导语:2022年,中国终端安全检测与响应(EDR)市场规模达到18亿元,同比增长25.9%。
“2022年,中国终端安全检测与响应(EDR)市场规模达到18亿元,同比增长25.9%。”近日,赛迪顾问发布《中国终端安全检测与响应产品市场研究报告》(简称《报告》),奇安信以16.8%的市场份额,位居2022年中国终端安全检测与响应市场第一,超过第二、三名市场份额总和。
赛迪顾问认为,终端安全是企业整体安全体系中的重要节点之一,不仅需要具备高级防护能力,而且要具备可管理能力。在EDR的概念出现之前,终端保护平台EPP是综合保护终端设备的安全管理平台,具备病毒查杀、漏洞防护补丁管理和终端管控等功能,可以对已知的威胁进行响应和处置,并且能对多种外设进行集中管控。
随着数字化转型进程的持续推进,网络安全威胁的复杂性越来越高,越来越多的终端成为网络攻击的突破口,终端安全防护逐渐向主动防御方向转变。EDR可以实现包含整个威胁防御生命周期的安全防御,实现事前、事中、事后的各节点的防护以及处置能力,也保证在预防、防御、检测、响应各个阶段的闭环管理,是对EPP能力的最佳补充。受外部攻击形势和政策法规等因素影响,终端安全检测与响应产品的市场需求日益增多。
“目前,EDR工具的作用和重要性已经在全球得到了安全企业及最终用户的广泛认可,并已成为终端安全市场持续增长的重要推动力之一。”天擎EDR产品负责人这样表示。《报告》提到,奇安信天擎EDR集成高性能病毒查杀、漏洞防护、主动防御引擎,深度融合威胁情报、大数据分析和安全可视化等创新技术,通过系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等功能,帮助政企客户构建持续有效的终端安全能力。
据赛可达实验室针对EDR产品的最新一项测试结果显示,天擎EDR通过了全部项目测试,包括终端安全态势、资产管理、数据安全等7个大项,病毒检测、挖矿检测、勒索检测、Webshell检测等51个小项,并取得了Windows系统ATT&CK®框架攻击技术覆盖面383个、勒索病毒检出率100%、挖矿病毒检出率100%、病毒查杀率99.79%(Windows)、零误报率等多项优异成绩,在所有参与测试的EDR产品中位列前茅。
具体而言,天擎EDR能够为客户提供以下几个方面的能力。
首先是全量数据采集能力。天擎EDR具备全量终端数据采集能力,包括进程事件、文件操作、注册表变更、IP访问、DNS访问、内存执行等约23大类,约130种日志信息,并且支持客户按需配置需要采集的数据类型,确保在事件调查过程中不遗漏任何线索。
第二是可视化威胁图谱展示能力。天擎EDR能够可视化展示威胁告警在MITRE ATT&CK攻击模型中的覆盖情况,方便用户直观了解攻击者所应用攻击战术点和技术点,进而评估出攻击所处阶段和影响范围。赛可达实验室评测结果显示,在Windows环境下,天擎EDR ATT&CK®框架攻击技术覆盖面383个;在Linux环境下,ATT&CK®框架攻击技术覆盖则为127个。
第三是自动化威胁告警和事件调查能力。终端在上报的日志信息后,服务端对日志数据进行初步整理之后发送到日志系统中,威胁检测引擎Sabre通过IOA、IOC规则对日志数据进行检测,生成告警数据,EDR威胁溯源服务则对告警信息进行富化并生成进程链,还原攻击全貌。天擎EDR能够通过对关联规则及知识的形式化表述,将庞杂、无序的安全数据流转换为结构化、易于理解的攻击场景,甚至推测和预测下一步可能的攻击行为,以协助管理人员获取更有价值的网络安全信息。
第四是一体化威胁响应能力。在确认安全风险后,服务端可统一下发策略,结合终端隔离、进程处置、网络阻断、自动响应等手段,对失陷终端进行统一处置。
第五是全天候EDR分析服务。针对客户人力、物力短缺的现状,奇安信还可为提供订阅式EDR分析服务,服务内容主要包括告警分析、威胁狩猎、样本分析、溯源分析、定制培训、专线电话、安全报告、改进建议等。
天基于上述能力,天擎EDR能够为用户建立一套用于应对未知威胁的防御闭环体系,提供以下三个方面的价值。
第一,终端威胁可视化管理:通过对终端的的异常行为数据进行分析,结合上下文数据以及威胁情报推送数据的综合分析,使高级威胁的恶意活动清晰可见,实现对高级威胁追踪。
第二,高级威胁快速响应:通过终端对高级威胁的智能响应能力,可自身可以实现对自动攻击阻止、隔离修复、取证分析和追踪溯源,单次的积极响应转化成持续的静态规则,进而对高级威胁持续遏制,补齐终端安全管理平台对应高级威胁的能力短板。
第三,全方位的调查机制:可在网络中搜索和及钻取更多的威胁信息,分析渗透的真实目的,便于安全人员能够快速确定范围、影响,及时止损,提高应急响应的效率。
目前,奇安信帮助政府、运营商、金融等行业超过5000万终端,构建了多种混合场景下,针对终端威胁的检测、响应和鉴定的高级威胁对抗能力。对此赛迪顾问在《报告》中评价,未来奇安信集团还将依托自身对终端及应用、业务及环境、威胁及防御效果及效率的深入理解,以及超大规模项目的最佳实践经验,推出形式更为灵活、类型更为丰富、场景更为多元的终端安全解决方案,持续有效的帮助政企客户解决现在以及未来可能面临的各种终端安全问题。
如若转载,请注明原文地址