数字经济大背景下,大量设备入网、业务和数据上云背后,是终端作为数字化基础节点面临对抗加剧、安全挑战严峻的现状。
近日,赛迪顾问发布《中国终端安全检测与响应产品市场研究报告(2022)》(以下简称《报告》)显示,随着数字化转型进程的持续推进,数字安全威胁的复杂性越来越高,越来越多的终端成为网络攻击的突破口,终端安全防护逐渐向主动防御方向转变,终端安全检测与响应(EDR)产品的市场需求日益增多。2021年,中国终端安全检测与响应市场规模达到14.3亿元,同比增长32.4%。
2019-2021 年中国终端安全检测与响应市场规模及增长
国内EDR市场日趋成熟
终端安全是企业整体安全体系中的重要节点。终端安全产品的演进经历了从终端防病毒软件到终端防护平台(EPP)再到终端安全检测与响应(EDR)三个阶段。
当前各类网络威胁的复杂性和隐蔽性均显著提升,给终端安全带来极大的挑战,EDR技术应运而生。EDR凭借其强大的终端安全信息检测、分析、响应与溯源能力,能够有效发现那些隐蔽且缓慢进行的恶意威胁,帮助企业提升对高级持续性威胁(APT)、零日威胁、无文件攻击等复杂威胁的检测与响应能力。
目前,国内的EDR市场还处于起步阶段,终端安全市场仍然以被动防御为主,正在向主动防御阶段过渡。
《报告》显示,国内EDR市场的渗透率还不到30%,主流EDR产品收入仍然是一次性产品收入。国内当前客户还主要以大型企业为主,随着轻量级EDR以及服务托管形式的日趋成熟,逐步在向中小型客户渗透,EDR市场也开始逐渐成熟。
但是,EDR产品的作用和重要性已经得到了全球范围内安全企业及最终用户的广泛认可,并将成为未来几年终端安全市场持续增长的重要推动力之一。
2022-2024 年中国终端安全检测与响应产品市场规模预测
赛迪顾问预测,到2024年中国终端安全检测与响应市场规模将达到32.2亿元,三年复合增长率为31.1%。
360 EDR市场份额居首位
2021年,中国终端安全检测与响应产品市场竞争较为激烈。《报告》显示,从市场份额上来看,360数字安全凭借其在终端安全领域深耕多年的经验及先发优势,排名位居第一。
2021 年中国终端安全检测与响应产品市场份额
今年5月,360依托360全网数字大脑提供的安全大数据、威胁情报和攻防知识库等打造了面向未来的EDR解决方案——360终端检测响应系统(360 EDR)。
在实战场景中,传统EDR产品很多防护手段是失效的。如不具备真正的大数据存储和处理能力,不具备真正从实战中总结出来的知识库和安全分析能力、安全专家和安全专业技能,终端上的信息采集能力比较欠缺、不具备完整采集攻击行为的能力,从而导致攻击者行为信息记录不全面等。
而360基于多年积累的大数据及“看见”潜在威胁的能力,为解决这些问题提供了新的思路。
首先,海量数据是“看见”攻击痕迹的基础,也是构建检测模型的基础。360依靠17年数字安全领域的深耕和安全大数据积累,打造了以“看见”为核心的360全网数字安全大脑,360 EDR能利用云端的大数据,把异常事件与大数据分析能力结合,与威胁情报碰撞形成完整的攻攻击链图谱,为终端安全的快速检测和响应提供有力支撑。
其次,由于高级威胁攻击的蛛丝马迹往往隐蔽在常规软件类似的行为当中,因此需要有对海量历史数据的反复检测能力,这些都要求EDR必须具备强大的大数据运算能力,能够把所有终端的异常事件做到全局关联分析。基于360全网数字安全大脑的赋能,360 EDR具备“运营商级别”的分析算力,可瞬间调用超过百万颗CPU参与计算、检索与关联,快速画出完整攻击链图谱。
最后,除了全局数据、分析能力,还离不开安全专家的支撑。360拥有强大的安全专家团队, 其专家成员不仅成功挖掘谷歌、微软、苹果等主流厂商的CVE漏洞超3000个,还曾成功追踪溯源海莲花、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个,这些安全专家的经验也将赋能360EDR,实现产品价值最大化。
