現(xiàn)代軟件定義安全,EDR將企業(yè)網(wǎng)絡(luò)安全防護(hù)武裝到牙齒
PC時代,基于簽名技術(shù)的終端安全防護(hù)技術(shù)在廣大企業(yè)及個人用戶的網(wǎng)絡(luò)安全防護(hù)體系中長期占據(jù)著重要的位置,殺毒軟件產(chǎn)品成為網(wǎng)絡(luò)安全領(lǐng)域必不可少的代表產(chǎn)品之一。然而,隨著全球企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程的持續(xù)推進(jìn),新興技術(shù)不斷涌現(xiàn)并快速發(fā)展,企業(yè)的業(yè)務(wù)模式和所處網(wǎng)絡(luò)環(huán)境已經(jīng)不可同日而語。由于EDR將威脅檢測的時間線進(jìn)行了延長,具備更為強(qiáng)大的終端安全信息檢測、分析、響應(yīng)與溯源能力,幫助企業(yè)提升對高級持續(xù)性威脅、零日威脅、無文件攻擊等復(fù)雜威脅的檢測與響應(yīng)能力。因此,EDR工具的作用和重要性已經(jīng)在全球得到了安全企業(yè)及最終用戶的廣泛認(rèn)可,并將成為未來幾年終端安全市場持續(xù)增長的重要推動力之一。IDC特別針對中國地區(qū)發(fā)布了《IDC MarketScape: 中國終端安全檢測與響應(yīng)市場2020,廠商評估》報告,供業(yè)界人士在選擇EDR產(chǎn)品和服務(wù)提供商時參考。
本文引用地址:http://m.butianyuan.cn/article/202010/419625.htm本次報告受到眾多安全廠商和終端用戶的廣泛關(guān)注和積極配合,IDC對具有代表性的14家EDR產(chǎn)品和服務(wù)提供商進(jìn)行了深度研究。最終入選本次報告的廠商包括(按照字母順序排列):阿里云、安恒信息、安天、華為云、江民科技、杰思安全、卡巴斯基、綠盟科技、奇安信、深信服、騰訊、天融信、廈門云服、亞信安全。廠商評估結(jié)果基于IDC MarketScape模型以圖像的形式呈現(xiàn)。
市場格局點評
目前國內(nèi)EDR市場仍然處于不斷成熟完善的階段,市場格局并未穩(wěn)定,各類型安全服務(wù)商均努力嘗試?yán)米陨韮?yōu)勢,爭取在激烈的市場競爭中實現(xiàn)突圍。
● 奇安信、亞信安全等在傳統(tǒng)終端安全市場長期保持較大投入并占有較高市場份額的廠商,對于EDR研究的起步和推廣也相對較早,同時能夠與自身傳統(tǒng)終端安全產(chǎn)品能力緊密結(jié)合,加深對EDR核心能力的理解和實現(xiàn)。廠商能夠基于原有終端安全市場布局,加快產(chǎn)品在最終客戶側(cè)的更新迭代,并進(jìn)行市場拓展,穩(wěn)固市場影響力。
● 阿里云等國內(nèi)主流公有云服務(wù)商利用自身在大數(shù)據(jù)、機(jī)器學(xué)習(xí)等領(lǐng)域的技術(shù)領(lǐng)先性,以及對云主機(jī)安全的持續(xù)關(guān)注,在EDR領(lǐng)域也表現(xiàn)出了強(qiáng)勁的動力。同時,公有云平臺自身的業(yè)務(wù)環(huán)境壁壘進(jìn)一步增強(qiáng)了云服務(wù)商"云原生"主機(jī)安全的市場主導(dǎo)性。當(dāng)然,此類廠商EDR產(chǎn)品能力重點關(guān)注于云計算平臺,市場的拓展也往往依托于自身云計算市場的發(fā)展。
● 深信服、安恒信息、天融信、綠盟科技等在內(nèi)的綜合型安全廠商也都意識到了EDR在打造企業(yè)整體安全防護(hù)體系時的重要性。廠商推出的EDR產(chǎn)品均有各自的小優(yōu)勢和小亮點,但總體技術(shù)實力差距并不明顯,還需要持續(xù)深挖核心技術(shù),進(jìn)一步提升產(chǎn)品能力。同時我們也看到了各廠商在過去近兩年時間里市場戰(zhàn)略和客戶覆蓋方面的不同表現(xiàn),市場增速表現(xiàn)出了一定的差距。
