現代軟件定義安全，EDR將企業(yè)網(wǎng)絡(luò )安全防護武裝到牙齒

PC時(shí)代，基于簽名技術(shù)的終端安全防護技術(shù)在廣大企業(yè)及個(gè)人用戶(hù)的網(wǎng)絡(luò )安全防護體系中長(cháng)期占據著(zhù)重要的位置，殺毒軟件產(chǎn)品成為網(wǎng)絡(luò )安全領(lǐng)域必不可少的代表產(chǎn)品之一。然而，隨著(zhù)全球企業(yè)數字化轉型進(jìn)程的持續推進(jìn)，新興技術(shù)不斷涌現并快速發(fā)展，企業(yè)的業(yè)務(wù)模式和所處網(wǎng)絡(luò )環(huán)境已經(jīng)不可同日而語(yǔ)。由于EDR將威脅檢測的時(shí)間線(xiàn)進(jìn)行了延長(cháng)，具備更為強大的終端安全信息檢測、分析、響應與溯源能力，幫助企業(yè)提升對高級持續性威脅、零日威脅、無(wú)文件攻擊等復雜威脅的檢測與響應能力。因此，EDR工具的作用和重要性已經(jīng)在全球得到了安全企業(yè)及最終用戶(hù)的廣泛認可，并將成為未來(lái)幾年終端安全市場(chǎng)持續增長(cháng)的重要推動(dòng)力之一。IDC特別針對中國地區發(fā)布了《IDC MarketScape: 中國終端安全檢測與響應市場(chǎng)2020，廠(chǎng)商評估》報告，供業(yè)界人士在選擇EDR產(chǎn)品和服務(wù)提供商時(shí)參考。

市場(chǎng)格局點(diǎn)評

基于本次研究，IDC認為：

EDR廠(chǎng)商應深挖核心技術(shù)，同時(shí)關(guān)注軟件產(chǎn)品自身魯棒性

企業(yè)網(wǎng)絡(luò )安全管理人員往往希望通過(guò)單一的客戶(hù)端和管理平臺實(shí)現對企業(yè)整體終端安全的保護和管理，以減少對終端設備性能和業(yè)務(wù)系統穩定性的影響，這往往會(huì )導致技術(shù)提供商側重追求終端安全產(chǎn)品的功能全面性，而忽略了對核心技術(shù)的深入研究。同時(shí)，由于EDR產(chǎn)品/工具需要與主機操作系統緊密結合，其安全性和健壯性極為重要，不應讓安全產(chǎn)品自身的脆弱性成為網(wǎng)絡(luò )攻擊的入口或跳板。

加強威脅可見(jiàn)性，提升對威脅事件的響應和處置效率

EDR產(chǎn)品/工具不僅需要對終端信息進(jìn)行簡(jiǎn)單收集和存儲，還應該充分挖掘和分析海量安全信息之間的關(guān)聯(lián)性，提升對潛在威脅的檢測和溯源取證能力，并將這些信息進(jìn)行直觀(guān)展現，幫助企業(yè)安全管理人員完成對威脅事件的危害級別、危害行為、影響范圍等信息的快速初步判定，降低人員工作負載，提升對威脅事件的響應和處置效率。

安全專(zhuān)家至關(guān)重要，EDR能力的充分施展需要人的參與

當前階段，面對隱蔽且復雜的終端惡意威脅，企業(yè)還不能將所有的威脅判定和響應工作均交給EDR產(chǎn)品/工具進(jìn)行自動(dòng)處理，需要安全廠(chǎng)商或企業(yè)內部專(zhuān)業(yè)安全人員對產(chǎn)品自動(dòng)化輸出的威脅信息進(jìn)行深入分析，結合自身業(yè)務(wù)屬性判定告警的準確性及危險級別，并在安全工具的幫助下進(jìn)行有效響應和溯源分析。

托管安全服務(wù)是大勢所趨，EDR服務(wù)商紛紛加大布局

為了將安全服務(wù)提供商的高級技術(shù)團隊資源利用最大化，基于托管模式的EDR安全服務(wù)越來(lái)越受到最終用戶(hù)的關(guān)注。IDC定義下的托管安全服務(wù)分為三種類(lèi)型：駐場(chǎng)安全服務(wù)（MSS-CPE）、本地托管安全服務(wù)（MSS-Hosted）、云托管安全服務(wù)（CHESS）。廣大企業(yè)級客戶(hù)可以根據自身網(wǎng)絡(luò )和業(yè)務(wù)屬性選擇適合的托管安全服務(wù)模式。