企业的终端安全需求和策略可被称为“终端安全连续统一体”。该连续统一体的一端是高级威胁预防,也可称之为“下一代杀毒软件(AV)”,因为其中使用了机器学习、威胁情报集成等技术,改善了传统AV产品的威胁预防功能。
统一体的另一端,凸显的是高级检测与响应,也就是业界称之为终端检测与响应(EDR)的东西。EDR的重点不在于阻止漏洞利用和恶意软件,而在于监视终端以检测可疑活动,并捕获可疑数据以进行安全取证及调查。安全厂商正往终端安全套装中加入终端检测及响应(EDR),因为CISO们确实需要EDR,虽然他们不确定以何种方式使用它。
在早些时候EDR这个领域有如下结论:
- 市场中75%-80%的企业会倾向于高级预防,而20%-25%的企业则会关注EDR。对高级预防的偏重是因为大多数企业都没有构建复杂EDR项目所需的技术团队和资源。
- 最终,供应商会提供覆盖从高级预防到EDR的产品套装,弥合该终端安全连续统一体。而当这一切真正来临时,企业将会买入整套产品。
时间推进到2018年,从企业战略集团(ESG)的调查研究结果来看,这些结论成真了:
- 87%的企业计划购置包含从高级预防到EDR整个终端安全连续统一体的全套终端安全产品
被问及整个终端安全套装中最具吸引力的功能是什么时,28%的网络安全人员选择了EDR。EDR在所有潜在回答中占比最高。于是,继高级预防功能之后,EDR正成为企业安全又一需求。
那么,是不是可以认为,下一代AV产品就会纳入EDR,以全面的终端安全套装形式发售呢?那倒未必,只能说,有这个可能性吧。大多数企业想要EDR功能确实不假,但大部分企业依然缺乏部署成熟EDR产品所需的人才和资源也是真的。
三类EDR产品
基于此市场现状,EDR可能会迎来市场细分,最终归为如下3类:
1. 企业级EDR
此类产品收集、处理并分析所有终端活动。企业EDR依托企业内部基础设施(比如收集器、服务器、存储等等)。此类产品仍然是一个利基市场(约20%-25%),重点针对高安全严监管行业的大型企业。
2. 轻量级EDR
这种模式下,EDR是“触发式”的。当行为分析、SIEM或UEBA规则被触发,EDR就会开始收集可疑系统上的行为数据。这有点像是当前有些企业应用过程特性分析软件包(PCAP)的方式。轻量级EDR特别适合正在打造安全运营及分析平台架构(SOAPA)的企业,因为终端安全数据将可支持其他分析功能。很多企业和中级市场公司(市场占比40%-50%)都会选择此类EDR。
3. 托管EDR
适合想要全功能EDR却又没有必须的人手和资源的企业。托管EDR市场将来会进一步细分。一些服务提供商会仅专注检测,另一些则全力主攻威胁响应和缓解。有些提供商会将托管EDR作为托管检测与响应(MDR)产品的一部分提供。另一些则会专精托管威胁追捕。总而言之,25%-40%的市场将会选择某种形式的托管EDR。
也有可能有厂商会提供从全功能产品到完全托管服务的完整选择。这种混合产品线对在不同地域需要不同功能的大型跨国公司最具新引力。
无论如何,企业安全经理需先评估自身需求、资源和人才,再决定选择何种EDR。产品很丰富,CISO需谨慎。