近日，業(yè)內(nèi)知名調(diào)研機(jī)構(gòu)賽迪顧問(wèn)正式發(fā)布了《中國(guó)終端安全檢測(cè)與響應(yīng)產(chǎn)品市場(chǎng)研究報(bào)告（2022）》（以下簡(jiǎn)稱“報(bào)告”），報(bào)告從終端安全檢測(cè)與響應(yīng)（（Endpoint Detection & Response，以下簡(jiǎn)稱“EDR”）產(chǎn)品定義、產(chǎn)品市場(chǎng)現(xiàn)狀及趨勢(shì)、市場(chǎng)競(jìng)爭(zhēng)格局等多個(gè)維度展開分析，并發(fā)布了三個(gè)典型案例，對(duì)我國(guó)的EDR市場(chǎng)情況做出了完整且詳盡的闡述，對(duì)業(yè)內(nèi)各方也都有著較強(qiáng)的參考價(jià)值和實(shí)際意義。

　　合規(guī)+價(jià)值需求疊加

　　我國(guó)EDR產(chǎn)品市場(chǎng)逐漸成熟

　　報(bào)告認(rèn)為，當(dāng)前我國(guó)終端安全市場(chǎng)仍是傳統(tǒng)的被動(dòng)防御產(chǎn)品為主，具備主動(dòng)防御能力的EDR產(chǎn)品在市場(chǎng)發(fā)展過(guò)程中尚處在起步階段，但近年來(lái)的整體發(fā)展趨勢(shì)已經(jīng)表明，EDR產(chǎn)品即將進(jìn)入高速發(fā)展階段。

　　● 一方面，從合規(guī)角度考量，伴隨我國(guó)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)趨于完善，相關(guān)政策要求不斷提升，對(duì)政企用戶的終端數(shù)據(jù)安全和實(shí)戰(zhàn)能力提出更高要求，具備主動(dòng)防御能力的EDR在滿足合規(guī)、政策相關(guān)要求方面具備更高的優(yōu)勢(shì)；

　　● 另一方面，在數(shù)字化進(jìn)程不斷加快的當(dāng)下，數(shù)字資產(chǎn)對(duì)企業(yè)的重要性不言而喻，報(bào)告援引數(shù)據(jù)顯示，多達(dá)90%的成功網(wǎng)絡(luò)攻擊和多達(dá)70%的成功數(shù)據(jù)竊取都源自終端設(shè)備，這意味著缺乏實(shí)時(shí)檢測(cè)響應(yīng)能力以及防御未知威脅能力的傳統(tǒng)終端安全產(chǎn)品，在應(yīng)對(duì)高級(jí)威脅方面的實(shí)戰(zhàn)能力較為匱乏，而可實(shí)現(xiàn)對(duì)終端全生命周期（包括從預(yù)測(cè)、防護(hù)、檢測(cè)到響應(yīng)）持續(xù)性安全防護(hù)的EDR產(chǎn)品無(wú)疑是一個(gè)絕佳補(bǔ)充，有利于企業(yè)提升其終端安全防護(hù)能力和水平，成為越來(lái)越多行業(yè)客戶所關(guān)注、采購(gòu)的對(duì)象。

　　與此同時(shí)，國(guó)內(nèi)安全廠商紛紛開始布局EDR產(chǎn)品市場(chǎng)，在推動(dòng)客戶對(duì)EDR的認(rèn)知進(jìn)一步增強(qiáng)之外，伴隨輕量級(jí)EDR及服務(wù)托管模式日趨成熟，EDR產(chǎn)品所面向的客戶群體也已廣泛覆蓋大、中、小型政企用戶。

　　根據(jù)過(guò)往經(jīng)驗(yàn)，數(shù)字安全領(lǐng)域中的單一市場(chǎng)增長(zhǎng)，都普遍具備合規(guī)驅(qū)動(dòng)為主、價(jià)值驅(qū)動(dòng)為輔的特征，同時(shí)需要有更多安全廠商參與，形成合力，不斷教育市場(chǎng)、培育市場(chǎng)、發(fā)展市場(chǎng)并最終走向繁榮市場(chǎng)，終端安全市場(chǎng)乃至EDR市場(chǎng)同樣如此。因此，當(dāng)合規(guī)、價(jià)值需求疊加，將有力推動(dòng)EDR市場(chǎng)規(guī)模的進(jìn)一步擴(kuò)大和高速增長(zhǎng)。

