企業(yè)的終端安全需求和策略可被稱為“終端安全連續(xù)統(tǒng)一體”。該連續(xù)統(tǒng)一體的一端是高級(jí)威脅預(yù)防，也可稱之為“下一代殺毒軟件(AV)”，因?yàn)槠渲惺褂昧藱C(jī)器學(xué)習(xí)、威脅情報(bào)集成等技術(shù)，改善了傳統(tǒng)AV產(chǎn)品的威脅預(yù)防功能。

統(tǒng)一體的另一端，凸顯的是高級(jí)檢測(cè)與響應(yīng)，也就是業(yè)界稱之為終端檢測(cè)與響應(yīng)(EDR)的東西。EDR的重點(diǎn)不在于阻止漏洞利用和惡意軟件，而在于監(jiān)視終端以檢測(cè)可疑活動(dòng)，并捕獲可疑數(shù)據(jù)以進(jìn)行安全取證及調(diào)查。安全廠商正往終端安全套裝中加入終端檢測(cè)及響應(yīng)(EDR)，因?yàn)镃ISO們確實(shí)需要EDR，雖然他們不確定以何種方式使用它。

在早些時(shí)候EDR這個(gè)領(lǐng)域有如下結(jié)論：

• 市場(chǎng)中75%-80%的企業(yè)會(huì)傾向于高級(jí)預(yù)防，而20%-25%的企業(yè)則會(huì)關(guān)注EDR。對(duì)高級(jí)預(yù)防的偏重是因?yàn)榇蠖鄶?shù)企業(yè)都沒(méi)有構(gòu)建復(fù)雜EDR項(xiàng)目所需的技術(shù)團(tuán)隊(duì)和資源。
• 最終，供應(yīng)商會(huì)提供覆蓋從高級(jí)預(yù)防到EDR的產(chǎn)品套裝，彌合該終端安全連續(xù)統(tǒng)一體。而當(dāng)這一切真正來(lái)臨時(shí)，企業(yè)將會(huì)買(mǎi)入整套產(chǎn)品。

時(shí)間推進(jìn)到2018年，從企業(yè)戰(zhàn)略集團(tuán)(ESG)的調(diào)查研究結(jié)果來(lái)看，這些結(jié)論成真了：

• 87%的企業(yè)計(jì)劃購(gòu)置包含從高級(jí)預(yù)防到EDR整個(gè)終端安全連續(xù)統(tǒng)一體的全套終端安全產(chǎn)品

被問(wèn)及整個(gè)終端安全套裝中最具吸引力的功能是什么時(shí)，28%的網(wǎng)絡(luò)安全人員選擇了EDR。EDR在所有潛在回答中占比最高。于是，繼高級(jí)預(yù)防功能之后，EDR正成為企業(yè)安全又一需求。

那么，是不是可以認(rèn)為，下一代AV產(chǎn)品就會(huì)納入EDR，以全面的終端安全套裝形式發(fā)售呢?那倒未必，只能說(shuō)，有這個(gè)可能性吧。大多數(shù)企業(yè)想要EDR功能確實(shí)不假，但大部分企業(yè)依然缺乏部署成熟EDR產(chǎn)品所需的人才和資源也是真的。

三類(lèi)EDR產(chǎn)品

基于此市場(chǎng)現(xiàn)狀，EDR可能會(huì)迎來(lái)市場(chǎng)細(xì)分，最終歸為如下3類(lèi)：

1. 企業(yè)級(jí)EDR

此類(lèi)產(chǎn)品收集、處理并分析所有終端活動(dòng)。企業(yè)EDR依托企業(yè)內(nèi)部基礎(chǔ)設(shè)施(比如收集器、服務(wù)器、存儲(chǔ)等等)。此類(lèi)產(chǎn)品仍然是一個(gè)利基市場(chǎng)(約20%-25%)，重點(diǎn)針對(duì)高安全嚴(yán)監(jiān)管行業(yè)的大型企業(yè)。

2. 輕量級(jí)EDR

這種模式下，EDR是“觸發(fā)式”的。當(dāng)行為分析、SIEM或UEBA規(guī)則被觸發(fā)，EDR就會(huì)開(kāi)始收集可疑系統(tǒng)上的行為數(shù)據(jù)。這有點(diǎn)像是當(dāng)前有些企業(yè)應(yīng)用過(guò)程特性分析軟件包(PCAP)的方式。輕量級(jí)EDR特別適合正在打造安全運(yùn)營(yíng)及分析平臺(tái)架構(gòu)(SOAPA)的企業(yè)，因?yàn)榻K端安全數(shù)據(jù)將可支持其他分析功能。很多企業(yè)和中級(jí)市場(chǎng)公司(市場(chǎng)占比40%-50%)都會(huì)選擇此類(lèi)EDR。

3. 托管EDR

適合想要全功能EDR卻又沒(méi)有必須的人手和資源的企業(yè)。托管EDR市場(chǎng)將來(lái)會(huì)進(jìn)一步細(xì)分。一些服務(wù)提供商會(huì)僅專(zhuān)注檢測(cè)，另一些則全力主攻威脅響應(yīng)和緩解。有些提供商會(huì)將托管EDR作為托管檢測(cè)與響應(yīng)(MDR)產(chǎn)品的一部分提供。另一些則會(huì)專(zhuān)精托管威脅追捕?？偠灾?5%-40%的市場(chǎng)將會(huì)選擇某種形式的托管EDR。

也有可能有廠商會(huì)提供從全功能產(chǎn)品到完全托管服務(wù)的完整選擇。這種混合產(chǎn)品線對(duì)在不同地域需要不同功能的大型跨國(guó)公司最具新引力。

無(wú)論如何，企業(yè)安全經(jīng)理需先評(píng)估自身需求、資源和人才，再?zèng)Q定選擇何種EDR。產(chǎn)品很豐富，CISO需謹(jǐn)慎。