关注云报
洞察深一度

近日,赛迪顾问公布了《中国终端安全检测与响应产品市场研究报告(2022)》,按销售额统计,360数字安全集团凭借10.8%的占市率领跑国内EDR市场
。360EDR所描绘的SaaS化、智能化的EDR蓝图跃然纸上,并快速铺陈开来。



2021年中国终端安全检测与响应产品市场份额
EDR市场持续升温
2021年3月,美国最大的保险公司之一CAN Financial遭遇勒索软件攻击,约15000台设备被加密;同年5月,美国最大成品油管道运输商Colonial Pipeline同样遭遇勒索病毒攻击,致使美国东部沿海燃油网络陷入瘫痪……终端攻击猛如虎。国外研究数据显示,多达90%的成功网络攻击和高达70%的成功数据窃取都源自终端设备。传统针对已知威胁的终端防护产品“廉颇老矣,尚能饭否”?
面对无孔不入的终端安全威胁,国家开始出重拳治理,相关政策及法律法规陆续出台,要求对云环境中以及分散在各处的终端设备进行集中管理和审计,并能对各类风险进行提前检测和预警防范。唯有终端安全检测与响应产品的升级换代,才能让政企用户做到“泰山崩于前而面不改色,风没骤起而泰然处之”。
终端安全虽是挑战,但更是机遇。将重在安全防护的EPP与长于安全管理的EDR相互融合成为最有效的应对之道。各路安全厂商顺势纷纷涌入EDR赛道,围绕着实现事前、事中、事后各节点的防护以及处置能力,同时保证在预防、防御、检测、响应各个阶段的闭环管理展开了新一轮技术竞逐。
如今,国内EDR市场热度持续升高,既有全面创新型的EDR产品,也有改良型的EDR产品;既有能够满足大型企业需求的解决方案,也有轻量级或以服务托管方式向中小型客户进行渗透的EDR产品,可谓百花齐放、百舸争流。国内EDR市场发展欣欣向荣的同时,我们也要清醒地看到,目前国内EDR市场的渗透率还不足30%
,主流EDR产品主要还是按终端数量计算、以病毒检测的技术方向进行销售,而云化部署、作为SaaS化服务提供的EDR仍在路上。


360EDR做对了什么?
360数字安全集团为什么能够在EDR市场上突出重围?洞察市场先机顺势而为是外因,长期的技术积淀、创新变革的思维、巧妙的架构与多重的能力是内因,缺一不可。
赛迪顾问在其报告中对360数字安全集团的成功进行了剖析,其十多年来在终端安全领域的实战经验被首先重点提及。比如在确保数据采集质量方面,360在内核分析技术方面拥有十几年积累,并且可以提供超越内核级的监控能力。在深厚技术积累的基础之上,充分利用在数据、情报和专家团队方面的优势,360EDR没有墨守成规,而是在参考国际EDR标准、完整覆盖采集、检测、响应、预防四个阶段的同时,以核晶引擎、QVM引擎等创新的安全技术为开路先锋,精准而全面地采集近百种安全行为事件及相关文件安全属性,有效对抗APT绕过攻击,同时提升数据检测能力和安全运营分析效果。
下面,我们就从产品和技术层面抽丝剥茧,看看360EDR到底赢在哪里?面向未来的同时又从实战出发,这是360EDR在锻造其关键能力时所遵循的基本原则。
在EDR中,端点采集的各类安全行为数据是终端安全防御、检测和响应的核心依据,也是应对APT攻击的重要手段。360EDR利用CPU虚拟化技术提供的超越内核级的监控技术
,极大程度避免了攻击者逃过EDR监测的问题,同时能够从内核层面更为全面地收集端点信息,规避传统EDR以“低”(检测手段)制“高”(攻击方式)的弊端。在此之上,能够有效追溯攻击过程,寻找漏洞源和攻击源,确保了有效防御和终端安全。

基于大数据的全面而专业的安全分析能力也是不可或缺的。360EDR具备海量安全大数据的全网视角,以及完备的安全分析能力和检测能力优势,能够高效地实现对海量多异构数据的分析,同时结合全网APT情报,能够确保各类威胁全面可视。这也是360EDR引以为豪的“雷达”能力的具体体现。同时360提供了“运营商级别”的运算能力
,可瞬间调用数百网颗CPU参与计算、检索与关联分析,具备快速绘出完整攻击链图谱的能力。


强化实战攻防对抗,一方面需要技术创新,即充分利用机器学习和大数据自动化关联分析,识别和快速响应各种最新漏洞、APT攻击;另一方面,人的能力也不可低估,安全专家的专业知识、技能,以及多年的实战经验总结,对于构建威胁检测防御模型、进行实时和持续追踪分析也是十分必要和有益的。360EDR在上述两个方面一贯是两手抓,两手硬,360的安全专家不仅成功挖掘谷歌、微软、苹果等主流厂商的CVE漏洞超过3000个,还曾成功追踪溯源海莲花、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个。

