合规+价值需求叠加 我国EDR产品市场逐渐成熟
报告认为,当前我国终端安全市场仍是传统的被动防御产品为主,具备主动防御能力的EDR产品在市场发展过程中尚处在起步阶段,但近年来的整体发展趋势已经表明,EDR产品即将进入高速发展阶段。
一方面,从合规角度考量,伴随我国网络安全相关法律法规趋于完善,相关政策要求不断提升,对政企用户的终端数据安全和实战能力提出更高要求,具备主动防御能力的EDR在满足合规、政策相关要求方面具备更高的优势;
另一方面,在数字化进程不断加快的当下,数字资产对企业的重要性不言而喻,报告援引数据显示,多达90%的成功网络攻击和多达70%的成功数据窃取都源自终端设备,这意味着缺乏实时检测响应能力以及防御未知威胁能力的传统终端安全产品,在应对高级威胁方面的实战能力较为匮乏,而可实现对终端全生命周期(包括从预测、防护、检测到响应)持续性安全防护的EDR产品无疑是一个绝佳补充,有利于企业提升其终端安全防护能力和水平,成为越来越多行业客户所关注、采购的对象。
与此同时,国内安全厂商纷纷开始布局EDR产品市场,在推动客户对EDR的认知进一步增强之外,伴随轻量级EDR及服务托管模式日趋成熟,EDR产品所面向的客户群体也已广泛覆盖大、中、小型政企用户。
根据过往经验,数字安全领域中的单一市场增长,都普遍具备合规驱动为主、价值驱动为辅的特征,同时需要有更多安全厂商参与,形成合力,不断教育市场、培育市场、发展市场并最终走向繁荣市场,终端安全市场乃至EDR市场同样如此。因此,当合规、价值需求叠加,将有力推动EDR市场规模的进一步扩大和高速增长。
图片来源:赛迪顾问《中国终端安全检测与响应产品市场研究报告(2022)》
数据方面,在报告统计的2019-2021年的周期中,我国EDR市场规模持续高速增长,且增速不断加快,至2021年,整体市场规模已从2019年的8.4亿元提升到2021年的14.3亿元。
综合性安全厂商仍是EDR市场主力军 360 EDR市场占有率超10%排名第一
关于我国EDR产品市场竞争格局方面的具体情况,报告也作了较为详尽的阐述。统计数据显示,我国EDR产品市场份额仍主要被业内头部综合性安全厂商所占据,其中360是唯一一家市场份额占比超过10%的安全厂商,排名第一。
图片来源:赛迪顾问《中国终端安全检测与响应产品市场研究报告(2022)》
通过数据可以看出,综合性厂商仍是EDR市场主力军。尽管EDR仍属于数字安全中一个单一领域,但其自身特点决定了要想做好就必须要具备强大的综合实力,一方面是产品能力要高,另一方面则是头部厂商所具备的成熟盈利模式。
产品能力方面,企业购买EDR产品的目的,在于提升对潜在及未知威胁的监测、响应和处置能力,对相关厂商的能力要求并不单一。如EDR将基于端点收集的信息进行处理,需要结合大数据、机器学习等相关技术和能力,贯穿整个终端的事前监控/加固、事中检测/分析/响应、事后追溯全过程,对技术、能力以及实战经验等多方面均有较高要求,而以360为代表的头部综合性厂商在这方面则有着较为深厚的基础,并经过长年的实践检验,已拥有丰富的成功经验,相比于没有大数据积累,没有数十亿终端部署量的厂商来说,有极大的优势。
在盈利模式方面,渠道建设相对更加完善,且拥有更多直客资源的综合性厂商,其优势不言而喻,对产品销售、市场扩张极为有利。以360为例,其轻量级EDR产品已经开始以SaaS化服务形式面向全行业客户输出。
因此我们认为,在未来较长的一段时间内,伴随市场规模的不断扩大,头部综合性厂商在各方面的综合优势将会进一步放大,而市场占有率方面的优势地位也将得以巩固。
有效的EDR产品须具备的必要能力与关键能力
随着越来越多的企业进入EDR产品市场,在带来更多选择的同时,也对客户企业如何选择提出了难题,尤其在当前主流产品均已具备包括安全事件检测,安全事件调查,抑制终端利用以及安全修复等EDR必备核心安全功能的情况下,那到底如何衡量一款EDR产品的水平呢?
