EDR軟件市場分析報告

EDR軟件市場分析報告2020年7月

1.EDR軟件是“云邊端”防護(hù)體系重要組成部分1.1.EDR是傳統(tǒng)終端殺毒軟件的進(jìn)化EDR端防御與響應(yīng)(EndpointDetection&ResponseEDR)是一種主動的安全方法，可以實時監(jiān)控終端設(shè)備，并檢測滲透到公司防御系統(tǒng)中的威脅情提供關(guān)于攻擊的上下文和詳細(xì)信息?？梢宰屇阒拦粽吆螘r進(jìn)入你的網(wǎng)絡(luò)，并在攻擊發(fā)生時檢測攻擊路徑，幫助用戶及時對安全事件作出反應(yīng)。防病毒軟件應(yīng)用的主要是病毒特征碼技術(shù)，缺乏主動防御能力，并且后期占用運算資源，增加相應(yīng)成本。我們每個人都有應(yīng)用殺毒軟件的體驗——發(fā)現(xiàn)可疑文件后，用防病毒軟件的掃描引擎調(diào)用病毒特征庫，與可疑文件進(jìn)行匹配，若匹配成功則對該文件做進(jìn)一步處理，這種方式的局限性在于不能查殺未知病毒，需要經(jīng)常更新病毒庫，病毒樣本的采集難度也較大，所以是一種相對比較被動的形式。并且隨著特征庫病毒樣本數(shù)量日益增長，加重了終端存儲和運算資源需求，響應(yīng)的過程會影響到用戶日常辦公，無法適應(yīng)如云化等新的特定場景（相信大部分人都記得用殺毒軟件掃描的時候，電腦會很卡）。防病毒軟件專注于預(yù)防，但對攻擊期間發(fā)生的情況一無所知，它能夠在病毒入侵系統(tǒng)以前做防護(hù)，但是即使正確地做到了這一點，也不能告訴你惡意軟件來自哪里，以及它們是如何在系統(tǒng)中傳播的。而EDR描述的是整個攻擊過程，并幫助你跟蹤可執(zhí)行文件是如何獲得對計算機(jī)的訪問權(quán)限并嘗試運行的。從防病毒軟件到EDR，中間還有一個過渡環(huán)節(jié)，叫做EPP。EPP（EndpointProtectionPlatform，終端防護(hù)平臺）是除了防病毒以外的綜合保護(hù)終端設(shè)備的安全平臺，通常包括防病毒、個人防火墻、端口和設(shè)備控制等多種功能。它部署在終端設(shè)備上，檢測和阻止來自應(yīng)用程序的惡意活動，并提供動態(tài)響應(yīng)安全事件和警報所需的調(diào)查和修復(fù)功能來預(yù)防基于文件的惡意軟件。但是EPP針對的主要目標(biāo)依舊是已知的威脅，EDR的出現(xiàn)主要就是為了彌補(bǔ)傳統(tǒng)EPP的不足，能夠做到對新的或未知的威脅進(jìn)行主動檢測。Gartner的AntonChuvakin在2013年7月提出了終端威脅檢測和響應(yīng)(EndpointThreatDetectionResponse,ETDR)這一術(shù)語，用來定義一種“檢測和調(diào)查主機(jī)/終端上可疑活動（及其痕跡）”的工具，后來通常被稱為終端檢測與響應(yīng)（EndpointDetectionResponse,EDR3of圖：從防病毒軟件到不斷演變?通過病毒特征庫進(jìn)行匹配，查殺病毒?只能查殺已知病毒，不能查殺未知病毒，存在被動性的特點?隨著特征庫樣本數(shù)量增加耗用資源成本增大，缺乏輕量化的特點防病毒軟件?在防病毒功能的基礎(chǔ)上，考慮多渠道終端防御的綜合解決方案?主要目標(biāo)依舊是已知威脅終端安全防護(hù)平臺?通過對操作系統(tǒng)行為進(jìn)行記錄和儲存，對可疑數(shù)據(jù)和行為進(jìn)行取證和調(diào)查?強(qiáng)調(diào)對機(jī)器學(xué)習(xí)和人工智能等新技術(shù)的應(yīng)用，能夠?qū)π碌幕蛭粗{進(jìn)行主動檢測?具有準(zhǔn)確、高效、輕量的特點終端檢測與響應(yīng)資料來源：市場研究部除了做主動防御以外，EDR的優(yōu)勢也體現(xiàn)在對大數(shù)據(jù)和人工智能的應(yīng)用。