终端安全技术趋势

epp

赤豹近卫终端安全防御系统（以下简称“赤豹EPP”）是集恶意代码防护、桌面管理、终端威胁检测与响应（EDR）于一体的全新一代终端安全管理平台，系统建立统一管理的终端安全整体防护体系，有组织有计划地监测和分析终端安全状态，统一配置终端安全策略，提供终端的安全保障能力，确保终端系统正常、高效的运行。赤豹EPP解决了普通安全产品难以应对终端安全事件、难以管理全生命周期的问题，包括事前预警防范、事中应急处置、事后追责溯源，完成终端安全威胁闭环。

cwpp

CWPP，全称是Cloud Workload Protection Platform，顾名思义，云工作负载安全防护平台。
这个产品品类是Gartner提出的。事实上，云工作负载主要就是指虚机和容器，因此CWPP就是虚机和容器的安全防护产品和解决方案，由于同时涉及到主机安全和网络安全，覆盖面很大，Gartner 2020年的CWPP市场指南中就已经把CWPP的技术方向细分到了十几个。
原文$1295
Gartner近期发布了2021年《Market Guide for Cloud Workload Protection Platforms》（云工作负载保护平台（CWPP）市场指南）。报告指出美国2021年CWPP市场规模将达到16.99亿美元，而目前中国的市场规模要远低于这个数字，还有巨大的增长潜力。报告同时也对CWPP的定义、能力描述和发展方向做了新的阐释。

▎报告核心观点：

（注：非原文直译，已加入作者个人观点）

76%的企业正在使用多个公共云平台（IaaS），但仍有本地部署的工作负载需要保护，客户业务环境处于混合、多云架构下仍是常态，使用IaaS最大的挑战是安全风险增加。
云原生应用程序在开发过程中就需要考虑云原生安全，尤其是容器和无服务器PaaS要更早的加入CWPP策略。
云工作负载保护平台（CWPP）市场“左移”，与云安全配置管理（CSPM）部分需求重叠，以满足云原生应用程序整个生命周期的防护需求。
CWPP应支持无代理（agentless）的部署方式，以应对agent代理程序无法运行的场景，并且无代理的方式因为部署简单对客户更有吸引力。
使用端点保护平台（EPP）产品去保护服务器工作负载的客户，数据和应用程序正在面临风险，EPP产品不足以应对服务器工作负载的保护要求。

2021云工作负载保护平台市场指南

建议

负责基础设施安全的安全和风险管理负责人应该：

我实施了一个 CWPP 产品，可以保护工作负载，而不受位置、大小、运行时长或应用程序架构的影响。
安全工作负载早些时候通过e xtending工作量扫描和法规遵从性工作纳入发展（DevSecOps），尤其是˚F或基于容器的无服务器和平台功能作为服务（PaaS）为基础的开发和部署。
Ç在未来12至24个月onsolidate CWPP和CSPM策略，以降低成本和复杂性和风险识别更好。
为无法使用运行时代理或不再有意义的CWPP 场景设计。要求 CWPP 和 CSPM 供应商支持无代理部署选项。

市场定义

CWPP 是以工作负载为中心的安全产品，可保护混合、多云数据中心环境中的服务器工作负载（参见注 1）。CWPP 为物理机、虚拟机 (VM)、容器和无服务器工作负载提供一致的可见性和控制，而不受位置限制。CWPP 产品使用系统完整性保护、应用程序控制、行为监控、入侵预防和可选的运行时反恶意软件保护的组合来保护工作负载。CWPP 产品还应包括在开发管道中主动扫描工作负载风险。

市场描述

CWPP 保护服务器工作负载免受攻击，无论工作负载的位置或粒度如何。它们为安全和风险管理领导者提供对所有服务器工作负载的一致可见性和控制。CWPP 产品应首先扫描开发中的已知漏洞和风险。在运行时，他们应该保护工作负载免受攻击，通常结合使用系统完整性保护、应用程序控制、行为监控、基于主机的入侵防御和可选的反恶意软件保护（参见图 1 ）。

