EDR软件市场分析报告

EDR软件市场分析报告2020年7月

1.EDR软件是“云边端”防护体系重要组成部分1.1.EDR是传统终端杀毒软件的进化EDR端防御与响应(EndpointDetection&ResponseEDR)是一种主动的安全方法，可以实时监控终端设备，并检测渗透到公司防御系统中的威胁情提供关于攻击的上下文和详细信息。可以让你知道攻击者何时进入你的网络，并在攻击发生时检测攻击路径，帮助用户及时对安全事件作出反应。防病毒软件应用的主要是病毒特征码技术，缺乏主动防御能力，并且后期占用运算资源，增加相应成本。我们每个人都有应用杀毒软件的体验——发现可疑文件后，用防病毒软件的扫描引擎调用病毒特征库，与可疑文件进行匹配，若匹配成功则对该文件做进一步处理，这种方式的局限性在于不能查杀未知病毒，需要经常更新病毒库，病毒样本的采集难度也较大，所以是一种相对比较被动的形式。并且随着特征库病毒样本数量日益增长，加重了终端存储和运算资源需求，响应的过程会影响到用户日常办公，无法适应如云化等新的特定场景（相信大部分人都记得用杀毒软件扫描的时候，电脑会很卡）。防病毒软件专注于预防，但对攻击期间发生的情况一无所知，它能够在病毒入侵系统以前做防护，但是即使正确地做到了这一点，也不能告诉你恶意软件来自哪里，以及它们是如何在系统中传播的。而EDR描述的是整个攻击过程，并帮助你跟踪可执行文件是如何获得对计算机的访问权限并尝试运行的。从防病毒软件到EDR，中间还有一个过渡环节，叫做EPP。EPP（EndpointProtectionPlatform，终端防护平台）是除了防病毒以外的综合保护终端设备的安全平台，通常包括防病毒、个人防火墙、端口和设备控制等多种功能。它部署在终端设备上，检测和阻止来自应用程序的恶意活动，并提供动态响应安全事件和警报所需的调查和修复功能来预防基于文件的恶意软件。但是EPP针对的主要目标依旧是已知的威胁，EDR的出现主要就是为了弥补传统EPP的不足，能够做到对新的或未知的威胁进行主动检测。Gartner的AntonChuvakin在2013年7月提出了终端威胁检测和响应(EndpointThreatDetectionResponse,ETDR)这一术语，用来定义一种“检测和调查主机/终端上可疑活动（及其痕迹）”的工具，后来通常被称为终端检测与响应（EndpointDetectionResponse,EDR3of图：从防病毒软件到不断演变•通过病毒特征库进行匹配，查杀病毒•只能查杀已知病毒，不能查杀未知病毒，存在被动性的特点•随着特征库样本数量增加耗用资源成本增大，缺乏轻量化的特点防病毒软件•在防病毒功能的基础上，考虑多渠道终端防御的综合解决方案•主要目标依旧是已知威胁终端安全防护平台•通过对操作系统行为进行记录和储存，对可疑数据和行为进行取证和调查•强调对机器学习和人工智能等新技术的应用，能够对新的或未知威胁进行主动检测•具有准确、高效、轻量的特点终端检测与响应资料来源：市场研究部除了做主动防御以外，EDR的优势也体现在对大数据和人工智能的应用。通过大数据安全分析技术，运用海量样本数据的深度学习所提炼出来的因为这些高维特征数量不会随着病毒种类的增加而同步增长，因此具有准确、高效、轻量的特点。EDR的工作流程包括：检测：一旦安装了EDR软件，它就会使用先进的算法来分析系统上单个用户的行为，并进行记录。调查：当EDR软件感知到系统中某个特定用户的异常行为，数据会立即被过滤、丰富和监控，以防出现恶意行为。这些迹象触发了警报，调查就开始了，确定攻击是真是假。关联跟踪：如果检测到恶意活动，算法将跟踪攻击路径并将其重建回入口点。可视化：然后，EDR将所有数据点合并到称为恶意操作(MalOps)的窄类别中，使分析人员更容易查看。处理：在发生真正的攻击事件时，客户会得到通知，并得到下一步则警报关闭，只增加调查记录，不会通知客户。同时EDR，SOC）以及分析师团队的结合。从EDR的目标设定来看，它对于分析人员的要求相比EPPEDR和SOC相结合也是未来大型企业和组织值得考虑的选项。而对于中小型客户而言，则可以将EDR务托管的方式获得这个能力。1.2.EDR是完整防御体系不可或缺的一部分从Paloalto身上，我们可以看到云-边-端防御体系的重要性，在云时代，能够让用户一站式管理所有安全权限。PaloAltoNetworks的下一代安全平台包含了三个核心：新一代防火墙+新一代云端威胁检测新一代终端安全软件。下一代防火墙代表了传统边界防护，云端威胁检测代表了云安全，终端安全管理软件代表了终端安全，公司的布局是比较全面的云边端安全布局。三个要素之间协同运作、高度整合，在用户划分4of网络用户部门时，能直接以身份而非地址来实现，并给予相应的网图：PaloAlto进行了云边端三位一体布局数据来源：PaloAlto2.市场空间大，政策推动加速发展2.1.