通過大數(shù)據(jù)安全分析技術(shù)，運用海量樣本數(shù)據(jù)的深度學(xué)習(xí)所提煉出來的因為這些高維特征數(shù)量不會隨著病毒種類的增加而同步增長，因此具有準(zhǔn)確、高效、輕量的特點。EDR的工作流程包括：檢測：一旦安裝了EDR軟件，它就會使用先進(jìn)的算法來分析系統(tǒng)上單個用戶的行為，并進(jìn)行記錄。調(diào)查：當(dāng)EDR軟件感知到系統(tǒng)中某個特定用戶的異常行為，數(shù)據(jù)會立即被過濾、豐富和監(jiān)控，以防出現(xiàn)惡意行為。這些跡象觸發(fā)了警報，調(diào)查就開始了，確定攻擊是真是假。關(guān)聯(lián)跟蹤：如果檢測到惡意活動，算法將跟蹤攻擊路徑并將其重建回入口點?？梢暬喝缓?，EDR將所有數(shù)據(jù)點合并到稱為惡意操作(MalOps)的窄類別中，使分析人員更容易查看。處理：在發(fā)生真正的攻擊事件時，客戶會得到通知，并得到下一步則警報關(guān)閉，只增加調(diào)查記錄，不會通知客戶。同時EDR，SOC）以及分析師團(tuán)隊的結(jié)合。從EDR的目標(biāo)設(shè)定來看，它對于分析人員的要求相比EPPEDR和SOC相結(jié)合也是未來大型企業(yè)和組織值得考慮的選項。而對于中小型客戶而言，則可以將EDR務(wù)托管的方式獲得這個能力。1.2.EDR是完整防御體系不可或缺的一部分從Paloalto身上，我們可以看到云-邊-端防御體系的重要性，在云時代，能夠讓用戶一站式管理所有安全權(quán)限。PaloAltoNetworks的下一代安全平臺包含了三個核心：新一代防火墻+新一代云端威脅檢測新一代終端安全軟件。下一代防火墻代表了傳統(tǒng)邊界防護(hù)，云端威脅檢測代表了云安全，終端安全管理軟件代表了終端安全，公司的布局是比較全面的云邊端安全布局。三個要素之間協(xié)同運作、高度整合，在用戶劃分4of網(wǎng)絡(luò)用戶部門時，能直接以身份而非地址來實現(xiàn)，并給予相應(yīng)的網(wǎng)圖：PaloAlto進(jìn)行了云邊端三位一體布局?jǐn)?shù)據(jù)來源：PaloAlto2.市場空間大，政策推動加速發(fā)展2.1.合規(guī)政策需求加速EDR對傳統(tǒng)防病毒軟件的替代近年來國家對于網(wǎng)絡(luò)安全的重視上升到了戰(zhàn)略層面，驅(qū)動網(wǎng)絡(luò)安全政策法規(guī)不斷落地，對終端數(shù)據(jù)安全提出了更為細(xì)致的要求，加速了EDR軟件對傳統(tǒng)防病毒軟件的替代。細(xì)數(shù)最近幾年國家對網(wǎng)絡(luò)安全的立法立規(guī)：2016年《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》頒布，2017年6月《網(wǎng)絡(luò)安全法》頒布，2017年7頒布，2019年52.0》系列標(biāo)準(zhǔn)頒布。其中最新頒布的《等級保護(hù)2.0》對惡意代碼的防范要求中，要求企業(yè)對終端的各類風(fēng)險進(jìn)行預(yù)警防范，同時要求分散于各個終端設(shè)備的數(shù)據(jù)進(jìn)行集中管理和審計。這對國內(nèi)終端安全產(chǎn)品的升級換代提出了新的要求。傳統(tǒng)的防病毒軟件將難以滿足最新的合規(guī)需求，終端安全產(chǎn)品的更新?lián)Q代為EDR創(chuàng)造了新的市場空間。