● 以卡巴斯基為代表的國際終端安全廠商在中國市場的發(fā)展雖面臨較大挑戰(zhàn),但其在EDR方面表現(xiàn)出來的技術(shù)實力和前瞻性仍然不容小覷。此類廠商十分關(guān)注國內(nèi)網(wǎng)絡(luò)安全市場,并持續(xù)進(jìn)行資金和人員投入,在眾多代表性行業(yè)和客戶群體中仍然具備較高的影響力。
基于本次研究,IDC認(rèn)為:
EDR廠商應(yīng)深挖核心技術(shù),同時關(guān)注軟件產(chǎn)品自身魯棒性
企業(yè)網(wǎng)絡(luò)安全管理人員往往希望通過單一的客戶端和管理平臺實現(xiàn)對企業(yè)整體終端安全的保護(hù)和管理,以減少對終端設(shè)備性能和業(yè)務(wù)系統(tǒng)穩(wěn)定性的影響,這往往會導(dǎo)致技術(shù)提供商側(cè)重追求終端安全產(chǎn)品的功能全面性,而忽略了對核心技術(shù)的深入研究。同時,由于EDR產(chǎn)品/工具需要與主機(jī)操作系統(tǒng)緊密結(jié)合,其安全性和健壯性極為重要,不應(yīng)讓安全產(chǎn)品自身的脆弱性成為網(wǎng)絡(luò)攻擊的入口或跳板。
加強(qiáng)威脅可見性,提升對威脅事件的響應(yīng)和處置效率
EDR產(chǎn)品/工具不僅需要對終端信息進(jìn)行簡單收集和存儲,還應(yīng)該充分挖掘和分析海量安全信息之間的關(guān)聯(lián)性,提升對潛在威脅的檢測和溯源取證能力,并將這些信息進(jìn)行直觀展現(xiàn),幫助企業(yè)安全管理人員完成對威脅事件的危害級別、危害行為、影響范圍等信息的快速初步判定,降低人員工作負(fù)載,提升對威脅事件的響應(yīng)和處置效率。
安全專家至關(guān)重要,EDR能力的充分施展需要人的參與
當(dāng)前階段,面對隱蔽且復(fù)雜的終端惡意威脅,企業(yè)還不能將所有的威脅判定和響應(yīng)工作均交給EDR產(chǎn)品/工具進(jìn)行自動處理,需要安全廠商或企業(yè)內(nèi)部專業(yè)安全人員對產(chǎn)品自動化輸出的威脅信息進(jìn)行深入分析,結(jié)合自身業(yè)務(wù)屬性判定告警的準(zhǔn)確性及危險級別,并在安全工具的幫助下進(jìn)行有效響應(yīng)和溯源分析。
托管安全服務(wù)是大勢所趨,EDR服務(wù)商紛紛加大布局
為了將安全服務(wù)提供商的高級技術(shù)團(tuán)隊資源利用最大化,基于托管模式的EDR安全服務(wù)越來越受到最終用戶的關(guān)注。IDC定義下的托管安全服務(wù)分為三種類型:駐場安全服務(wù)(MSS-CPE)、本地托管安全服務(wù)(MSS-Hosted)、云托管安全服務(wù)(CHESS)。廣大企業(yè)級客戶可以根據(jù)自身網(wǎng)絡(luò)和業(yè)務(wù)屬性選擇適合的托管安全服務(wù)模式。
IDC中國網(wǎng)絡(luò)安全市場研究經(jīng)理趙衛(wèi)京 認(rèn)為:“終端安全一直是企業(yè)整體網(wǎng)絡(luò)安全防護(hù)體系中的重要環(huán)節(jié)。EDR作為傳統(tǒng)終端安全防護(hù)產(chǎn)品的重要補(bǔ)充,憑借其對終端安全信息的持續(xù)監(jiān)測與分析,有效彌補(bǔ)了傳統(tǒng)殺毒軟件的功能不足,受到全球技術(shù)提供商及技術(shù)買家的廣泛關(guān)注,并已經(jīng)成為終端安全市場規(guī)模持續(xù)增長的重要驅(qū)動力。IDC 觀察到,無論是綜合型安全廠商、云服務(wù)提供商,還是專注于終端安全的新興企業(yè),均努力嘗試?yán)米陨砑夹g(shù)積累及資源優(yōu)勢快速覆蓋終端安全檢測與響應(yīng)市場,幫助企業(yè)級客戶將網(wǎng)絡(luò)安全武裝到牙齒?!?/p>
評論