合规政策需求加速EDR对传统防病毒软件的替代近年来国家对于网络安全的重视上升到了战略层面，驱动网络安全政策法规不断落地，对终端数据安全提出了更为细致的要求，加速了EDR软件对传统防病毒软件的替代。细数最近几年国家对网络安全的立法立规：2016年《国家网络空间安全战略》颁布，2017年6月《网络安全法》颁布，2017年7颁布，2019年52.0》系列标准颁布。其中最新颁布的《等级保护2.0》对恶意代码的防范要求中，要求企业对终端的各类风险进行预警防范，同时要求分散于各个终端设备的数据进行集中管理和审计。这对国内终端安全产品的升级换代提出了新的要求。传统的防病毒软件将难以满足最新的合规需求，终端安全产品的更新换代为EDR创造了新的市场空间。表1:等保对恶意代码的防范要求应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库b)应在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测应在软件交付前检测其中可能存在的恶意代码7.1.4.5恶意代码防范7.1.9.4自行软件开发7.1.9.5外包软件开发7.1.10.7恶意代码防范应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等管理b)的定期查杀等应定期检查恶意代码库的升级情况，对截获的恶意代码进行及时分析处理。8.1.4.5恶意代码防范8.1.5.4集中管控有效阻断应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理5of应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测8.1.9.4自行软件开发8.1.9.5外包软件开发应在软件交付前检测其中可能存在的恶意代码8.1.10.7恶意代码防范应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等管理b)应定期验证防范恶意代码攻击的技术措施的有效性8.2.4.3应能够检测恶意代码感染在虚拟机间蔓延的情况，并进行告警算安全扩展要求）资料来源：公安部网络安全等级保护网，市场研究部伴随着终端安全的复杂性和重要性的凸显，终端防护被纳入越来越多领域和行业的考虑范围之中，政府、军工、医疗、金融、教育、工业等各类行业都表现出了相应的需求。比如在2020年2月期间，国内就有多家医疗机构感染makop勒索病毒，结合当下新冠疫情防治的背景，和未来线上业务发展的趋势，更加精细化的终端安全需求将被纳入考虑范围中。2.2.EDR产品未来增速可期全球终端安全市场已经达到饱和。IDC2018年全球企业级终端安全市场规模达到49亿美元，预计2022年将达到51亿美元，基本保持稳定。核心原因是作为最基础的安全产品之一，终端安全软件已经走过了漫长岁月，渗透率极高，EDR可以认为是传统终端安全软件更新换代的产品，类似手机的更新换代，将给网络安全公司带来一波新的成长机会。图：全球终端安全市场已经趋于稳定数据来源：IDC6ofEDR将成为未来几年终端安全市场持续增长的重要推动力之一。虽然传统的EPP产品仍然在终端安全防护产品中占据着重要的市场，并且保持着平稳的增长，但IDC认为相对于全球整体网络安全市场的发展态势，EPP增速已经明显偏低；与此同时，EDR工具的作用和重要性在全球已经得到了安全企业及最终用户的广泛认可，在未来享有巨大的发展空间。GartnerEDR市场在2018年超过102017年估计增速50%以上，并且预计到年，具有全功能EDR的终端将增加到1.4亿个。市场规模的增长主要来自于部署终端数量的快速增长以及EDR功能的丰富带来的ARPU值的增长。参考目前，仅20%的企业级终端布局了EDR代理，随着现有EDR功能的不断丰富，在全球范围内EDR至少存在5倍以上的增长空间。MordorIntelligence发布的市场报告预计市场规模预计在202542.35亿美元，年复合增长率为22.97%。目前全球EDR市场划分明显，北美市场为最大的EDR市场，而增长最快的则为亚太市场。图：终端检测与响应（EDR）市场分区域增速（2019-2024）数据来源：MordorIntelligence北美的EDREDR市场尚处于起步阶段,终端安全行业整体处于从被动防御向主动防御及威胁情报过度的初始阶左右，但是未来有较大的发展空间。我们预计2020年国内终端数量约为1EDR需求终端约占20%2000EDR产品每终端的平均定价在7002020年国内EDR终端市场约亿元。且当前客户主要以大型企业为主，未来随着轻量级EDR以及服务托管形式日趋成熟，可向中小型客户渗透，将会有更大的市场空间。此外，在最近几年合规需求以及护网行动的驱动下，市场渗透率仍有上升空间。