CWPP 要求不断发展并与EPP进一步分离。现代数字业务应用程序和服务由在本地和 IaaS 中运行的多个工作负载（后端计算工作单元）组成。在 Gartner 最近的一项调查中，76% 的企业表示他们正在使用多个 IaaS 提供商。1此外，在同一项调查中，受访者在使用多个公共 IaaS 提供商时发现的最大挑战是安全风险增加。2现实情况是，大多数企业的工作负载分布在内部部署、托管和多个公​​共云 IaaS 平台的组合中。我们称这种组合为混合体，多云架构。CWPP 必须保护这种架构。
与此同时，工作负载的粒度、它们的生命周期和它们的创建方式正在发生变化。Linux容器被广泛采用，并且越来越多地采用无服务器功能 PaaS（也称为功能 PaaS [fPaaS ] ）。3应采用 CWPP 策略来提供对工作负载的一致可见性和控制，无论其粒度和抽象级别如何（参见图 2 ）。

从左到右阅读图 2，我们会看到随着开发组织采用 DevOps 风格的开发模式，工作负载如何随着时间的推移变得更加细化——运行时的生命周期更短。DevOps 是为多次小迭代而设计的，通常每周几次，在某些情况下，每天多次。保护这些快速变化和短期工作负载的最佳方法是在开发阶段主动开始保护（请参阅成功 DevSecOps 的 12 件事），这样当工作负载在生产中实例化时，它就会创建合规。 此外，云原生应用程序通常由虚拟机、容器和无服务器 PaaS 的组合组成，它们协同工作以提供应用程序服务——所有这些都需要保护。
有时，我们仍会发现企业在服务器工作负载上使用专为台式机、笔记本电脑和平板电脑设计的以最终用户为中心的 EPP 产品。这些不适合动态混合、多云工作负载保护的要求。服务器工作负载的风险状况和威胁暴露与面向最终用户的系统明显不同。使用专为支持最终用户的设备设计的 EPP 产品的企业正在将企业数据和应用程序置于风险之中。相比之下，CWPP产品专注于服务器工作负载的保护需要在现代混合（内部部署和基于云计算的），multicloud （即，使用多个公共云IaaS提供商）的数据中心。的确，一些较大的 CWPP 供应商，例如Broadcom ( Symantec) 、Crowdstrike、McAfee、Trend Micro 和VMware (Carbon Black) ，为 EPP 和 CWPP 提供不同且独立的产品，以满足每个市场的独特需求。一些较小的供应商仅针对 CWPP 市场。

市场方向

CWPP 为企业提供了一种保护混合、多云工作负载的方法，并提供对所有服务器工作负载的一致可见性和控制，无论工作负载的位置或粒度如何。我们在 YE21正式将这个市场规模估计为 16.99亿美元，2021 年的增长率为 18.1% （请参阅预测分析：全球云工作负载保护平台）。随着三大供应商——趋势科技、博通和迈克菲——面临来自新的单点解决方案供应商和其他成熟供应商的进入的压力，市场日益分散。

企业越来越多地采用 CWPP 产品背后有多种趋势：

• 工作负载正在从本地迁移到公共云 IaaS，并且 IaaS 工作负载（包括容器和无服务器功能）的总数正在迅速增长。
• 在 IaaS 中，以工作负载为中心、基于主机的 CWPP 网络控制为实施安全策略提供了一种更简单、更具可扩展性的架构选项，而不是传统的基于内嵌网络的安全控制。
• 与使用“中间人”方法解密在线流量相比，在会话终止的主机工作负载中更容易满足对普遍安全套接字层/传输层安全 (SSL/TLS) 解密和检查的需求。在基于微服务的架构中检查从一个服务横向移动到另一个服务的流量时尤其如此。
• 使用基于容器的应用程序架构、基于微服务的应用程序以及无服务器 PaaS 的采用向云原生应用程序开发的转变需要新的 CWPP 功能来进行开发和运行。云原生应用程序需要专门的解决方案来满足基于云的系统的保护要求。
• 改进了 CWPP 采用的便利性。控制台即服务是大多数企业将CWPP 管理转移到云并跨多个云管理策略的要求。不使用代理的新兴可见性方法也减少了采用的摩擦。此外，对于一些企业而言，托管 CWPP 产品（例如Armor和ClearDATA 的产品）的出现进一步降低了开发内部技能的需求。