进入云计算时代,即服务、订阅的模式越来越普及。在满足大型企业终端防护需求的同时,360EDR通过整合其云端能力和终端资源,以SaaS化服务形式面向大中小客户输出,引领了新一代EDR发展趋势。360EDR之所以能“无缝”切换SaaS模式,很重要的一个基石是360全网数字安全大脑。在此赋能之下,360EDR具备大数据存储及处理能力、安全分析能力以及安全专家运营能力,具备全局数据、分析能力,同时能把安全专家运营能力成功下沉,从安全事件分析、响应处置、评估改进等方面制定相应的威胁检测和响应流程,让EDR从一开始就具备来自云端的快速检测响应能力。
360EDR正是凭借360全网数字安全大脑的情报赋能,以及云地一体化的架构,实现了对行业用户的终端安全赋能,确保了业务的可靠、连续运行。举例来说,某金融客户将360EDR客户端程序部署在其下属分支机构的生产服务器及公有云上,实时监控主机侧的恶意行为,并基于完整的主机侧安全事件日志,结合数据检测引擎、关联分析引擎、云端情报赋能,形成云地双栈终端检测响应系统,尽可能压缩攻击者的攻击时间,快速发现和处置高级威胁。
再比如,某汽车制造商通过部署360EDR,能够实时侦测并捕获针对主机的入侵攻击行为;安全分析人员可以基于360EDR所绘制的攻击链路图和ATT&CK技战术图谱,实现全面威胁狩猎,发现潜在攻击行为;360EDR与安全运营平台的SOAR能力相结合,可大大缩短MTTR时间,实现对全网主机事件的事前监测、事中评估和事后处理。
大量成功实践表明,360EDR为政企用户提供了终端安全防护的六大能力——全面的安全分析能力、攻击溯源能力、可视化展现能力、快速响应能力、联防联动能力、定制化安全运营能力,并以灵活、便捷的订阅服务,帮助政企业用户大幅提升对安全风险的识别、保护、检测、响应、恢复等,防患于未然。
智能化、SaaS化两条腿走路
当前,针对终端设备的攻击层出不穷,而传统防御手段的被动滞后、海量大数据的存储和处理能力不足、安全分析能力的欠缺,以及无法满足多场景安全性的需求等,造成政企用户在终端安全方面顾此失彼。
EDR之所以能够快速兴起,正因为它通过持续监测采集各种类型端点上的行为信息和运行状态,并通过大数据、机器学习等技术,对端点的相关数据进行持续性的关联行为分析、威胁检测、高级威胁分析等,提供事件响应处置、追踪溯源、调查取证等功能,实现了对终端从预测、防护到检测、响应的全生命周期的持续性安全防护,赋予了终端设备积极主动的防护能力。


赛迪顾问预测,到2024年,中国终端安全检测与响应市场规模将达到32.2亿元,2021年至2024年三年复合增长率为31.1%,泛终端安全检测与响应将成为安全厂商布局的热点。
EDR的应用才刚刚起步,未来又将走向何方?业界的一个共识是,未来的EDR产品将向“云地联动”方向演进,而人工智能与大数据技术的深入应用将促进EDR各项能力的提升。
赛迪顾问指出,通过SaaS化的形式提供云端EDR能力,可以将云端强大的数据存储、分析以及实时情报能力及时赋能到终端,实现终端和云端的实时交互;而基于云视角打造的终端安全防护体系,可以使得各类终端安全事件与云端大数据形成广泛的数据联动,实现安全能力从孤岛式、被动式的单点防护到主动式、全局式的纵深防御的有序演进。在EDR产品中引入机器学习算法,可以提高策略设计精准度,提升事件处置效率;通过大数据技术对终端数据进行持续监控,能够提前判断威胁趋势,更有效地指导用户针对风险主机进行加固。
一句话,SaaS化和智能化的EDR将成为未来终端最有效的防护方式之一,不仅具备低成本、高效率、易部署等与生俱来的优势,更能大幅提升针对高级威胁的事件检测和溯源能力,并实现持续、快速的修正和迭代。360EDR已经率先在SaaS化、智能化的道路上开始了探索,并在实践中不断打磨。比如360EDR可以采用云化的部署模式,为用户提供安全大数据的存储、数据实时处理、关联分析、并行查询以及秒级响应能力;基于查杀引擎、知识图谱和AI技术,智能化360 EDR可以实现对海量安全事件的自动分类、自动分优先级和对攻击行为采取自动响应等。
一场EDR的抢位战,也是攻坚战已经吹响号角,360数字安全集团正加速起跑。
继续阅读
阅读原文