　　圖片來(lái)源：賽迪顧問(wèn)《中國(guó)終端安全檢測(cè)與響應(yīng)產(chǎn)品市場(chǎng)研究報(bào)告（2022）》

　　數(shù)據(jù)方面，在報(bào)告統(tǒng)計(jì)的2019-2021年的周期中，我國(guó)EDR市場(chǎng)規(guī)模持續(xù)高速增長(zhǎng)，且增速不斷加快，至2021年，整體市場(chǎng)規(guī)模已從2019年的8.4億元提升到2021年的14.3億元。

　　綜合性安全廠商仍是EDR市場(chǎng)主力軍

　　360 EDR市場(chǎng)占有率超10%排名第一

　　關(guān)于我國(guó)EDR產(chǎn)品市場(chǎng)競(jìng)爭(zhēng)格局方面的具體情況，報(bào)告也作了較為詳盡的闡述。統(tǒng)計(jì)數(shù)據(jù)顯示，我國(guó)EDR產(chǎn)品市場(chǎng)份額仍主要被業(yè)內(nèi)頭部綜合性安全廠商所占據(jù)，其中360是唯一一家市場(chǎng)份額占比超過(guò)10%的安全廠商，排名第一。

　　圖片來(lái)源：賽迪顧問(wèn)《中國(guó)終端安全檢測(cè)與響應(yīng)產(chǎn)品市場(chǎng)研究報(bào)告（2022）》

　　通過(guò)數(shù)據(jù)可以看出，綜合性廠商仍是EDR市場(chǎng)主力軍。盡管EDR仍屬于數(shù)字安全中一個(gè)單一領(lǐng)域，但其自身特點(diǎn)決定了要想做好就必須要具備強(qiáng)大的綜合實(shí)力，一方面是產(chǎn)品能力要高，另一方面則是頭部廠商所具備的成熟盈利模式。

　　● 產(chǎn)品能力方面，企業(yè)購(gòu)買EDR產(chǎn)品的目的，在于提升對(duì)潛在及未知威脅的監(jiān)測(cè)、響應(yīng)和處置能力，對(duì)相關(guān)廠商的能力要求并不單一。如EDR將基于端點(diǎn)收集的信息進(jìn)行處理，需要結(jié)合大數(shù)據(jù)、機(jī)器學(xué)習(xí)等相關(guān)技術(shù)和能力，貫穿整個(gè)終端的事前監(jiān)控/加固、事中檢測(cè)/分析/響應(yīng)、事后追溯全過(guò)程，對(duì)技術(shù)、能力以及實(shí)戰(zhàn)經(jīng)驗(yàn)等多方面均有較高要求，而以360為代表的頭部綜合性廠商在這方面則有著較為深厚的基礎(chǔ)，并經(jīng)過(guò)長(zhǎng)年的實(shí)踐檢驗(yàn)，已擁有豐富的成功經(jīng)驗(yàn)，相比于沒(méi)有大數(shù)據(jù)積累，沒(méi)有數(shù)十億終端部署量的廠商來(lái)說(shuō)，有極大的優(yōu)勢(shì)。

　　● 在盈利模式方面，渠道建設(shè)相對(duì)更加完善，且擁有更多直客資源的綜合性廠商，其優(yōu)勢(shì)不言而喻，對(duì)產(chǎn)品銷售、市場(chǎng)擴(kuò)張極為有利。以360為例，其輕量級(jí)EDR產(chǎn)品已經(jīng)開始以SaaS化服務(wù)形式面向全行業(yè)客戶輸出。

　　因此我們認(rèn)為，在未來(lái)較長(zhǎng)的一段時(shí)間內(nèi)，伴隨市場(chǎng)規(guī)模的不斷擴(kuò)大，頭部綜合性廠商在各方面的綜合優(yōu)勢(shì)將會(huì)進(jìn)一步放大，而市場(chǎng)占有率方面的優(yōu)勢(shì)地位也將得以鞏固。

　　有效的EDR產(chǎn)品須具備的必要能力與關(guān)鍵能力

　　隨著越來(lái)越多的企業(yè)進(jìn)入EDR產(chǎn)品市場(chǎng)，在帶來(lái)更多選擇的同時(shí)，也對(duì)客戶企業(yè)如何選擇提出了難題，尤其在當(dāng)前主流產(chǎn)品均已具備包括安全事件檢測(cè)，安全事件調(diào)查，抑制終端利用以及安全修復(fù)等EDR必備核心安全功能的情況下，那到底如何衡量一款EDR產(chǎn)品的水平呢？

　　在我們看來(lái)，由Gartner與360在2022年5月聯(lián)合發(fā)布的《數(shù)字時(shí)代EDR技術(shù)發(fā)展趨勢(shì)》白皮書中已有清晰的闡述。

