EDR软件市场分析报告

EDR软件市场分析报告2020年7月

1. EDR 软件是“云-边-端”防护体系重要组成部分

1.1. EDR是传统终端杀毒软件的进化

EDR 和传统的杀毒软件区别在于一个是主动防御，一个是被动防御。终端防御与响应(Endpoint Detection & Response，EDR)是一种主动的安全方法，可以实时监控终端设备，并检测渗透到公司防御系统中的威胁情况。这是一种新兴的技术，可以更好地了解终端设备上发生了什么事情，提供关于攻击的上下文和详细信息。EDR 可以让你知道攻击者何时进入你的网络，并在攻击发生时检测攻击路径，帮助用户及时对安全事件作出反应。

防病毒软件应用的主要是病毒特征码技术，缺乏主动防御能力，并且后期占用运算资源，增加相应成本。我们每个人都有应用杀毒软件的体验——发现可疑文件后，用防病毒软件的扫描引擎调用病毒特征库，与可疑文件进行匹配，若匹配成功则对该文件做进一步处理，这种方式的局限性在于不能查杀未知病毒，需要经常更新病毒库，病毒样本的采集难度也较大，所以是一种相对比较被动的形式。并且随着特征库病毒样本数量日益增长，加重了终端存储和运算资源需求，响应的过程会影响到用户日常办公，无法适应如云化等新的特定场景（相信大部分人都记得用杀毒软件扫描的时候，电脑会很卡）。防病毒软件专注于预防，但对攻击期间发生的情况一无所知，它能够在病毒入侵系统以前做防护，但是即使正确地做到了这一点，也不能告诉你恶意软件来自哪里，以及它们是如何在系统中传播的。而 EDR描述的是整个攻击过程，并帮助你跟踪可执行文件是如何获得对计算机的访问权限并尝试运行的。

从防病毒软件到EDR，中间还有一个过渡环节，叫做EPP。EPP （Endpoint Protection Platform，终端防护平台）是除了防病毒以外

的综合保护终端设备的安全平台，通常包括防病毒、个人防火墙、端口和设备控制等多种功能。它部署在终端设备上，检测和阻止来自应用程序的恶意活动，并提供动态响应安全事件和警报所需的调查和修复功能来预防基于文件的恶意软件。但是 EPP针对的主要目标依旧是已知的威胁，EDR 的出现主要就是为了弥补传统 EPP 的不足，能够做到对新的或未知的威胁进行主动检测。Gartner的 Anton Chuvakin在 2013年 7月

提出了终端威胁检测和响应(Endpoint Threat Detection and Response, ETDR) 这一术语，用来定义一种“检测和调查主机/终端上

可疑活动（及其痕迹）” 的工具，后来通常被称为终端检测与响应（Endpoint Detection and Response, EDR）。

图 1：从防病毒软件到 EDR 不断演变

•通过病毒特征库进行匹配，查杀病毒

•只能查杀已知病毒，不能查杀未知病毒，存在被动性的特点

•随着特征库样本数量增加耗用资源成本增大，缺乏轻量化的特点防病毒软件

•在防病毒功能的基础上，考虑多渠道终端防御的综合解决方案•主要目标依旧是已知威胁

终端安全防

护平台• 通过对操作系统行为进行记录和储存，对可疑数据和行为进行取证和调查• 强调对机器学习和人工智能等新技术的应用，能够对新的或未知威胁进行主动检测• 具有准确、高效、轻量的特点

终端检测与

响应资料来源：市场研究部

除了做主动防御以外，EDR 的优势也体现在对大数据和人工智能的应用。

通过大数据安全分析技术，运用海量样本数据的深度学习所提炼出来的

高维特征具有很强的抽象能力，因此可以应对更多未知威胁。与此同时，

因为这些高维特征数量不会随着病毒种类的增加而同步增长，因此具有

准确、高效、轻量的特点。EDR 的工作流程包括：

检测：一旦安装了 EDR 软件，它就会使用先进的算法来分析系统上单个用户的行为，并进行记录。调查：当 EDR 软件感知到系统中某个特定用户的异常行为，数据会

立即被过滤、丰富和监控，以防出现恶意行为。这些迹象触发了警

报，调查就开始了，确定攻击是真是假。

关联跟踪：如果检测到恶意活动，算法将跟踪攻击路径并将其重建

回入口点。

可视化：然后，EDR 将所有数据点合并到称为恶意操作(MalOps)的

窄类别中，使分析人员更容易查看。

处理：在发生真正的攻击事件时，客户会得到通知，并得到下一步

行动的步骤和建议，以便进行进一步调查和高级取证。如果是误报，

则警报关闭，只增加调查记录，不会通知客户。同时 EDR 产品更加看重和安全运营中心（，

SOC ）以及分析师团队的结合。从 EDR 的目标设定来看，它对于分析人

员的要求相比 EPP 来说要高，因此将 EDR 和 SOC 相结合也是未来大型企

业和组织值得考虑的选项。而对于中小型客户而言，则可以将 EDR 以服

务托管的方式获得这个能力。

1.2. EDR 是完整防御体系不可或缺的一部分

从 Palo a lto 身上，我们可以看到云-边-端防御体系的重要性，在云时

代，能够让用户一站式管理所有安全权限。Palo A lto N etworks 的下一

代安全平台包含了三个核心：新一代防火墙+新一代云端威胁检测+新一

代终端安全软件。下一代防火墙代表了传统边界防护，云端威胁检测代

表了云安全，终端安全管理软件代表了终端安全，公司的布局是比较全

面的云边端安全布局。三个要素之间协同运作、高度整合，在用户划分

网络用户部门时，能直接以身份而非 IP 地址来实现，并给予相应的网

络权限，才能让用户轻松简单地实现“一站式安全管理”。

图 2：Palo Alto 进行了云边端三位一体布局

数据来源：Palo Alto

2. 市场空间大，政策推动加速发展

2.1. 合规政策需求加速 EDR 对传统防病毒软件的替代

近年来国家对于网络安全的重视上升到了战略层面，驱动网络安全政策

法规不断落地，对终端数据安全提出了更为细致的要求，加速了 EDR 软

件对传统防病毒软件的替代。细数最近几年国家对网络安全的立法立规：

2016年《国家网络空间安全战略》颁布，2017年 6月《网络安全法》

颁布，2017年 7月《关键信息基础设施安全保护条例（征求意见稿）》

颁布，2019年 5月，《等级保护 2.0》系列标准颁布。其中最新颁布的

《等级保护 2.0》对恶意代码的防范要求中，要求企业对终端的各类风

险进行预警防范，同时要求分散于各个终端设备的数据进行集中管理和

审计。这对国内终端安全产品的升级换代提出了新的要求。传统的防病

毒软件将难以满足最新的合规需求，终端安全产品的更新换代为 EDR 创

造了新的市场空间。

表 1: 等保 2.0 对恶意代码的防范要求

应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库b) 应在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测a) 应在软件交付前检测其中可能存在的恶意代码7.1.4.5 恶意代码防范

7.1.9.4 自行软件开发

7.1.9.5 外包软件开发

7.1.10.7 恶意代码防范

a) 应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等管理b) 应对恶意代码防范要求做出规定，包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码

的定期查杀等

c) 应定期检查恶意代码库的升级情况，对截获的恶意代码进行及时分析处理。

8.1.4.5 恶意代码防范

8.1.5.4 集中管控应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理