開年了，先來個熱身

說說安全圈最近比較火的EDR產品

EDR即端點檢測與響應

是終端安全領域的新興技術

↓

↓

那麼，EDR到底哪家強？

開局一張圖

我們先來了解一下

一、 EDR最新的市場格局

↓

這張圖資料來源於IDC年前新鮮出爐的報告

《IDC MarketScape：中國終端安全檢測與響應市場2020，廠商評估》

這份報告基本上囊括了

國內市場上活躍的EDR產品&服務供應商

比較有特色的是

除了大家熟悉的“傳統”安全廠商之外

還評估了幾大公有云服務商

總計14家，看點十足！

14家廠商根據能力和戰略評分

被劃分成了4檔

↓

第1檔，領導者，9家

奇安信、阿里雲、亞信安全、深信服

騰訊、華為雲、卡巴斯基、綠盟、天融信

第2檔，主要廠商，4家

安天、安恆資訊、傑思安全、廈門服雲(安全狗)

第3檔，競爭者，1家

江民科技

第4檔，參與者，0家……

孰強孰弱，一圖瞭然

二、再來看看，這些EDR玩家的戰鬥力

在MarketScape圖中

氣泡大小反映的是

相關企業2019年的EDR市場營收

這個資料更為直觀

我們可以得到一份營收排名

↓

第一集團軍的競爭相當慘烈

根據MarketScape圖的玩法

橫軸代表戰略，縱軸代表能力

位置越在右上角就越牛掰

奇安信、阿里雲、亞信安全

可算作EDR綜合實力（能力+戰略）前三甲

除了“圖說”

這份報告對14家入選廠商

都進行了詳細的優勢和挑戰點評

就不在這裡囉嗦了

大家可以下載報告檢視

三、買EDR，怎麼選？

在這份報告中

IDC給出了對技術買家的建議

↓

①技術為王

優先考慮並全面評估產品核心技術能力

在充分“POC”的基礎上

選擇高性價比的產品和服務

☆劃重點：要做POC驗證，不要輕信忽悠

②提升威脅可見性

什麼意思呢？

買EDR產品的目標

絕非僅僅對終端資訊進行簡單收集和儲存

更重要的是

提升對潛在威脅的監測和取證能力

☆劃重點：儲存和收集資訊不是目的

提升威脅時間的響應和處置效率更關鍵

EDR不可能一勞永逸

處理所有的威脅判定和響應

還需要專業安全人員參與其中

對自動化輸出的威脅資訊進行深入分析

☆劃重點：採購和部署了產品並非萬事大吉

還需要培養企業安全專家或者引入專業服務

④託管安全服務是大勢所趨

IDC定義了三種託管安全服務

駐場安全服務、本地託管安全服務

雲託管安全服務

☆劃重點：自家專業安全人員不足怎麼破？

利用託管模式，找安全服務商當外援

⑤安全防護關注統一和整體性

一方面，企業終端型別越來越多

EDR需要“照單全收”

把各種型別的終端都納入

另一方面

終端安全不能孤立於整體方案之外

需要和企業整體安全方案聯動

☆劃重點：企業不能為了EDR而EDR

終端安全只是整體安全方案的一塊拼圖

四、最後，再科普一下

EDR究竟是個啥，咋就火了？

EDR，英文全稱是

Endpoint Detection & Response

端點檢測與響應

這是一種“主動式”的端點安全方案

所謂端點，其實是各種型別的終端

按照IDC的評估範圍，EDR所保護的端點型別

不僅包含傳統PC、智慧移動終端、嵌入式終端

還包括傳統伺服器端、虛擬機器/雲主機

隨著雲的普及

雲上“新端點”的保護，是個新趨勢

那麼，既然是對終端進行保護

和傳統終端安全產品EPP有啥不一樣？

傳統EPP產品，側重點是“防禦”

主要是識別和阻斷已知威脅

而EDR產品，側重點是“檢測”和“反應”

它保護的並不侷限於端點本身

而是以端點為基礎，收集更多資訊

結合大資料和機器學習的技術

發現潛在的未知威脅，並作出響應

它會貫穿安全威脅事件的整個生命週期

事前監控/加固、事中檢測/分析/響應、事後追溯

將威脅檢測的時間線進行了延長

有效發現那些隱蔽且緩慢進行的惡意威脅

因此

對於當下APT、0day、無檔案攻擊等複雜威脅

EDR產品能夠起到較好的防禦作用

從端點安全的發展史看

傳統防病毒是第一代

EPP平臺是第二代

而EDR屬於第三代

但是，EDR相對於EPP和AV

並非完全替代關係

老中青三代組合拳

共同來保障終端/端點的安全

在EDR之後，還有XDR的概念被提出來

其實是將威脅檢測和響應的範圍擴得更廣

不止侷限於“端點”

但凡事總有利弊，XDR加戲太多

畫餅容易，落地卻不容易

成熟還需要假以時日

五、如果你是大甲方，你會選擇誰？

IDC在研究報告中

把國內的EDR玩家劃分為4種出身

↓

而目前，EDR落地最廣泛的行業是

政府、通訊、金融、能源…

都是妥妥的“大甲方”啊

那麼，如果你是大甲方，會如何選擇？