　　根據(jù)Gartner的定義規(guī)范，EDR產(chǎn)品的三大必要能力水平需著重關(guān)注，具體體現(xiàn)在：

　　1、大數(shù)據(jù)存儲(chǔ)及處理能力

　　海量數(shù)據(jù)是發(fā)現(xiàn)攻擊痕跡的基礎(chǔ)，是構(gòu)建檢測(cè)模型的基礎(chǔ)，這也意味著如果脫離了大數(shù)據(jù)的支撐，那么EDR的產(chǎn)品能力乃至價(jià)值都是空談。對(duì)大數(shù)據(jù)的存儲(chǔ)及處理能力提出了極高要求。在EDR中，通過(guò)對(duì)多維度且高質(zhì)量的大數(shù)據(jù)進(jìn)行智能化關(guān)聯(lián)分析和運(yùn)營(yíng)，可有效追溯攻擊過(guò)程并尋找漏洞源和攻擊源，形成完整的攻擊鏈圖譜，是確保終端安全的最優(yōu)路徑。

　　2、安全分析能力

　　這一能力是衡量EDR產(chǎn)品水平高低的重要標(biāo)準(zhǔn)之一，需要有各種安全檢測(cè)分析技術(shù)，能對(duì)海量多異構(gòu)數(shù)據(jù)進(jìn)行分析，這就要求EDR產(chǎn)品的分析能力應(yīng)不僅僅局限于某個(gè)終端，而是可將所有終端的異常事件進(jìn)行全局關(guān)聯(lián)分析。由于高級(jí)威脅攻擊的痕跡往往會(huì)隱藏在看似正常的運(yùn)行行為之中，因而需要有對(duì)海量歷史數(shù)據(jù)的反復(fù)檢測(cè)能力，這對(duì)EDR的大數(shù)據(jù)運(yùn)算能力也提出了更高要求，也是EDR能力的關(guān)鍵支撐。

　　3、強(qiáng)而有力的安全專家團(tuán)隊(duì)

　　盡管當(dāng)前主流產(chǎn)品已具備不俗的大數(shù)據(jù)自動(dòng)化關(guān)聯(lián)分析能力，但安全專業(yè)人員、團(tuán)隊(duì)仍然是EDR產(chǎn)品能夠?qū)踩治瞿芰Φ靡猿浞职l(fā)揮的重要角色，除了EDR產(chǎn)品本身的使用會(huì)對(duì)專業(yè)性要求較高之外，對(duì)于收集到的數(shù)據(jù)進(jìn)行人工分析和解釋也是十分重要的一環(huán)，因?yàn)樽罱K能夠根據(jù)調(diào)查結(jié)果提出更為合理、合法的威脅解決方案的，一定還是專家。

　　那么結(jié)合360EDR產(chǎn)品來(lái)看，不難看出其市場(chǎng)份額之所以能夠保持領(lǐng)先，根本還是源于其產(chǎn)品能力上的優(yōu)勢(shì)，并且在此基礎(chǔ)之上，從實(shí)戰(zhàn)角度進(jìn)一步提出了在云端的關(guān)鍵能力：

　　1、大數(shù)據(jù)方面的能力

　　依靠在終端安全領(lǐng)域17年的數(shù)據(jù)積累，以及早期在安全大數(shù)據(jù)領(lǐng)域的布局，讓360擁有超過(guò)300億的程序文件樣本，90億域名信息以及高達(dá)22萬(wàn)億的安全日志，安全大數(shù)據(jù)已達(dá)2EB級(jí)別（1EB=1,048,576TB），這一個(gè)個(gè)龐大的數(shù)字令360EDR具備了全網(wǎng)安全攻防和態(tài)勢(shì)感知能力，為終端安全的快速檢測(cè)和響應(yīng)提供強(qiáng)有力的支撐。同時(shí)，云端還提供了對(duì)歷史數(shù)據(jù)的回溯能力，配合專業(yè)人員的分析，可給出更為準(zhǔn)確的威脅評(píng)估結(jié)果。

　　2、安全分析能力方面

　　依靠自身的360全網(wǎng)數(shù)字安全大腦賦能的安全分析平臺(tái)，360EDR通過(guò)各種檢測(cè)分析技術(shù)，對(duì)海量多異構(gòu)數(shù)據(jù)進(jìn)行分析，同時(shí)結(jié)合全網(wǎng)APT情報(bào)，確保了各類威脅全面可視。可視是前提，沒(méi)有可視的前提，任何威脅的處理都是一句空話，而威脅的可視化就是360EDR的“雷達(dá)”能力，而這種針對(duì)各類攻擊的“雷達(dá)”能力，是需要強(qiáng)大的安全分析能力作為保證的，360作為一家具有17年歷史的數(shù)字安全領(lǐng)導(dǎo)公司，360EDR提供了“運(yùn)營(yíng)商級(jí)別”的運(yùn)算能力，可瞬間調(diào)用數(shù)百萬(wàn)顆CPU參與計(jì)算、檢索與關(guān)聯(lián)分析，具備快速繪出完整攻擊鏈圖譜能力。