和国外EDREDR产品目前仍延续传统终端安全产品的一次性买断形式。国外EDR产品以每年每终端订阅制付费形EDR产品收入主要为按终端数量计算的license一次性销售和后期服务、升级维保费，首次销售提供2-3年免费维保，后期每年维保费约为软件产品的10-20%7of分析需求的增加，不排除未来有向订阅制模式转变的可能，获得商业模式进化。3.竞争格局：网安巨头必争之地从海外市场来看，EDR产品市场呈现出几家独大的局面。全球目前进入Gartner跟踪范围的知名EDR厂商超过309EDR厂商拥有83%以上的市场份额(CarbonBlack、Cisco、CrowdStrike、Cybereason、FireEye、McAfee、MicrosoftSymantec和Tanium)，市场集中相对较高。EDR等新产品切入终端安全市场，外资厂商逐渐退出本土市场为国内厂商提供新的市场空间，终端安全市场格局将发生变化。根据IDC的统计数据，在国内终端安全市场份额方面，2018年奇安信以22.9%的市场份额位列终端安全市场第一，终端安全业务同比增长67.8%，其次为赛门铁克和亚信安全，前三家占据了近一半的市场份额。从2010-2019市场份额的趋势来看，外资厂商正逐渐退出本土终端安全市场的舞台，为本土厂商提供了新的市场空间。2015年亚信安全收购趋势科技（TrendMicro）在中国的业务后，其在本土终端安全领域的份额在一段时期内保持稳定。未来，奇安信和亚信安全基于较强的威胁情报和能力仍具有较强的优势，同时其他厂商也在尝试通过新推出的EDR产品在终端安全市场领域后来居上，如深信服于2018年推出的下一代终端安全系统EDR在2019年已经取得良好的市场效果，在终端安全市场中占据了一席之地。图：终端安全产品市场份额前三发生变化数据来源：IDC，市场研究部8of图：2018年奇安信终端安全产品市场份额排名第一数据来源：市场研究部IDC将中国市场的EDR工具大体分为了三类：典型终端安全厂商持续扩张。利用终端安全领域的长期技术积累并配合自有终端杀毒引擎，形成EPP+EDR的综合终端防护方案，代表性厂商包括奇安信、亚信安全等，考虑到大部分客户EPP和EDR通常选择同一厂商，这类厂商在终端安全市场积累的原始客户群存在较强的粘性，市场占有较为稳定。图：奇安信原来就有大量终端安全客户资料来源：奇安信官网综合型安全厂商新进入终端安全行业。综合型网络安全公司可以利用全面的技术能力和市场优势打造专业的EDR作、生态建设等多种方式优化完善终端安全方案，代表性厂商包括深信服、安恒信息、天融信、绿盟科技等。这类厂商经过自身积累EDR产品向终端安全产品市场探索，快速布局新兴市场。9of图：深信服终端安全监测响应平台架构资料来源：深信服官网图：天融信终端威胁防御系统EDR主要功能资料来源：天融信产品介绍新兴EDR专业厂商。凭借自身独特的技术能力和产品创新优势，正在成为终端安全检测与响应市场的重要玩家，代表性厂商包括杰思安全、安全狗等。表2:国内主要厂商推出的EDR产品功能各有侧重、和而不同产品名称产品情况厂商奇安信终端安全响应一体化集中管控，管理平台界面可对十万级以上客户端统一集中管理，包括但不限于对所有终端配置策略、威胁事件管理、执行处置操作等；系统（）提供对端点行为的全面监控与数据采集；针对不同阶段的攻击路径，提供深度自动化异常检测能力；提供高可视化溯源分析展示，对可疑进程行为的攻击链路进行完整溯源，包括所有的危害动作及影响面；支持威胁情报IOC导入，提供IOC检测告警能力，对利用漏洞攻击行为提供关联CVE信息，并关联受影响终端情况；支持根据自身业务场景需求自行创建自定义异常行为检测条件来触发告警；支持威胁追踪，迹象数据搜索。亚信安全高级威胁终端检测及响应系一体化集中管控，可视化集中态势展示；实现远程终端运维，终端设备、资产管理，移动存储管理，提供终端数据备份；of13统（）提供多种准入认证模式，满足复杂场景需求，控制网络准入与安全边界；客户端升级、补丁发布等；提供网络管理，如违规外联、上网管理、防火墙配置、下载管理、流量控制等；支持系统日志与安全审计。安恒信息明御主机安全及管理系统EDR一体化集中管控，可视化集中态势展示；实现对所有终端资产实时监控和管理；实现病毒防御、系统防御、网络防御多层防御；采用漏洞库的方式进行检测，可精确快速根据不同的操作系统定位到未安装的补丁，支持所有终端不同网络环境下的批量漏洞修复；可以实现对单机的扩展行为进行监测，防止提权行为和信息泄露；可以对内网的恶意攻击行为（哈希传递、漏洞利用、横向移动）进行识别，阻断恶意探测行为；对失陷后主机远控持久化行为进行检测，可阻断远控；可以对渗透的收尾阶段的数据清理行为进行识别和阻断；具备微隔离技术对流量精准识别、针对非法流量精准阻断；可以实现应用防护。深信服下一代终端安采用下一代人工智能杀毒引擎，对不在病毒库里的未知病毒或