近日，業(yè)內(nèi)知名調(diào)研機(jī)構(gòu)賽迪顧問正式發(fā)布了《中國終端安全檢測與響應(yīng)產(chǎn)品市場研究報告（2022）》（以下簡稱“報告”），報告從終端安全檢測與響應(yīng)（（Endpoint Detection & Response，以下簡稱“EDR”）產(chǎn)品定義、產(chǎn)品市場現(xiàn)狀及趨勢、市場競爭格局等多個維度展開分析，并發(fā)布了三個典型案例，對我國的EDR市場情況做出了完整且詳盡的闡述，對業(yè)內(nèi)各方也都有著較強(qiáng)的參考價值和實(shí)際意義。

　　合規(guī)+價值需求疊加

　　我國EDR產(chǎn)品市場逐漸成熟

　　報告認(rèn)為，當(dāng)前我國終端安全市場仍是傳統(tǒng)的被動防御產(chǎn)品為主，具備主動防御能力的EDR產(chǎn)品在市場發(fā)展過程中尚處在起步階段，但近年來的整體發(fā)展趨勢已經(jīng)表明，EDR產(chǎn)品即將進(jìn)入高速發(fā)展階段。

　　● 一方面，從合規(guī)角度考量，伴隨我國網(wǎng)絡(luò)安全相關(guān)法律法規(guī)趨于完善，相關(guān)政策要求不斷提升，對政企用戶的終端數(shù)據(jù)安全和實(shí)戰(zhàn)能力提出更高要求，具備主動防御能力的EDR在滿足合規(guī)、政策相關(guān)要求方面具備更高的優(yōu)勢；

　　● 另一方面，在數(shù)字化進(jìn)程不斷加快的當(dāng)下，數(shù)字資產(chǎn)對企業(yè)的重要性不言而喻，報告援引數(shù)據(jù)顯示，多達(dá)90%的成功網(wǎng)絡(luò)攻擊和多達(dá)70%的成功數(shù)據(jù)竊取都源自終端設(shè)備，這意味著缺乏實(shí)時檢測響應(yīng)能力以及防御未知威脅能力的傳統(tǒng)終端安全產(chǎn)品，在應(yīng)對高級威脅方面的實(shí)戰(zhàn)能力較為匱乏，而可實(shí)現(xiàn)對終端全生命周期（包括從預(yù)測、防護(hù)、檢測到響應(yīng)）持續(xù)性安全防護(hù)的EDR產(chǎn)品無疑是一個絕佳補(bǔ)充，有利于企業(yè)提升其終端安全防護(hù)能力和水平，成為越來越多行業(yè)客戶所關(guān)注、采購的對象。

　　與此同時，國內(nèi)安全廠商紛紛開始布局EDR產(chǎn)品市場，在推動客戶對EDR的認(rèn)知進(jìn)一步增強(qiáng)之外，伴隨輕量級EDR及服務(wù)托管模式日趨成熟，EDR產(chǎn)品所面向的客戶群體也已廣泛覆蓋大、中、小型政企用戶。

　　根據(jù)過往經(jīng)驗，數(shù)字安全領(lǐng)域中的單一市場增長，都普遍具備合規(guī)驅(qū)動為主、價值驅(qū)動為輔的特征，同時需要有更多安全廠商參與，形成合力，不斷教育市場、培育市場、發(fā)展市場并最終走向繁榮市場，終端安全市場乃至EDR市場同樣如此。因此，當(dāng)合規(guī)、價值需求疊加，將有力推動EDR市場規(guī)模的進(jìn)一步擴(kuò)大和高速增長。

　　圖片來源：賽迪顧問《中國終端安全檢測與響應(yīng)產(chǎn)品市場研究報告（2022）》

　　數(shù)據(jù)方面，在報告統(tǒng)計的2019-2021年的周期中，我國EDR市場規(guī)模持續(xù)高速增長，且增速不斷加快，至2021年，整體市場規(guī)模已從2019年的8.4億元提升到2021年的14.3億元。