　　3、安全專家團(tuán)隊(duì)方面

　　360的優(yōu)勢(shì)則更為顯而易見，其專家成員不僅成功挖掘谷歌、微軟、蘋果等主流廠商的CVE漏洞超3000個(gè)，還曾成功追蹤溯源海蓮花、蔓靈花、藍(lán)寶菇等針對(duì)中國(guó)的境外APT組織累計(jì)多達(dá)50個(gè)，而通過(guò)這些安全專家的經(jīng)驗(yàn)賦能，能最大化產(chǎn)品價(jià)值， 讓360EDR從一開始就具備來(lái)自云端的快速檢測(cè)響應(yīng)能力。

　　“云地聯(lián)動(dòng)”將是未來(lái)EDR產(chǎn)品演進(jìn)方向

　　在EDR產(chǎn)品的未來(lái)趨勢(shì)方面，整合云端能力和終端資源以 SaaS 化的形式面向不同規(guī)模的客戶提供服務(wù)將成為未來(lái)EDR發(fā)展的重要方向，這一觀點(diǎn)也曾出現(xiàn)在Gartner的《數(shù)字時(shí)代EDR技術(shù)發(fā)展趨勢(shì)》報(bào)告文中。

　　EDR能力成熟度模型

　　圖片來(lái)源：Gartner《數(shù)字時(shí)代EDR技術(shù)發(fā)展趨勢(shì)》

　　報(bào)告指出，通過(guò) SaaS 化的形式提供云端EDR能力，可將云端強(qiáng)大的數(shù)據(jù)存儲(chǔ)、分析以及實(shí)時(shí)情報(bào)能力及時(shí)賦能到終端，實(shí)現(xiàn)終端和云端的實(shí)時(shí)交互。并且，基于云視角打造的終端安全防護(hù)體系，可以使得各類終端安全事件與云端大數(shù)據(jù)形成廣泛的數(shù)據(jù)聯(lián)動(dòng)，實(shí)現(xiàn)安全能力從孤島式、被動(dòng)式的單點(diǎn)防護(hù)到主動(dòng)式、全局式的縱深防御的有序演進(jìn)。這一點(diǎn)與頭部廠商產(chǎn)品“360EDR支持云端輕量化SaaS部署”不謀而合。

　　與此同時(shí)，泛終端安全檢測(cè)與響應(yīng)會(huì)成為安全廠商布局的熱點(diǎn)領(lǐng)域，這一點(diǎn)不難理解，隨著數(shù)字化進(jìn)程的不斷推進(jìn)和深入發(fā)展，大數(shù)據(jù)、云計(jì)算、AI等新技術(shù)被廣泛應(yīng)用，更多新的場(chǎng)景也被引入，企業(yè)應(yīng)用的終端設(shè)備無(wú)論從類型上、數(shù)量上還是接入方式上都會(huì)較之以往有著更進(jìn)一步的擴(kuò)展，從而形成一種泛終端并用的場(chǎng)景。在這種情況下，考慮到監(jiān)管層面的安全要求以及企業(yè)內(nèi)在的安全需求，面向該領(lǐng)域的EDR產(chǎn)品必將會(huì)成為一大新熱點(diǎn)。

　　在偏技術(shù)層面，報(bào)告指出，AI、自動(dòng)化編排與響應(yīng)會(huì)成為推動(dòng)EDR未來(lái)進(jìn)一步發(fā)展的重要趨勢(shì)。同樣，360EDR基于知識(shí)圖譜和人工智能帶來(lái)的智能化特點(diǎn)，也代表了EDR產(chǎn)品未來(lái)在技術(shù)層面的發(fā)展趨勢(shì)。

　　EDR實(shí)戰(zhàn)能力備受認(rèn)可

　　市場(chǎng)規(guī)模或?qū)⒂?024年實(shí)現(xiàn)翻番

　　報(bào)告還對(duì)當(dāng)前三款主流EDR產(chǎn)品的實(shí)際落地案例進(jìn)行介紹，以其中某銀行客戶終端安全管理系統(tǒng)項(xiàng)目為例，在應(yīng)用EDR產(chǎn)品前，該銀行仍以傳統(tǒng)終端防護(hù)產(chǎn)品及相關(guān)策略為主，在當(dāng)前日益復(fù)雜的外部威脅形勢(shì)下疲態(tài)盡顯。

