企業(yè)的終端安全需求和策略可被稱為“終端安全連續(xù)統(tǒng)一體”。該連續(xù)統(tǒng)一體的一端是高級威脅預(yù)防，也可稱之為“下一代殺毒軟件(AV)”，因?yàn)槠渲惺褂昧藱C(jī)器學(xué)習(xí)、威脅情報(bào)集成等技術(shù)，改善了傳統(tǒng)AV產(chǎn)品的威脅預(yù)防功能。

統(tǒng)一體的另一端，凸顯的是高級檢測與響應(yīng)，也就是業(yè)界稱之為終端檢測與響應(yīng)(EDR)的東西。EDR的重點(diǎn)不在于阻止漏洞利用和惡意軟件，而在于監(jiān)視終端以檢測可疑活動，并捕獲可疑數(shù)據(jù)以進(jìn)行安全取證及調(diào)查。安全廠商正往終端安全套裝中加入終端檢測及響應(yīng)(EDR)，因?yàn)镃ISO們確實(shí)需要EDR，雖然他們不確定以何種方式使用它。

在早些時(shí)候EDR這個(gè)領(lǐng)域有如下結(jié)論：

• 市場中75%-80%的企業(yè)會傾向于高級預(yù)防，而20%-25%的企業(yè)則會關(guān)注EDR。對高級預(yù)防的偏重是因?yàn)榇蠖鄶?shù)企業(yè)都沒有構(gòu)建復(fù)雜EDR項(xiàng)目所需的技術(shù)團(tuán)隊(duì)和資源。
• 最終，供應(yīng)商會提供覆蓋從高級預(yù)防到EDR的產(chǎn)品套裝，彌合該終端安全連續(xù)統(tǒng)一體。而當(dāng)這一切真正來臨時(shí)，企業(yè)將會買入整套產(chǎn)品。

時(shí)間推進(jìn)到2018年，從企業(yè)戰(zhàn)略集團(tuán)(ESG)的調(diào)查研究結(jié)果來看，這些結(jié)論成真了：

• 87%的企業(yè)計(jì)劃購置包含從高級預(yù)防到EDR整個(gè)終端安全連續(xù)統(tǒng)一體的全套終端安全產(chǎn)品

被問及整個(gè)終端安全套裝中最具吸引力的功能是什么時(shí)，28%的網(wǎng)絡(luò)安全人員選擇了EDR。EDR在所有潛在回答中占比最高。于是，繼高級預(yù)防功能之后，EDR正成為企業(yè)安全又一需求。

那么，是不是可以認(rèn)為，下一代AV產(chǎn)品就會納入EDR，以全面的終端安全套裝形式發(fā)售呢?那倒未必，只能說，有這個(gè)可能性吧。大多數(shù)企業(yè)想要EDR功能確實(shí)不假，但大部分企業(yè)依然缺乏部署成熟EDR產(chǎn)品所需的人才和資源也是真的。

三類EDR產(chǎn)品

基于此市場現(xiàn)狀，EDR可能會迎來市場細(xì)分，最終歸為如下3類：

1. 企業(yè)級EDR

此類產(chǎn)品收集、處理并分析所有終端活動。企業(yè)EDR依托企業(yè)內(nèi)部基礎(chǔ)設(shè)施(比如收集器、服務(wù)器、存儲等等)。此類產(chǎn)品仍然是一個(gè)利基市場(約20%-25%)，重點(diǎn)針對高安全嚴(yán)監(jiān)管行業(yè)的大型企業(yè)。

2. 輕量級EDR

這種模式下，EDR是“觸發(fā)式”的。當(dāng)行為分析、SIEM或UEBA規(guī)則被觸發(fā)，EDR就會開始收集可疑系統(tǒng)上的行為數(shù)據(jù)。這有點(diǎn)像是當(dāng)前有些企業(yè)應(yīng)用過程特性分析軟件包(PCAP)的方式。輕量級EDR特別適合正在打造安全運(yùn)營及分析平臺架構(gòu)(SOAPA)的企業(yè)，因?yàn)榻K端安全數(shù)據(jù)將可支持其他分析功能。很多企業(yè)和中級市場公司(市場占比40%-50%)都會選擇此類EDR。

3. 托管EDR

適合想要全功能EDR卻又沒有必須的人手和資源的企業(yè)。托管EDR市場將來會進(jìn)一步細(xì)分。一些服務(wù)提供商會僅專注檢測，另一些則全力主攻威脅響應(yīng)和緩解。有些提供商會將托管EDR作為托管檢測與響應(yīng)(MDR)產(chǎn)品的一部分提供。另一些則會專精托管威脅追捕?？偠灾?，25%-40%的市場將會選擇某種形式的托管EDR。

也有可能有廠商會提供從全功能產(chǎn)品到完全托管服務(wù)的完整選擇。這種混合產(chǎn)品線對在不同地域需要不同功能的大型跨國公司最具新引力。

無論如何，企業(yè)安全經(jīng)理需先評估自身需求、資源和人才，再決定選擇何種EDR。產(chǎn)品很豐富，CISO需謹(jǐn)慎。