　　綜合性安全廠商仍是EDR市場主力軍

　　360 EDR市場占有率超10%排名第一

　　關(guān)于我國EDR產(chǎn)品市場競爭格局方面的具體情況，報告也作了較為詳盡的闡述。統(tǒng)計數(shù)據(jù)顯示，我國EDR產(chǎn)品市場份額仍主要被業(yè)內(nèi)頭部綜合性安全廠商所占據(jù)，其中360是唯一一家市場份額占比超過10%的安全廠商，排名第一。

　　圖片來源：賽迪顧問《中國終端安全檢測與響應(yīng)產(chǎn)品市場研究報告（2022）》

　　通過數(shù)據(jù)可以看出，綜合性廠商仍是EDR市場主力軍。盡管EDR仍屬于數(shù)字安全中一個單一領(lǐng)域，但其自身特點(diǎn)決定了要想做好就必須要具備強(qiáng)大的綜合實(shí)力，一方面是產(chǎn)品能力要高，另一方面則是頭部廠商所具備的成熟盈利模式。

　　● 產(chǎn)品能力方面，企業(yè)購買EDR產(chǎn)品的目的，在于提升對潛在及未知威脅的監(jiān)測、響應(yīng)和處置能力，對相關(guān)廠商的能力要求并不單一。如EDR將基于端點(diǎn)收集的信息進(jìn)行處理，需要結(jié)合大數(shù)據(jù)、機(jī)器學(xué)習(xí)等相關(guān)技術(shù)和能力，貫穿整個終端的事前監(jiān)控/加固、事中檢測/分析/響應(yīng)、事后追溯全過程，對技術(shù)、能力以及實(shí)戰(zhàn)經(jīng)驗等多方面均有較高要求，而以360為代表的頭部綜合性廠商在這方面則有著較為深厚的基礎(chǔ)，并經(jīng)過長年的實(shí)踐檢驗，已擁有豐富的成功經(jīng)驗，相比于沒有大數(shù)據(jù)積累，沒有數(shù)十億終端部署量的廠商來說，有極大的優(yōu)勢。

　　● 在盈利模式方面，渠道建設(shè)相對更加完善，且擁有更多直客資源的綜合性廠商，其優(yōu)勢不言而喻，對產(chǎn)品銷售、市場擴(kuò)張極為有利。以360為例，其輕量級EDR產(chǎn)品已經(jīng)開始以SaaS化服務(wù)形式面向全行業(yè)客戶輸出。

　　因此我們認(rèn)為，在未來較長的一段時間內(nèi)，伴隨市場規(guī)模的不斷擴(kuò)大，頭部綜合性廠商在各方面的綜合優(yōu)勢將會進(jìn)一步放大，而市場占有率方面的優(yōu)勢地位也將得以鞏固。

　　有效的EDR產(chǎn)品須具備的必要能力與關(guān)鍵能力

　　隨著越來越多的企業(yè)進(jìn)入EDR產(chǎn)品市場，在帶來更多選擇的同時，也對客戶企業(yè)如何選擇提出了難題，尤其在當(dāng)前主流產(chǎn)品均已具備包括安全事件檢測，安全事件調(diào)查，抑制終端利用以及安全修復(fù)等EDR必備核心安全功能的情況下，那到底如何衡量一款EDR產(chǎn)品的水平呢？

　　在我們看來，由Gartner與360在2022年5月聯(lián)合發(fā)布的《數(shù)字時代EDR技術(shù)發(fā)展趨勢》白皮書中已有清晰的闡述。