表1:等保對惡意代碼的防范要求應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進(jìn)行升級和更新防惡意代碼庫b)應(yīng)在軟件開發(fā)過程中對安全性進(jìn)行測試，在軟件安裝前對可能存在的惡意代碼進(jìn)行檢測應(yīng)在軟件交付前檢測其中可能存在的惡意代碼7.1.4.5惡意代碼防范7.1.9.4自行軟件開發(fā)7.1.9.5外包軟件開發(fā)7.1.10.7惡意代碼防范應(yīng)提高所有用戶的防惡意代碼意識，對外來計算機(jī)或存儲設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查等管理b)的定期查殺等應(yīng)定期檢查惡意代碼庫的升級情況，對截獲的惡意代碼進(jìn)行及時分析處理。8.1.4.5惡意代碼防范8.1.5.4集中管控有效阻斷應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項進(jìn)行集中管理5of應(yīng)保證在軟件開發(fā)過程中對安全性進(jìn)行測試，在軟件安裝前對可能存在的惡意代碼進(jìn)行檢測8.1.9.4自行軟件開發(fā)8.1.9.5外包軟件開發(fā)應(yīng)在軟件交付前檢測其中可能存在的惡意代碼8.1.10.7惡意代碼防范應(yīng)提高所有用戶的防惡意代碼意識，對外來計算機(jī)或存儲設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查等管理b)應(yīng)定期驗證防范惡意代碼攻擊的技術(shù)措施的有效性8.2.4.3應(yīng)能夠檢測惡意代碼感染在虛擬機(jī)間蔓延的情況，并進(jìn)行告警算安全擴(kuò)展要求）資料來源：公安部網(wǎng)絡(luò)安全等級保護(hù)網(wǎng)，市場研究部伴隨著終端安全的復(fù)雜性和重要性的凸顯，終端防護(hù)被納入越來越多領(lǐng)域和行業(yè)的考慮范圍之中，政府、軍工、醫(yī)療、金融、教育、工業(yè)等各類行業(yè)都表現(xiàn)出了相應(yīng)的需求。比如在2020年2月期間，國內(nèi)就有多家醫(yī)療機(jī)構(gòu)感染makop勒索病毒，結(jié)合當(dāng)下新冠疫情防治的背景，和未來線上業(yè)務(wù)發(fā)展的趨勢，更加精細(xì)化的終端安全需求將被納入考慮范圍中。2.2.EDR產(chǎn)品未來增速可期全球終端安全市場已經(jīng)達(dá)到飽和。IDC2018年全球企業(yè)級終端安全市場規(guī)模達(dá)到49億美元，預(yù)計2022年將達(dá)到51億美元，基本保持穩(wěn)定。核心原因是作為最基礎(chǔ)的安全產(chǎn)品之一，終端安全軟件已經(jīng)走過了漫長歲月，滲透率極高，EDR可以認(rèn)為是傳統(tǒng)終端安全軟件更新?lián)Q代的產(chǎn)品，類似手機(jī)的更新?lián)Q代，將給網(wǎng)絡(luò)安全公司帶來一波新的成長機(jī)會。圖：全球終端安全市場已經(jīng)趨于穩(wěn)定數(shù)據(jù)來源：IDC6ofEDR將成為未來幾年終端安全市場持續(xù)增長的重要推動力之一。雖然傳統(tǒng)的EPP產(chǎn)品仍然在終端安全防護(hù)產(chǎn)品中占據(jù)著重要的市場，并且保持著平穩(wěn)的增長，但I(xiàn)DC認(rèn)為相對于全球整體網(wǎng)絡(luò)安全市場的發(fā)展態(tài)勢，EPP增速已經(jīng)明顯偏低；與此同時，EDR工具的作用和重要性在全球已經(jīng)得到了安全企業(yè)及最終用戶的廣泛認(rèn)可，在未來享有巨大的發(fā)展空間。GartnerEDR市場在2018年超過102017年估計增速50%以上，并且預(yù)計到年，具有全功能EDR的終端將增加到1.4億個。市場規(guī)模的增長主要來自于部署終端數(shù)量的快速增長以及EDR功能的豐富帶來的ARPU值的增長。參考目前，僅20%的企業(yè)級終端布局了EDR代理，隨著現(xiàn)有EDR功能的不斷豐富，在全球范圍內(nèi)EDR至少存在5倍以上的增長空間。