企业的终端安全需求和策略可被称为“终端安全连续统一体”。该连续统一体的一端是高级威胁预防,也可称之为“下一代杀毒软件(AV)”,因为其中使用了机器学习、威胁情报集成等技术,改善了传统AV产品的威胁预防功能。
统一体的另一端,凸显的是高级检测与响应,也就是业界称之为
终端检测与响应(EDR)
的东西。
EDR的重点不在于阻止漏洞利用和恶意软件,而在于监视终端以检测可疑活动,并捕获可疑数据以进行安全取证及调查。
安全厂商正往终端安全套装中加入终端检测及响应(EDR),因为CISO们确实需要EDR,虽然他们不确定以何种方式使用它。
在早些时候EDR这个领域有如下结论:
市场中75%-80%的企业会倾向于高级预防,而20%-25%的企业则会关注EDR。对高级预防的偏重是因为大多数企业都没有构建复杂EDR项目所需的技术团队和资源。
最终,供应商会提供覆盖从高级预防到EDR的产品套装,弥合该终端安全连续统一体。而当这一切真正来临时,企业将会买入整套产品。
时间推进到2018年,从企业战略集团(ESG)的调查研究结果来看,这些结论成真了:
被问及整个终端安全套装中最具吸引力的功能是什么时,28%的网络安全人员选择了EDR。EDR在所有潜在回答中占比最高。
于是,继高级预防功能之后,EDR正成为企业安全又一需求。
那么,是不是可以认为,下一代AV产品就会纳入EDR,以全面的终端安全套装形式发售呢?那倒未必,只能说,有这个可能性吧。大多数企业想要EDR功能确实不假,但大部分企业依然缺乏部署成熟EDR产品所需的人才和资源也是真的。
三类EDR产品
基于此市场现状,EDR可能会迎来市场细分,最终归为如下3类:
1. 企业级EDR
此类产品收集、处理并分析所有终端活动。企业EDR依托企业内部基础设施(比如收集器、服务器、存储等等)。此类产品仍然是一个利基市场(约20%-25%),重点针对高安全严监管行业的大型企业。