　　根據(jù)Gartner的定義規(guī)范，EDR產(chǎn)品的三大必要能力水平需著重關(guān)注，具體體現(xiàn)在：

　　1、大數(shù)據(jù)存儲及處理能力

　　海量數(shù)據(jù)是發(fā)現(xiàn)攻擊痕跡的基礎(chǔ)，是構(gòu)建檢測模型的基礎(chǔ)，這也意味著如果脫離了大數(shù)據(jù)的支撐，那么EDR的產(chǎn)品能力乃至價值都是空談。對大數(shù)據(jù)的存儲及處理能力提出了極高要求。在EDR中，通過對多維度且高質(zhì)量的大數(shù)據(jù)進(jìn)行智能化關(guān)聯(lián)分析和運(yùn)營，可有效追溯攻擊過程并尋找漏洞源和攻擊源，形成完整的攻擊鏈圖譜，是確保終端安全的最優(yōu)路徑。

　　2、安全分析能力

　　這一能力是衡量EDR產(chǎn)品水平高低的重要標(biāo)準(zhǔn)之一，需要有各種安全檢測分析技術(shù)，能對海量多異構(gòu)數(shù)據(jù)進(jìn)行分析，這就要求EDR產(chǎn)品的分析能力應(yīng)不僅僅局限于某個終端，而是可將所有終端的異常事件進(jìn)行全局關(guān)聯(lián)分析。由于高級威脅攻擊的痕跡往往會隱藏在看似正常的運(yùn)行行為之中，因而需要有對海量歷史數(shù)據(jù)的反復(fù)檢測能力，這對EDR的大數(shù)據(jù)運(yùn)算能力也提出了更高要求，也是EDR能力的關(guān)鍵支撐。

　　3、強(qiáng)而有力的安全專家團(tuán)隊

　　盡管當(dāng)前主流產(chǎn)品已具備不俗的大數(shù)據(jù)自動化關(guān)聯(lián)分析能力，但安全專業(yè)人員、團(tuán)隊仍然是EDR產(chǎn)品能夠?qū)踩治瞿芰Φ靡猿浞职l(fā)揮的重要角色，除了EDR產(chǎn)品本身的使用會對專業(yè)性要求較高之外，對于收集到的數(shù)據(jù)進(jìn)行人工分析和解釋也是十分重要的一環(huán)，因為最終能夠根據(jù)調(diào)查結(jié)果提出更為合理、合法的威脅解決方案的，一定還是專家。

　　那么結(jié)合360EDR產(chǎn)品來看，不難看出其市場份額之所以能夠保持領(lǐng)先，根本還是源于其產(chǎn)品能力上的優(yōu)勢，并且在此基礎(chǔ)之上，從實(shí)戰(zhàn)角度進(jìn)一步提出了在云端的關(guān)鍵能力：

　　1、大數(shù)據(jù)方面的能力

　　依靠在終端安全領(lǐng)域17年的數(shù)據(jù)積累，以及早期在安全大數(shù)據(jù)領(lǐng)域的布局，讓360擁有超過300億的程序文件樣本，90億域名信息以及高達(dá)22萬億的安全日志，安全大數(shù)據(jù)已達(dá)2EB級別（1EB=1,048,576TB），這一個個龐大的數(shù)字令360EDR具備了全網(wǎng)安全攻防和態(tài)勢感知能力，為終端安全的快速檢測和響應(yīng)提供強(qiáng)有力的支撐。同時，云端還提供了對歷史數(shù)據(jù)的回溯能力，配合專業(yè)人員的分析，可給出更為準(zhǔn)確的威脅評估結(jié)果。

　　2、安全分析能力方面

　　依靠自身的360全網(wǎng)數(shù)字安全大腦賦能的安全分析平臺，360EDR通過各種檢測分析技術(shù)，對海量多異構(gòu)數(shù)據(jù)進(jìn)行分析，同時結(jié)合全網(wǎng)APT情報，確保了各類威脅全面可視?？梢暿乔疤?，沒有可視的前提，任何威脅的處理都是一句空話，而威脅的可視化就是360EDR的“雷達(dá)”能力，而這種針對各類攻擊的“雷達(dá)”能力，是需要強(qiáng)大的安全分析能力作為保證的，360作為一家具有17年歷史的數(shù)字安全領(lǐng)導(dǎo)公司，360EDR提供了“運(yùn)營商級別”的運(yùn)算能力，可瞬間調(diào)用數(shù)百萬顆CPU參與計算、檢索與關(guān)聯(lián)分析，具備快速繪出完整攻擊鏈圖譜能力。

