IDC 中国终端安全与响应市场2020

IDC MarketScape IDC MarketScape: 中国终端安全检测与响应市场 2020，厂商评估 Austin Zhao gy un IDC MARKETSCAPE 图 m o PS EC 图1 _q in IDC MarketScape：中国终端安全检测与响应市场 2020，厂商评估 42 yu c . 5 :1 6: b u TO 20 20 -1 0- 30 15 h t i g 来源: IDC, 2020 October 2020, IDC #CHC46038220 请参照附录的详细研究方法，市场定义和评分标准。 IDC 观点 gy un IDC 认为，个人电脑（PC）时代，基于签名技术的终端安全防护技术在广大企业及个人用户的网络安全防护体系中长期占据着重要的位置，杀毒软件产品成为网络安全领域必不可少的代表产品之一。然而，随着全球企业数字化转型进程的持续推进，新兴技术不断涌现并快速发展，企业的业务模式和所处网络环境已经不可同日而语。相应地，网络世界的攻防双方也都进行着持续演进，面对复杂性和隐蔽性均显著提升的各类网络威胁，传统的终端安全防护平台（EPP）产品逐渐显得有些力不从心。终端安全检测与响应（EDR）技术应运而生。EDR 将威胁检测的时间线进行了延长，凭借其强大的终端安全信息检测、分析、响应与溯源能力，能够有效发现那些隐蔽且缓慢进行的恶意威胁，弥补 EPP 产品的不足，帮助企业提升对高级持续性威胁（APT）、零日威胁、无文件攻击等复杂威胁的检测与响应能力。目前，EDR 工具的作用和重要性已经在全球得到了安全企业及最终用户的广泛认可，并将成为未来几年终端安全市场持续增长的重要推动力之一。 _q in PS EC m o 通过对中国市场上活跃的主要终端安全检测与响应产品/工具提供商，以及大量最终客户的深入访谈， IDC 发现，中国安全企业和最终客户对 EDR 的重视程度普遍提升，虽然从技术能力与产品成熟度角度来看，国内 EDR 技术与全球先进企业相比还有一定差距，但各个厂商均在尝试利用自身技术或行业优势，为最终客户提供功能全面且特色鲜明的终端安全检测与响应产品/工具，并已经在政府、通信、金融、能源等重点行业大量应用。 42 yu c . 5 6: b u :1 当前，中国市场上主要的 EDR 产品/工具提供商主要包括以下四种类型：  典型终端安全厂商：此类厂商在终端安全领域有着长期的技术积累与良好的市场口碑，通过在自有终端杀毒引擎的基础上增加 EDR 能力，打造 EPP+EDR 的综合终端安全防护方案。厂商深刻理解传统 EPP 产品的优势和不足，能够有的放矢打造 EDR 产品/工具，并充分利用已有客户群体和市场口碑，在最终客户侧实现 EDR 能力的快速部署或平滑升级。  综合型网络安全厂商：此类厂商具有丰富的网络安全产品体系以及品牌影响力，能够利用自身全面的技术能力和行业优势打造功能全面的 EDR 产品/工具，并将优势技术融入到 EDR 产品/工具当中，为最终客户打造独具特色的终端安全解决方案。依靠丰富的产品体系多年积累的庞大客户群体以及渠道推广优势，此类厂商能够比较便利地将 EDR 产品/工具融入到最终客户整体网络安全体系的建设方案中，实现市场的快速拓展。  云原生主机安全厂商：随着云计算（包括公有云和私有云）市场的高速发展，国内主要的云服务提供商均在持续加强自身云安全能力的建设。EDR 作为云上主机安全解决方案的重要组成部分，是云服务提供商重点打造的能力之一。依靠云原生优势，以及大数据分析、机器学习等领域的技术积累，云服务提供商能够通过 EDR 实现终端信息的全面检测与深入分析，并联动云上整体安全解决方案，实现云主机的全面的安全防护。另外，IDC 认为，云计算场景，特别是公有云场景，在为云厂商提供了固有的行业壁垒，加大了传统厂商竞争难度的同时，也为云厂商 EDR 市场的拓展带来一定的局限性，因为其 EDR 的规划很大程度上需要服务于自身云计算市场的发展战略。  新兴 EDR 专业厂商：终端安全检测与响应的市场需求逐渐旺盛，国内市场也涌现出多个专注于该领域的初创型专业厂商。他们凭借敏锐的市场嗅觉以及自身独特的技术能力和产品创新优势，正在成为终端安全检测与响应市场的重要玩家。IDC 认为，此类厂商将 EDR 产品/工具作为企业战略核心，能够集中有限的资源专注于 EDR 能力的提升，同时能够根据市场需求灵活调整产品规划和市场战略。但相对于上述其他类型的厂商，其市场知名度和品牌影响力较弱，并且产品相对比较单一，在市场拓展和客户支持方面存在较大挑战。 TO 20 20 -1 0- 30 15 h t i g ©2020 IDC #CHC46038220 2 IDC MARKETSCAPE 厂商入选标准本次 IDC MarketScape 评估中，IDC 调研汇总了十余家终端安全提供商的综合信息，最终选取整体实力表现优异的 14 家代表性厂商。厂商类型涵盖了国内外综合型安全厂商、典型云服务提供商以及新兴 EDR 产品提供商等。