　　在部署EDR相關(guān)產(chǎn)品方案后，本地安全運(yùn)營(yíng)平臺(tái)可基于完整的終端安全事件日志，結(jié)合數(shù)據(jù)檢測(cè)引擎、關(guān)聯(lián)分析引擎預(yù)計(jì)云端的情報(bào)賦能，形成“云地聯(lián)動(dòng)”的終端整體態(tài)勢(shì)感知體系，幫助安全運(yùn)營(yíng)人員進(jìn)行終端威脅的分析、溯源和響應(yīng)。

　　在最終成果方面，該銀行客戶通過(guò)部署EDR產(chǎn)品方案，建立健全了終端安全檢測(cè)與響應(yīng)體系，在原有傳統(tǒng)終端安全產(chǎn)品的基礎(chǔ)上，很好地彌補(bǔ)了此前在異常行為持續(xù)監(jiān)測(cè)、安全風(fēng)險(xiǎn)檢測(cè)以及威脅溯源和響應(yīng)等諸多方面不足。不僅全面提升了與高級(jí)威脅對(duì)抗過(guò)程中的效果及效率，同時(shí)還依靠集中式終端安全管理，讓整體安全管理和運(yùn)維能力都取得跨越式進(jìn)步，為該銀行客戶的數(shù)字化轉(zhuǎn)型及信息化建設(shè)提供了更優(yōu)的安全保障水平。

　　類似以上案例仍有很多，篇幅所限在此不一一贅述，而隨著實(shí)戰(zhàn)能力優(yōu)秀的EDR產(chǎn)品應(yīng)用范圍不斷擴(kuò)大，落地能力不斷提升，在錄得連續(xù)三年市場(chǎng)規(guī)模高速成長(zhǎng)的佳績(jī)之下，其未來(lái)市場(chǎng)前景仍被廣泛看好。

　　可以想象，在EDR產(chǎn)品的作用和重要性已被全球安全企業(yè)及最終用戶廣泛認(rèn)可的情況下，其市場(chǎng)規(guī)模在未來(lái)三年仍有望保持高速增長(zhǎng)態(tài)勢(shì)。該報(bào)告制作方——賽迪顧問(wèn)預(yù)測(cè)稱，至2024年，我國(guó)EDR產(chǎn)品市場(chǎng)規(guī)模將達(dá)到32.2億元，三年復(fù)合增長(zhǎng)率高達(dá)31.1%，相比2021年更是實(shí)現(xiàn)翻倍以上的增長(zhǎng)。

　　在市場(chǎng)競(jìng)爭(zhēng)方面，伴隨產(chǎn)品成熟度不斷提升，介入該領(lǐng)域的廠商不斷增多，相關(guān)政策要求的調(diào)整變化，整體競(jìng)爭(zhēng)格局仍將以頭部綜合性廠商為主，包括360、深信服、安恒信息等在內(nèi)的少數(shù)頭部廠商將依靠自身在產(chǎn)品能力布局和銷售能力方面的優(yōu)勢(shì)，在市場(chǎng)方面的第一集團(tuán)位置將會(huì)進(jìn)一步固化，呈現(xiàn)集中化特征。與此同時(shí)，伴隨我國(guó)對(duì)信創(chuàng)領(lǐng)域的重視程度顯著提升，對(duì)國(guó)產(chǎn)化要求大幅提高，并明確要求到2027年央企國(guó)企100%完成信創(chuàng)替代，將為EDR產(chǎn)品領(lǐng)域的國(guó)內(nèi)廠商帶來(lái)巨大機(jī)遇，國(guó)外競(jìng)品預(yù)計(jì)將會(huì)逐步退出，整體市場(chǎng)將會(huì)在當(dāng)前基礎(chǔ)上進(jìn)一步向國(guó)內(nèi)優(yōu)秀廠商傾斜。

　　總體來(lái)看，我國(guó)EDR產(chǎn)品起步時(shí)間雖然相對(duì)較晚，但發(fā)展速度較快，市場(chǎng)接受程度逐年升高，市場(chǎng)需求穩(wěn)步增長(zhǎng)，加之主流參與廠商在前期終端安全能力沉淀及布局都具備較強(qiáng)優(yōu)勢(shì)，將會(huì)有力推動(dòng)國(guó)內(nèi)EDR市場(chǎng)更快步入成熟期，為保障我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展貢獻(xiàn)更為強(qiáng)大的安全力量。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<