在我们看来,由Gartner与360在2022年5月联合发布的《数字时代EDR技术发展趋势》白皮书中已有清晰的阐述。
根据Gartner的定义规范,EDR产品的三大必要能力水平需着重关注,具体体现在:
1、大数据存储及处理能力。海量数据是发现攻击痕迹的基础,是构建检测模型的基础,这也意味着如果脱离了大数据的支撑,那么EDR的产品能力乃至价值都是空谈。对大数据的存储及处理能力提出了极高要求。在EDR中,通过对多维度且高质量的大数据进行智能化关联分析和运营,可有效追溯攻击过程并寻找漏洞源和攻击源,形成完整的攻击链图谱,是确保终端安全的最优路径。
2、安全分析能力。这一能力是衡量EDR产品水平高低的重要标准之一,需要有各种安全检测分析技术,能对海量多异构数据进行分析,这就要求EDR产品的分析能力应不仅仅局限于某个终端,而是可将所有终端的异常事件进行全局关联分析。由于高级威胁攻击的痕迹往往会隐藏在看似正常的运行行为之中,因而需要有对海量历史数据的反复检测能力,这对EDR的大数据运算能力也提出了更高要求,也是EDR能力的关键支撑。
3、强而有力的安全专家团队。尽管当前主流产品已具备不俗的大数据自动化关联分析能力,但安全专业人员、团队仍然是EDR产品能够将安全分析能力得以充分发挥的重要角色,除了EDR产品本身的使用会对专业性要求较高之外,对于收集到的数据进行人工分析和解释也是十分重要的一环,因为最终能够根据调查结果提出更为合理、合法的威胁解决方案的,一定还是专家。
那么结合360EDR产品来看,不难看出其市场份额之所以能够保持领先,根本还是源于其产品能力上的优势,并且在此基础之上,从实战角度进一步提出了在云端的关键能力:
首先是大数据方面的能力,依靠在终端安全领域17年的数据积累,以及早期在安全大数据领域的布局,让360拥有超过300亿的程序文件样本,90亿域名信息以及高达22万亿的安全日志,安全大数据已达2EB级别(1EB=1,048,576TB),这一个个庞大的数字令360EDR具备了全网安全攻防和态势感知能力,为终端安全的快速检测和响应提供强有力的支撑。同时,云端还提供了对历史数据的回溯能力,配合专业人员的分析,可给出更为准确的威胁评估结果。
其次是在安全分析能力方面,依靠自身的360全网数字安全大脑赋能的安全分析平台,360EDR通过各种检测分析技术,对海量多异构数据进行分析,同时结合全网APT情报,确保了各类威胁全面可视。可视是前提,没有可视的前提,任何威胁的处理都是一句空话,而威胁的可视化就是360EDR的“雷达”能力,而这种针对各类攻击的“雷达”能力,是需要强大的安全分析能力作为保证的,360作为一家具有17年历史的数字安全领导公司,360EDR提供了“运营商级别”的运算能力,可瞬间调用数百万颗CPU参与计算、检索与关联分析,具备快速绘出完整攻击链图谱能力。
最后是安全专家团队方面,360的优势则更为显而易见,其专家成员不仅成功挖掘谷歌、微软、苹果等主流厂商的CVE漏洞超3000个,还曾成功追踪溯源海莲花、蔓灵花、蓝宝菇等针对中国的境外APT组织累计多达50个,而通过这些安全专家的经验赋能,能最大化产品价值, 让360EDR从一开始就具备来自云端的快速检测响应能力。
“云地联动”将是未来EDR产品演进方向
在EDR产品的未来趋势方面,整合云端能力和终端资源以 SaaS 化的形式面向不同规模的客户提供服务将成为未来EDR发展的重要方向,这一观点也曾出现在Gartner的《数字时代EDR技术发展趋势》报告文中。
EDR能力成熟度模型 图片来源:Gartner《数字时代EDR技术发展趋势》