我们根据以下标准缩小了入选提供商的范围：产品和服务成熟度：厂商必须拥有成熟的终端安全检测与响应产品/工具，并在中国地区提供本地化的支持服务，在企业级市场有成功的应用案例。  行业影响力：厂商必须在中国地区终端安全检测与响应市场具备较强的知名度和影响力，并在政府、金融、通信、能源等终端安全检测与响应产品需求旺盛行业具有典型的行业案例支撑。  持续投入能力：厂商必须在终端安全检测与响应产品/工具领域有长期持续投入的规划，具备不断完善产品和服务，提升产品/工具应用效果和价值的能力。  本次评估范围重点包括传统服务器端、虚拟机/云主机上的 EDR 产品/工具，以及办公电脑端、智能移动终端或其他终端形态的 EDR 产品/工具、EDR 统一管理平台，以及与之直接相关的数据分析平台等支撑系统。独立的 EPP 产品能力不纳入本次评估。 gy un  m o in PS EC _q 给技术买家的建议 yu c . 5 42 在讨论企业选择终端安全检测与响应（EDR）产品/工具的建议之前，IDC 首先建议企业重新评估现有的终端安全防护平台（EPP），补足当前 EPP 解决方案的脆弱性。IDC 认为，不应将 EDR 产品/工具视为 EPP 的代替品，这两类产品均有各自的优势和不足。例如 EPP 能够快速识别威胁，特别是已知威胁，并及时做出相应处置，但却缺乏对威胁的持续记录和溯源能力；EDR 能够通过持续的行为记录和信息关联，准确分析和识别高级威胁或未知威胁，但威胁响应的实时性相对较弱，且需要更多的人力投入。因此，企业应从 EPP 和 EDR 两方面进行整体能力提升，两者的配合联动才能够充分保护企业终端安全， EPP 和 EDR 也正在呈现出技术的融合趋势。针对当前中国终端安全检测与响应市场的发展现状及主要厂商的特点，IDC 为技术买家提供以下建议： :1 6: b u 30 15 h t i g 技术为王：企业网络安全管理人员希望通过单一的客户端和管理平台实现对企业整体终端安全的保护和管理，以减少对终端设备性能和业务系统稳定性的影响，这一要求无可厚非。但这往往会导致技术提供商侧重追求终端安全产品的功能全面性，而忽略了对核心技术的深入研究。企业在选择 EDR 产品/工具时，需要优先考虑并全面评估产品的核心技术能力，在充分的概念验证（POC）的基础上，选择高性价比的产品和服务，以保障企业终端系统得到真实有效的安全保护。  提升威胁可见性：面对网络安全系统每天产生的大量日志和告警，安全管理人员往往无法快速准确识别其中隐藏的最关键信息，导致重要威胁事件被遗漏或响应延迟。因此，EDR 产品/工具不仅需要对终端信息进行简单收集和存储，还应该充分挖掘和分析海量安全信息之间的关联性，提升对潜在威胁的检测和溯源取证能力，并将这些信息进行直观展现，帮助企业安全管理人员完成对威胁事件的危害级别、危害行为、影响范围等信息的快速初步判定，降低人员工作负载，提升对威胁事件的响应和处置效率。  安全专家至关重要：相较于 EPP 产品的即时处置能力，EDR 需要更多人力成本的参与。当前阶段，面对隐蔽且复杂的终端恶意威胁，企业还不能将所有的威胁判定和响应工作均交给 EDR 产品/工具进行自动处理，需要专业安全人员对安全产品自动化输出的威胁信息进行深入分析，并结合企业自身业务系统属性，判定告警的准确性及危险级别，并在安全工具的帮助下进行有效响应和溯源分析。这些安全专家可以来自企业内部，也可以是 EDR 产品/工具提供商的专业技术服务人员。  托管安全服务是大势所趋：由于 EDR 能力的充分发挥需要更多专业安全人员的参与，而广大的企业级用户往往缺少专业或专职的安全技术人员。为了将安全服务提供商的高级技术团队资源利用最大化，基于托管模式的 EDR 安全服务越来越受到最终用户的关注。IDC 定义下的托管安 TO 20 20 -1 0-  ©2020 IDC #CHC46038220 3 全服务分为三种类型：驻场安全服务（MSS-CPE），较多应用于大型本地化企业网络；本地托管安全服务（MSS-Hosted），较多应用于中小型本地化网络；云托管安全服务（CHESS），较多应用于公有云租户。广大企业级客户可以根据自身网络和业务属性选择适合的托管安全服务模式。安全防护关注统一和整体性：随着企业业务持续发展，其所涵盖的终端类型也将不断丰富，除了常见的各种操作系统下的办公电脑、物理服务器主机，还可能增加虚拟主机、云主机、移动终端，甚至是物联网（IoT）设备、工控终端等。这将要求终端安全解决方案能够全面覆盖企业多种终端类型，尽可能帮助企业实现终端安全的轻量级统一管控，提升企业安全防护的规范性，降低安全管理人员的工作负载。同时，企业终端安全不是孤立的解决方案，特别是 EDR 产品/工具会收集详细的终端安全信息，企业应尝试充分利用这些信息，将终端安全与企业整体安全防护体系联动起来，提升对整体网络安全态势的感知能力，以及对威胁事件的自动响应和快速处置能力，帮助企业减轻威胁事件造成的负面影响。 gy un  m o in _q 阿里云 PS EC 厂商综合概况阿里云在 2020 年中国终端安全检测与响应市场厂商评估中处于领导者位置。 yu c . 5 42 阿里云计算有限公司是阿里