MordorIntelligence發(fā)布的市場報告預(yù)計市場規(guī)模預(yù)計在202542.35億美元，年復(fù)合增長率為22.97%。目前全球EDR市場劃分明顯，北美市場為最大的EDR市場，而增長最快的則為亞太市場。圖：終端檢測與響應(yīng)（EDR）市場分區(qū)域增速（2019-2024）數(shù)據(jù)來源：MordorIntelligence北美的EDREDR市場尚處于起步階段,終端安全行業(yè)整體處于從被動防御向主動防御及威脅情報過度的初始階左右，但是未來有較大的發(fā)展空間。我們預(yù)計2020年國內(nèi)終端數(shù)量約為1EDR需求終端約占20%2000EDR產(chǎn)品每終端的平均定價在7002020年國內(nèi)EDR終端市場約億元。且當(dāng)前客戶主要以大型企業(yè)為主，未來隨著輕量級EDR以及服務(wù)托管形式日趨成熟，可向中小型客戶滲透，將會有更大的市場空間。此外，在最近幾年合規(guī)需求以及護(hù)網(wǎng)行動的驅(qū)動下，市場滲透率仍有上升空間。和國外EDREDR產(chǎn)品目前仍延續(xù)傳統(tǒng)終端安全產(chǎn)品的一次性買斷形式。國外EDR產(chǎn)品以每年每終端訂閱制付費形EDR產(chǎn)品收入主要為按終端數(shù)量計算的license一次性銷售和后期服務(wù)、升級維保費，首次銷售提供2-3年免費維保，后期每年維保費約為軟件產(chǎn)品的10-20%7of分析需求的增加，不排除未來有向訂閱制模式轉(zhuǎn)變的可能，獲得商業(yè)模式進(jìn)化。3.競爭格局：網(wǎng)安巨頭必爭之地從海外市場來看，EDR產(chǎn)品市場呈現(xiàn)出幾家獨大的局面。全球目前進(jìn)入Gartner跟蹤范圍的知名EDR廠商超過309EDR廠商擁有83%以上的市場份額(CarbonBlack、Cisco、CrowdStrike、Cybereason、FireEye、McAfee、MicrosoftSymantec和Tanium)，市場集中相對較高。EDR等新產(chǎn)品切入終端安全市場，外資廠商逐漸退出本土市場為國內(nèi)廠商提供新的市場空間，終端安全市場格局將發(fā)生變化。根據(jù)IDC的統(tǒng)計數(shù)據(jù)，在國內(nèi)終端安全市場份額方面，2018年奇安信以22.9%的市場份額位列終端安全市場第一，終端安全業(yè)務(wù)同比增長67.8%，其次為賽門鐵克和亞信安全，前三家占據(jù)了近一半的市場份額。從2010-2019市場份額的趨勢來看，外資廠商正逐漸退出本土終端安全市場的舞臺，為本土廠商提供了新的市場空間。2015年亞信安全收購趨勢科技（TrendMicro）在中國的業(yè)務(wù)后，其在本土終端安全領(lǐng)域的份額在一段時期內(nèi)保持穩(wěn)定。未來，奇安信和亞信安全基于較強(qiáng)的威脅情報和能力仍具有較強(qiáng)的優(yōu)勢，同時其他廠商也在嘗試通過新推出的EDR產(chǎn)品在終端安全市場領(lǐng)域后來居上，如深信服于2018年推出的下一代終端安全系統(tǒng)EDR在2019年已經(jīng)取得良好的市場效果，在終端安全市場中占據(jù)了一席之地。圖：終端安全產(chǎn)品市場份額前三發(fā)生變化數(shù)據(jù)來源：IDC，市場研究部8of圖：2018年奇安信終端安全產(chǎn)品市場份額排名第一數(shù)據(jù)來源：市場研究部IDC將中國市場的EDR工具大體分為了三類：典型終端安全廠商持續(xù)擴(kuò)張。利用終端安全領(lǐng)域的長期技術(shù)積累并配合自有終端殺毒引擎，形成EPP+EDR的綜合終端防護(hù)方案，代表性廠商包括奇安信、亞信安全等，考慮到大部分客戶EPP和EDR通常選擇同一廠商，這類廠商在終端安全市場積累的原始客戶群存在較強(qiáng)的粘性，市場占有較為穩(wěn)定。