报告指出,通过 SaaS 化的形式提供云端EDR能力,可将云端强大的数据存储、分析以及实时情报能力及时赋能到终端,实现终端和云端的实时交互。并且,基于云视角打造的终端安全防护体系,可以使得各类终端安全事件与云端大数据形成广泛的数据联动,实现安全能力从孤岛式、被动式的单点防护到主动式、全局式的纵深防御的有序演进。这一点与头部厂商产品“360EDR支持云端轻量化SaaS部署”不谋而合。
与此同时,泛终端安全检测与响应会成为安全厂商布局的热点领域,这一点不难理解,随着数字化进程的不断推进和深入发展,大数据、云计算、AI等新技术被广泛应用,更多新的场景也被引入,企业应用的终端设备无论从类型上、数量上还是接入方式上都会较之以往有着更进一步的扩展,从而形成一种泛终端并用的场景。在这种情况下,考虑到监管层面的安全要求以及企业内在的安全需求,面向该领域的EDR产品必将会成为一大新热点。
在偏技术层面,报告指出,AI、自动化编排与响应会成为推动EDR未来进一步发展的重要趋势。同样,360EDR基于知识图谱和人工智能带来的智能化特点,也代表了EDR产品未来在技术层面的发展趋势。
EDR实战能力备受认可 市场规模或将于2024年实现翻番
报告还对当前三款主流EDR产品的实际落地案例进行介绍,以其中某银行客户终端安全管理系统项目为例,在应用EDR产品前,该银行仍以传统终端防护产品及相关策略为主,在当前日益复杂的外部威胁形势下疲态尽显。
在部署EDR相关产品方案后,本地安全运营平台可基于完整的终端安全事件日志,结合数据检测引擎、关联分析引擎预计云端的情报赋能,形成“云地联动”的终端整体态势感知体系,帮助安全运营人员进行终端威胁的分析、溯源和响应。
在最终成果方面,该银行客户通过部署EDR产品方案,建立健全了终端安全检测与响应体系,在原有传统终端安全产品的基础上,很好地弥补了此前在异常行为持续监测、安全风险检测以及威胁溯源和响应等诸多方面不足。不仅全面提升了与高级威胁对抗过程中的效果及效率,同时还依靠集中式终端安全管理,让整体安全管理和运维能力都取得跨越式进步,为该银行客户的数字化转型及信息化建设提供了更优的安全保障水平。
类似以上案例仍有很多,篇幅所限在此不一一赘述,而随着实战能力优秀的EDR产品应用范围不断扩大,落地能力不断提升,在录得连续三年市场规模高速成长的佳绩之下,其未来市场前景仍被广泛看好。
可以想象,在EDR产品的作用和重要性已被全球安全企业及最终用户广泛认可的情况下,其市场规模在未来三年仍有望保持高速增长态势。该报告制作方——赛迪顾问预测称,至2024年,我国EDR产品市场规模将达到32.2亿元,三年复合增长率高达31.1%,相比2021年更是实现翻倍以上的增长。
在市场竞争方面,伴随产品成熟度不断提升,介入该领域的厂商不断增多,相关政策要求的调整变化,整体竞争格局仍将以头部综合性厂商为主,包括360、深信服、安恒信息等在内的少数头部厂商将依靠自身在产品能力布局和销售能力方面的优势,在市场方面的第一集团位置将会进一步固化,呈现集中化特征。与此同时,伴随我国对信创领域的重视程度显著提升,对国产化要求大幅提高,并明确要求到2027年央企国企100%完成信创替代,将为EDR产品领域的国内厂商带来巨大机遇,国外竞品预计将会逐步退出,整体市场将会在当前基础上进一步向国内优秀厂商倾斜。
总体来看,我国EDR产品起步时间虽然相对较晚,但发展速度较快,市场接受程度逐年升高,市场需求稳步增长,加之主流参与厂商在前期终端安全能力沉淀及布局都具备较强优势,将会有力推动国内EDR市场更快步入成熟期,为保障我国数字经济发展贡献更为强大的安全力量。