　　3、安全專家團(tuán)隊方面

　　360的優(yōu)勢則更為顯而易見，其專家成員不僅成功挖掘谷歌、微軟、蘋果等主流廠商的CVE漏洞超3000個，還曾成功追蹤溯源海蓮花、蔓靈花、藍(lán)寶菇等針對中國的境外APT組織累計多達(dá)50個，而通過這些安全專家的經(jīng)驗賦能，能最大化產(chǎn)品價值， 讓360EDR從一開始就具備來自云端的快速檢測響應(yīng)能力。

　　“云地聯(lián)動”將是未來EDR產(chǎn)品演進(jìn)方向

　　在EDR產(chǎn)品的未來趨勢方面，整合云端能力和終端資源以 SaaS 化的形式面向不同規(guī)模的客戶提供服務(wù)將成為未來EDR發(fā)展的重要方向，這一觀點(diǎn)也曾出現(xiàn)在Gartner的《數(shù)字時代EDR技術(shù)發(fā)展趨勢》報告文中。

　　EDR能力成熟度模型

　　圖片來源：Gartner《數(shù)字時代EDR技術(shù)發(fā)展趨勢》

　　報告指出，通過 SaaS 化的形式提供云端EDR能力，可將云端強(qiáng)大的數(shù)據(jù)存儲、分析以及實(shí)時情報能力及時賦能到終端，實(shí)現(xiàn)終端和云端的實(shí)時交互。并且，基于云視角打造的終端安全防護(hù)體系，可以使得各類終端安全事件與云端大數(shù)據(jù)形成廣泛的數(shù)據(jù)聯(lián)動，實(shí)現(xiàn)安全能力從孤島式、被動式的單點(diǎn)防護(hù)到主動式、全局式的縱深防御的有序演進(jìn)。這一點(diǎn)與頭部廠商產(chǎn)品“360EDR支持云端輕量化SaaS部署”不謀而合。

　　與此同時，泛終端安全檢測與響應(yīng)會成為安全廠商布局的熱點(diǎn)領(lǐng)域，這一點(diǎn)不難理解，隨著數(shù)字化進(jìn)程的不斷推進(jìn)和深入發(fā)展，大數(shù)據(jù)、云計算、AI等新技術(shù)被廣泛應(yīng)用，更多新的場景也被引入，企業(yè)應(yīng)用的終端設(shè)備無論從類型上、數(shù)量上還是接入方式上都會較之以往有著更進(jìn)一步的擴(kuò)展，從而形成一種泛終端并用的場景。在這種情況下，考慮到監(jiān)管層面的安全要求以及企業(yè)內(nèi)在的安全需求，面向該領(lǐng)域的EDR產(chǎn)品必將會成為一大新熱點(diǎn)。

　　在偏技術(shù)層面，報告指出，AI、自動化編排與響應(yīng)會成為推動EDR未來進(jìn)一步發(fā)展的重要趨勢。同樣，360EDR基于知識圖譜和人工智能帶來的智能化特點(diǎn)，也代表了EDR產(chǎn)品未來在技術(shù)層面的發(fā)展趨勢。

　　EDR實(shí)戰(zhàn)能力備受認(rèn)可

　　市場規(guī)模或?qū)⒂?024年實(shí)現(xiàn)翻番

　　報告還對當(dāng)前三款主流EDR產(chǎn)品的實(shí)際落地案例進(jìn)行介紹，以其中某銀行客戶終端安全管理系統(tǒng)項目為例，在應(yīng)用EDR產(chǎn)品前，該銀行仍以傳統(tǒng)終端防護(hù)產(chǎn)品及相關(guān)策略為主，在當(dāng)前日益復(fù)雜的外部威脅形勢下疲態(tài)盡顯。