圖：奇安信原來就有大量終端安全客戶資料來源：奇安信官網(wǎng)綜合型安全廠商新進(jìn)入終端安全行業(yè)。綜合型網(wǎng)絡(luò)安全公司可以利用全面的技術(shù)能力和市場優(yōu)勢打造專業(yè)的EDR作、生態(tài)建設(shè)等多種方式優(yōu)化完善終端安全方案，代表性廠商包括深信服、安恒信息、天融信、綠盟科技等。這類廠商經(jīng)過自身積累EDR產(chǎn)品向終端安全產(chǎn)品市場探索，快速布局新興市場。9of圖：深信服終端安全監(jiān)測響應(yīng)平臺架構(gòu)資料來源：深信服官網(wǎng)圖：天融信終端威脅防御系統(tǒng)EDR主要功能資料來源：天融信產(chǎn)品介紹新興EDR專業(yè)廠商。憑借自身獨特的技術(shù)能力和產(chǎn)品創(chuàng)新優(yōu)勢，正在成為終端安全檢測與響應(yīng)市場的重要玩家，代表性廠商包括杰思安全、安全狗等。表2:國內(nèi)主要廠商推出的EDR產(chǎn)品功能各有側(cè)重、和而不同產(chǎn)品名稱產(chǎn)品情況廠商奇安信終端安全響應(yīng)一體化集中管控，管理平臺界面可對十萬級以上客戶端統(tǒng)一集中管理，包括但不限于對所有終端配置策略、威脅事件管理、執(zhí)行處置操作等；系統(tǒng)（）提供對端點行為的全面監(jiān)控與數(shù)據(jù)采集；針對不同階段的攻擊路徑，提供深度自動化異常檢測能力；提供高可視化溯源分析展示，對可疑進(jìn)程行為的攻擊鏈路進(jìn)行完整溯源，包括所有的危害動作及影響面；支持威脅情報IOC導(dǎo)入，提供IOC檢測告警能力，對利用漏洞攻擊行為提供關(guān)聯(lián)CVE信息，并關(guān)聯(lián)受影響終端情況；支持根據(jù)自身業(yè)務(wù)場景需求自行創(chuàng)建自定義異常行為檢測條件來觸發(fā)告警；支持威脅追蹤，跡象數(shù)據(jù)搜索。亞信安全高級威脅終端檢測及響應(yīng)系一體化集中管控，可視化集中態(tài)勢展示；實現(xiàn)遠(yuǎn)程終端運維，終端設(shè)備、資產(chǎn)管理，移動存儲管理，提供終端數(shù)據(jù)備份；of13統(tǒng)（）提供多種準(zhǔn)入認(rèn)證模式，滿足復(fù)雜場景需求，控制網(wǎng)絡(luò)準(zhǔn)入與安全邊界；客戶端升級、補(bǔ)丁發(fā)布等；提供網(wǎng)絡(luò)管理，如違規(guī)外聯(lián)、上網(wǎng)管理、防火墻配置、下載管理、流量控制等；支持系統(tǒng)日志與安全審計。安恒信息明御主機(jī)安全及管理系統(tǒng)EDR一體化集中管控，可視化集中態(tài)勢展示；實現(xiàn)對所有終端資產(chǎn)實時監(jiān)控和管理；實現(xiàn)病毒防御、系統(tǒng)防御、網(wǎng)絡(luò)防御多層防御；采用漏洞庫的方式進(jìn)行檢測，可精確快速根據(jù)不同的操作系統(tǒng)定位到未安裝的補(bǔ)丁，支持所有終端不同網(wǎng)絡(luò)環(huán)境下的批量漏洞修復(fù)；可以實現(xiàn)對單機(jī)的擴(kuò)展行為進(jìn)行監(jiān)測，防止提權(quán)行為和信息泄露；可以對內(nèi)網(wǎng)的惡意攻擊行為（哈希傳遞、漏洞利用、橫向移動）進(jìn)行識別，阻斷惡意探測行為；對失陷后主機(jī)遠(yuǎn)控持久化行為進(jìn)行檢測，可阻斷遠(yuǎn)控；可以對滲透的收尾階段的數(shù)據(jù)清理行為進(jìn)行識別和阻斷；具備微隔離技術(shù)對流量精準(zhǔn)識別、針對非法流量精準(zhǔn)阻斷；可以實現(xiàn)應(yīng)用防護(hù)。深信服下一代終端安采用下一代人工智能殺毒引擎，對不在病毒庫里的未知病毒或