據(jù)預測，到2020年，終端檢測與響應(EDR)解決方案將成企業(yè)重要安全技術，大型企業(yè)中有80%會投資EDR，中型企業(yè)是25%，小型企業(yè)中投資EDR的比例則是10%。對可檢測高級威脅的事件響應工具的需求將推動EDR市場增長，預計2015-2020年間，EDR市場年復合增長率(CAGR)將達45.27%。

[[222141]]

EDR市場已步入高速增長期，2015年的年營業(yè)收入還只是2.38億美元，到2016年就倍增到了5億美元，2020年成長為10億美元市場并不是空穴來風，甚至還有可能匹敵歲入32億美元(2015年)的終端防護平臺(EPP)市場。

盡管市場增長迅速，EDR這種預防性控制措施依然不是中小企業(yè)負擔得起的。因為EDR需要專門的安全運營中心(SOC)團隊人工調(diào)查事件警報，而這一高成本障礙目前只有大型企業(yè)才有足夠的資源去跨越。但是，真的是這樣嗎?

對抗警報疲勞

EDR解決方案誕生的前提是：不可能防止所有威脅。也就是說，EDR的目標是最小化感染所致的宕機時間，同時盡可能減少所造成的破壞。然而，人手不足的IT團隊很容易被如今越來越多的安全警報數(shù)量壓垮，調(diào)查決策要么是信息不足的情況下做出的，要么是倉促的即審判決。這種粗線條的方法可能導致整個網(wǎng)絡都被侵入，尤其是在傳統(tǒng)EDR管理不善或沒完全發(fā)揮功效的情況下。

由于EDR代理通常安裝在現(xiàn)有EPP代理和SIEM、IDS和IPS等其他安全技術之上，安全團隊往往會被來自多個安全控制臺的成千上萬條警報狂轟濫炸，這種情況下想要給安全事件分個輕重緩急幾乎是不可能的。安全控制臺的各自為戰(zhàn)只會讓安全大而無當，對增加可見性和提升企業(yè)整體安全態(tài)勢毫無幫助。

EDR應只有一個代理，只用一個管理控制臺，只專注真正重要的安全事件，而不是分散稀釋掉本就不充裕的人力資源。畢竟，EDR應能讓你的“安全特警隊”專注對付真正的網(wǎng)絡匪徒，而不僅僅像片警一樣巡個街查個戶口。

飛入尋常百姓家的EDR

EDR代理提供的高級威脅追捕能力需要警報分級和專業(yè)團隊的人工調(diào)查，所以其實際使用成本往往會超出最初的購買和部署價格。想要讓EDR解決方案運營成本親民，就得利用終端代理的內(nèi)建智能來檢測高級攻擊。這么做可以讓管理員只專注在突破了其他預防層的特定高級威脅上，避免他們在誤報上浪費時間。這種增強版的安全運營可以自動歸類真正重要的安全事件，無需全職安全專家團隊調(diào)查每一起事件或異常。

因為檢測出的隱秘威脅以上下文豐富的方式呈現(xiàn)，事件可視化和調(diào)查過程也能被大幅簡化，管理員可以在數(shù)秒內(nèi)評估威脅的影響。這種簡化直接轉化成了快速事件響應策略，管理員能夠精準地刪除或隔離威脅，控制威脅的蔓延。

這種進階預防方法還帶有從事件響應工作流微調(diào)控制措施防護級別的功能，能夠通過專注真正重要的警報來降低事件響應成本。與傳統(tǒng)EDR不同，智能EDR解決方案沒有那么多噪聲，不會讓本就資源不足的IT團隊更加捉襟見肘，卻能以高精確度提供同樣的早期檢測功能，而且任何公司企業(yè)都能入手——無論企業(yè)規(guī)模如何，所處行業(yè)是什么，IT團隊有多少人。

真正需要擔心的攻擊就那1%

層次化安全解決方案在檢測、預防和緩解99%的威脅上表現(xiàn)出色。但剩下的1%往往就是能瞞天過海的那類高級攻擊。網(wǎng)絡安全的前沿陣地就是要擁有準確識別此類隱秘威脅的能力。

人人都能使用的EDR，其價值在于其與現(xiàn)有EPP解決方案全面集成的能力，以及能夠讓IT管理員對整個基礎設施的安全狀態(tài)有個完整視圖。最后1%的攻擊不僅僅難以捉摸，還能隱藏在普通安全事件所產(chǎn)生的背景噪音中，所以IT管理員需要能夠專注在真正的危險和問題上，及時有效地預防、調(diào)查、檢測并響應高級威脅。