开年了,先来个热身 说说安全圈最近比较火的EDR产品 EDR即端点检测与响应 是终端安全领域的新兴技术 ↓ ↓ 那么,EDR到底哪家强? 开局一张图 我们先来了解一下 一、 EDR最新的市场格局↓ 这张图数据源于IDC年前新鲜出炉的报告 《IDC MarketScape:中国终端安全检测与响应市场2020,厂商评估》 这份报告基本上囊括了 国内市场上活跃的EDR产品&服务供应商 比较有特色的是 除了大家熟悉的“传统”安全厂商之外 还评估了几大公有云服务商 总计14家,看点十足! 14家厂商根据能力和战略评分 被划分成了4档 ↓ 第1档,领导者,9家 奇安信、阿里云、亚信安全、深信服 腾讯、华为云、卡巴斯基、绿盟、天融信 第2档,主要厂商,4家 安天、安恒信息、杰思安全、厦门服云(安全狗) 第3档,竞争者,1家 江民科技 第4档,参与者,0家 孰强孰弱,一图了然 二、再来看看,这些EDR玩家的战斗力在MarketScape图中 气泡大小反映的是 相关企业2019年的EDR市场营收 这个数据更为直观 我们可以得到一份营收排名 ↓ 第一集团军的竞争相当惨烈 根据MarketScape图的玩法 横轴代表战略,纵轴代表能力 位置越在右上角就越牛掰 奇安信、阿里云、亚信安全 可算作EDR综合实力(能力+战略)前三甲 除了“图说” 这份报告对14家入选厂商 都进行了详细的优势和挑战点评 就不在这里啰嗦了 大家可以下载报告查看 三、买EDR,怎么选?在这份报告中 IDC给出了对技术买家的建议 ↓ ①技术为王 优先考虑并全面评估产品核心技术能力 在充分“POC”的基础上 选择高性价比的产品和服务 ☆划重点:要做POC验证,不要轻信忽悠 ②提升威胁可见性 什么意思呢? 买EDR产品的目标 绝非仅仅对终端信息进行简单收集和存储 更重要的是 提升对潜在威胁的监测和取证能力 ☆划重点:存储和收集信息不是目的 提升威胁时间的响应和处置效率更关键 ③安全专家至关重要 EDR不可能一劳永逸 处理所有的威胁判定和响应 还需要专业安全人员参与其中 对自动化输出的威胁信息进行深入分析 ☆划重点:采购和部署了产品并非万事大吉 还需要培养企业安全专家或者引入专业服务 ④托管安全服务是大势所趋 IDC定义了三种托管安全服务 驻场安全服务、本地托管安全服务 云托管安全服务 ☆划重点:自家专业安全人员不足怎么破? 利用托管模式,找安全服务商当外援 ⑤安全防护关注统一和整体性 一方面,企业终端类型越来越多 EDR需要“照单全收” 把各种类型的终端都纳入 另一方面 终端安全不能孤立于整体方案之外 需要和企业整体安全方案联动 ☆划重点:企业不能为了EDR而EDR 终端安全只是整体安全方案的一块拼图 四、最后,再科普一下EDR究竟是个啥,咋就火了? EDR,英文全称是 Endpoint Detection & Response 端点检测与响应 这是一种“主动式”的端点安全方案 所谓端点,其实是各种类型的终端 按照IDC的评估范围,EDR所保护的端点类型 不仅包含传统PC、智能移动终端、嵌入式终端 还包括传统服务器端、虚拟机/云主机 随着云的普及 云上“新端点”的保护,是个新趋势 那么,既然是对终端进行保护 和传统终端安全产品EPP有啥不一样? 传统EPP产品,侧重点是“防御” 主要是识别和阻断已知威胁 而EDR产品,侧重点是“检测”和“反应” 它保护的并不局限于端点本身 而是以端点为基础,收集更多信息 结合大数据和机器学习的技术 发现潜在的未知威胁,并作出响应 它会贯穿安全威胁事件的整个生命周期 事前监控/加固、事中检测/分析/响应、事后追溯 将威胁检测的时间线进行了延长 有效发现那些隐蔽且缓慢进行的恶意威胁 因此 对于当下APT、0day、无文件攻击等复杂威胁 EDR产品能够起到较好的防御作用 从端点安全的发展史看 传统防病毒是第一代 EPP平台是第二代 而EDR属于第三代 但是,EDR相对于EPP和AV 并非完全替代关系 老中青三代组合拳 共同来保障终端/端点的安全 在EDR之后,还有XDR的概念被提出来 其实是将威胁检测和响应的范围扩得更广 不止局限于“端点” 但凡事总有利弊,XDR加戏太多 画饼容易,落地却不容易 成熟还需要假以时日 五、如果你是大甲方,你会选择谁?IDC在研究报告中 把国内的EDR玩家划分为4种出身 ↓ 而目前,EDR落地最广泛的行业是 政府、通信、金融、能源… 都是妥妥的“大甲方”啊 那么,如果你是大甲方,会如何选择? |
|
来自: wq2g2ds152m668 > 《信息安全》