“真正的EDR是看见威胁的眼睛,需要具备看见的能力。”360集团副总裁兼首席科学家潘剑锋曾公开表示。360 EDR具备这种“看见”威胁的能力。
潘剑锋表示,360是唯一具备看见全网安全态势能力的公司,面向数字时代打造了新一代EDR解决方案,能够帮助政企单位第一时间看见威胁,感知风险,实现快速响应、抵御攻击。这一解决方案是数字时代终端安全防御的真正利器。
实践:360 EDR提供终端防御新解法
360EDR联动360全网数字安全大脑的特点,能够助力数字安全产品的信息共享、大数据集中分析研判、高级威胁情报赋能、数字安全产品体系化联动、安全策略协同等全方面提升。
例如,对于某银行而言,其生产网、办公网、互联网的服务器和终端系统是银行最为关键的安全环节。对于攻击者而言,内网终端既可以作为攻击目标,也可以作为攻击的跳板,因此内网终端的安全直接关系着某银行整体网络安全。加强终端的安全性和可对抗性,是保证业务安全和网络安全基础问题,也是核心问题。
终端安全管理系统项目架构图
360 EDR客户端程序分别部署在该银行下属分支机构的服务器、生产服务器及公有云服务器上,实时监控终端侧的恶意行为。通过EDR打点相关数据(网络、文件、进程、注册表等)送入本地的安全运营平台,基于完整的终端侧安全事件日志,结合360全网数字安全大脑,形成云地一体化的终端整体态势感知体系,帮助安全运营人员进行终端威胁的分析、溯源和响应。真正实现“看见”威胁。同时通过集中式的终端安全管理,不仅提高了终端安全管理和运维的效率,而且为银行信息化建设提供了强有力的安全保障。
SaaS化、智能化成EDR新趋势
在未来的终端安全检测与响应产品市场中,泛终端安全防护与管理将使落地应用更加成熟,也更加适应企业的发展需求。
《报告》显示,未来EDR将整合云端能力和终端资源以SaaS化的形式面向大中小客户提供服务,增强内网端点的威胁防御以及威胁对抗能力,保障各类生产和办公业务平稳持续运行。
通过 SaaS化的形式提供云端EDR能力,可以将云端强大的数据存储、分析以及实时情报能力及时赋能到终端,实现终端和云端的实时交互。基于云视角打造的终端安全防护体系,可以使得各类终端安全事件与云端大数据形成广泛的数据联动,实现安全能力从孤岛式、被动式的单点防护到主动式、全局式的纵深防御的有序演进。
在潘剑锋看来,未来EDR应该整合云端能力和终端资源以SaaS化服务形式面向大中小客户输出,增强内网端点威胁防御以及威胁对抗能力,保障各类生产和办公业务平稳持续运行。通过SaaS化提供云EDR的能力,同时可以将云端强大的数据存储、分析以及实时情报能力及时赋能到终端,实现终端和云端的实时交互。
此外,EDR产品也将更加依赖对安全大数据、安全专家以及安全知识库的能力,自动化编排与响应将在未来终端安全中扮演重要角色,人工智能与大数据技术将推动EDR能力的升级,向智能化演进。
而以SaaS化、智能化的EDR正是360在部署的。360 EDR同时具备SaaS化和智能化的特点,可以通过持续监测端点活动行为,对威胁风险进行深度检测、智能化分析和专业化处理,大幅降低用户成本,提升部署效率,联动全网大数据,全方位解决用户的终端安全问题。
潘剑锋表示,360 EDR依靠360全网数字安全大脑的情报赋能,以及云地一体的架构,充分发挥360在数据、情报、专家的优势,是新时期端点安全防御的重大实践成果。目前,EDR正朝着SaaS化、智能化和专业化的方向持续演进。
未来,360 EDR将持续为广大用户提供最强大、最全面的安全分析能力、攻击溯源能力、可视化展现能力、快速响应能力、联防联动能力、定制化安全运营能力以及丰富的订阅服务,帮助用户提升安全风险的识别、保护、检测、响应、恢复等各项能力。