìn)一步的擴(kuò)展,,從而形成一種泛終端并用的場景。在這種情況下,考慮到監(jiān)管層面的安全要求以及企業(yè)內(nèi)在的安全需求,,面向該領(lǐng)域的EDR產(chǎn)品必將會成為一大新熱點(diǎn),。
在偏技術(shù)層面,報告指出,,AI,、自動化編排與響應(yīng)會成為推動EDR未來進(jìn)一步發(fā)展的重要趨勢。同樣,,360EDR基于知識圖譜和人工智能帶來的智能化特點(diǎn),,也代表了EDR產(chǎn)品未來在技術(shù)層面的發(fā)展趨勢。
EDR實(shí)戰(zhàn)能力備受認(rèn)可
市場規(guī)?;?qū)⒂?024年實(shí)現(xiàn)翻番
報告還對當(dāng)前三款主流EDR產(chǎn)品的實(shí)際落地案例進(jìn)行介紹,,以其中某銀行客戶終端安全管理系統(tǒng)項(xiàng)目為例,在應(yīng)用EDR產(chǎn)品前,,該銀行仍以傳統(tǒng)終端防護(hù)產(chǎn)品及相關(guān)策略為主,,在當(dāng)前日益復(fù)雜的外部威脅形勢下疲態(tài)盡顯。
在部署EDR相關(guān)產(chǎn)品方案后,,本地安全運(yùn)營平臺可基于完整的終端安全事件日志,,結(jié)合數(shù)據(jù)檢測引擎、關(guān)聯(lián)分析引擎預(yù)計(jì)云端的情報賦能,,形成“云地聯(lián)動”的終端整體態(tài)勢感知體系,,幫助安全運(yùn)營人員進(jìn)行終端威脅的分析、溯源和響應(yīng),。
在最終成果方面,,該銀行客戶通過部署EDR產(chǎn)品方案,建立健全了終端安全檢測與響應(yīng)體系,,在原有傳統(tǒng)終端安全產(chǎn)品的基礎(chǔ)上,,很好地彌補(bǔ)了此前在異常行為持續(xù)監(jiān)測、安全風(fēng)險檢測以及威脅溯源和響應(yīng)等諸多方面不足,。不僅全面提升了與高級威脅對抗過程中的效果及效率,,同時還依靠集中式終端安全管理,讓整體安全管理和運(yùn)維能力都取得跨越式進(jìn)步,,為該銀行客戶的數(shù)字化轉(zhuǎn)型及信息化建設(shè)提供了更優(yōu)的安全保障水平,。
類似以上案例仍有很多,篇幅所限在此不一一贅述,,而隨著實(shí)戰(zhàn)能力優(yōu)秀的EDR產(chǎn)品應(yīng)用范圍不斷擴(kuò)大,,落地能力不斷提升,在錄得連續(xù)三年市場規(guī)模高速成長的佳績之下,,其未來市場前景仍被廣泛看好,。
可以想象,,在EDR產(chǎn)品的作用和重要性已被全球安全企業(yè)及最終用戶廣泛認(rèn)可的情況下,,其市場規(guī)模在未來三年仍有望保持高速增長態(tài)勢,。該報告制作方——賽迪顧問預(yù)測稱,至2024年,,我國EDR產(chǎn)品市場規(guī)模將達(dá)到32.2億元,,三年復(fù)合增長率高達(dá)31.1%,相比2021年更是實(shí)現(xiàn)翻倍以上的增長,。
在市場競爭方面,,伴隨產(chǎn)品成熟度不斷提升,介入該領(lǐng)域的廠商不斷增多,,相關(guān)政策要求的調(diào)整變化,,整體競爭格局仍將以頭部綜合性廠商為主,包括360,、深信服,、安恒信息等在內(nèi)的少數(shù)頭部廠商將依靠自身在產(chǎn)品能力布局和銷售能力方面的優(yōu)勢,在市場方面的第一集團(tuán)位置將會進(jìn)一步固化,,呈現(xiàn)集中化特征,。與此同時,伴隨我國對信創(chuàng)領(lǐng)域的重視程度顯著提升,,對國產(chǎn)化要求大幅提高,,并明確要求到2027年央企國企100%完成信創(chuàng)替代,將為EDR產(chǎn)品領(lǐng)域的國內(nèi)廠商帶來巨大機(jī)遇,,國外競品預(yù)計(jì)將會逐步退出,,整體市場將會在當(dāng)前基礎(chǔ)上進(jìn)一步向國內(nèi)優(yōu)秀廠商傾斜。
總體來看,,我國EDR產(chǎn)品起步時間雖然相對較晚,,但發(fā)展速度較快,市場接受程度逐年升高,,市場需求穩(wěn)步增長,,加之主流參與廠商在前期終端安全能力沉淀及布局都具備較強(qiáng)優(yōu)勢,將會有力推動國內(nèi)EDR市場更快步入成熟期,,為保障我國數(shù)字經(jīng)濟(jì)發(fā)展貢獻(xiàn)更為強(qiáng)大的安全力量,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<