　　在部署EDR相關(guān)產(chǎn)品方案后，本地安全運(yùn)營平臺可基于完整的終端安全事件日志，結(jié)合數(shù)據(jù)檢測引擎、關(guān)聯(lián)分析引擎預(yù)計云端的情報賦能，形成“云地聯(lián)動”的終端整體態(tài)勢感知體系，幫助安全運(yùn)營人員進(jìn)行終端威脅的分析、溯源和響應(yīng)。

　　在最終成果方面，該銀行客戶通過部署EDR產(chǎn)品方案，建立健全了終端安全檢測與響應(yīng)體系，在原有傳統(tǒng)終端安全產(chǎn)品的基礎(chǔ)上，很好地彌補(bǔ)了此前在異常行為持續(xù)監(jiān)測、安全風(fēng)險檢測以及威脅溯源和響應(yīng)等諸多方面不足。不僅全面提升了與高級威脅對抗過程中的效果及效率，同時還依靠集中式終端安全管理，讓整體安全管理和運(yùn)維能力都取得跨越式進(jìn)步，為該銀行客戶的數(shù)字化轉(zhuǎn)型及信息化建設(shè)提供了更優(yōu)的安全保障水平。

　　類似以上案例仍有很多，篇幅所限在此不一一贅述，而隨著實(shí)戰(zhàn)能力優(yōu)秀的EDR產(chǎn)品應(yīng)用范圍不斷擴(kuò)大，落地能力不斷提升，在錄得連續(xù)三年市場規(guī)模高速成長的佳績之下，其未來市場前景仍被廣泛看好。

　　可以想象，在EDR產(chǎn)品的作用和重要性已被全球安全企業(yè)及最終用戶廣泛認(rèn)可的情況下，其市場規(guī)模在未來三年仍有望保持高速增長態(tài)勢。該報告制作方——賽迪顧問預(yù)測稱，至2024年，我國EDR產(chǎn)品市場規(guī)模將達(dá)到32.2億元，三年復(fù)合增長率高達(dá)31.1%，相比2021年更是實(shí)現(xiàn)翻倍以上的增長。

　　在市場競爭方面，伴隨產(chǎn)品成熟度不斷提升，介入該領(lǐng)域的廠商不斷增多，相關(guān)政策要求的調(diào)整變化，整體競爭格局仍將以頭部綜合性廠商為主，包括360、深信服、安恒信息等在內(nèi)的少數(shù)頭部廠商將依靠自身在產(chǎn)品能力布局和銷售能力方面的優(yōu)勢，在市場方面的第一集團(tuán)位置將會進(jìn)一步固化，呈現(xiàn)集中化特征。與此同時，伴隨我國對信創(chuàng)領(lǐng)域的重視程度顯著提升，對國產(chǎn)化要求大幅提高，并明確要求到2027年央企國企100%完成信創(chuàng)替代，將為EDR產(chǎn)品領(lǐng)域的國內(nèi)廠商帶來巨大機(jī)遇，國外競品預(yù)計將會逐步退出，整體市場將會在當(dāng)前基礎(chǔ)上進(jìn)一步向國內(nèi)優(yōu)秀廠商傾斜。

　　總體來看，我國EDR產(chǎn)品起步時間雖然相對較晚，但發(fā)展速度較快，市場接受程度逐年升高，市場需求穩(wěn)步增長，加之主流參與廠商在前期終端安全能力沉淀及布局都具備較強(qiáng)優(yōu)勢，將會有力推動國內(nèi)EDR市場更快步入成熟期，為保障我國數(shù)字經(jīng)濟(jì)發(fā)展貢獻(xiàn)更為強(qiáng)大的安全力量。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<