其他主要的 CWPP 市场趋势包括：

• 使用底层云平台的内置功能进行分段编排。许多企业更喜欢使用底层云结构（例如Azure网络安全组）的内置分段功能。这减少了 CWPP 供应商提供基于主机的防火墙的需要。其他人对Windows和Linux的内置防火墙进行编程。一些基于主机的供应商完全专注于基于身份的分段，其中与底层云平台分段功能的本机功能集成是一个常见要求。
• 企业对工作负载威胁检测和响应能力的请求。采用 Gartner 的持续和自适应风险和信任评估 (CARTA) 战略框架和零信任安全架构的组织承认，CWPP 战略不能仅仅依赖于预防控制。因此，服务器工作负载行为监控（服务器的端点检测和响应 [EDR]）正在成为 CWPP 的关键要求。CrowdStrike、SentinelOne 和VMware (Carbon Black) （以最终用户 EDR 而闻名）等供应商现在正积极瞄准工作负载检测/响应用例。事实上，一些CWPP 供应商只关注威胁检测/响应（有时称为工作负载检测和响应 [WDR] ）用例。
• 工作负载的寿命越来越短。随着使用容器和无服务器计算的云原生开发，危及应用程序的进程和线程来去匆匆。没有时间进行传统的签名文件加载或反恶意软件扫描。依赖于对正在运行的工作负载进行观察的行为监控解决方案可能需要进行数十次实例化，然后才能创建可靠的模型。从实例化的那一刻起，就需要创建符合要求的工作负载。这对持续集成/持续交付 (CI/CD) 管道中的开发扫描和建模/模拟产生了关键需求，并减少了对侵入性运行时安全性的需求。
• 向不变的基础架构思维方式的转变。这是一种操作模型，其中不允许在生产系统上进行配置更改、补丁或软件更新。补丁和更新应用于基础（“黄金”）镜像和层，然后生产工作负载从这些镜像重新构建并替换，而不是提供服务。有了不可变的基础设施，CWPP 保护策略将转向零信任思维，并在运行时专注于应用程序控制和容器锁定（默认拒绝/零信任），更加强调在部署前扫描漏洞。这个想法的扩展是内存不变性，以确保在工作负载的生命周期内只有已知良好和批准的代码驻留在内存中。
• 在容器环境中转向替代控制部署选项。无法保证企业能够在基于容器的部署中的Linux主机操作系统中放置代理。对于锁定的最小内核和一些托管容器服务，这种情况越来越多。答案是提供一个架构选项来运行 CWPP 产品作为特权容器（或作为Kubernetes pod 和服务网格架构中的边车）。一些 CWPP 初创公司只关注容器的保护要求。
• Kubernetes的快速采用。Kubernetes已成为Linux容器编排的事实上的标准。一些初创 CWPP 供应商只专注于保护Kubernetes环境。支持亚马逊网络服务（AWS），微软Azure和谷歌云平台（GCP）管理Kubernetes服务是一种常见的需求，以支持FO沿着[R IBM红帽OpenShif牛逼。
• 与 Kubernetes 相结合，服务网格构造的替代方案正在出现（参见新兴技术分析：服务网格）。这些产品提供服务弹性、自动化服务发现，并将设置加密连接和密钥轮换的复杂性从开发人员手中抽象出来，并抽象为策略定义的覆盖。CWPP 产品需要与这些新兴产品集成或将它们的功能包含在更广泛的功能集中。
• 转向 CWPP 代码分层、包装或插入以保护无服务器功能。在无服务器 PaaS 环境中，代理和特权容器/边车将不起作用。需要新的方法，这些方法开始与应用程序运行时保护市场中的其他方法重叠（请参阅应用程序安全性的炒作周期，2020 年）。
• 在没有运行时保护检测的情况下运行。随着集装箱和无服务器架构，如果工作负载在发展扫描，基本要求（如网络分段）被满足，基础设施被视为一成不变的，为什么负担集装箱/无服务器的功能与任何运行时的保护？假设进行了预扫描，核心运行时保护需求（例如分段、网络监控和行为监控）可能会在工作负载之外提供。
• CWPP与CSPM的融合，C响亮原生应用保护平台（CNAPP）的出现。随着针对 CWPP 的安全扫描转移到开发阶段（扫描操作系统、库和可执行漏洞、依赖项、硬编码机密和恶意软件），扫描云配置是否存在过度风险也是有利的。我们将这种对风险云配置和合规性的扫描称为云安全态势管理（请参阅云安全态势管理的创新洞察）。4 CSPM 应该扩展到使用Kubernetes 的环境，Kubernetes本身就是一个云原生平台。我们将此称为Kubernetes安全状态管理（KSPM）。CSPM/KSPM 是 CWPP 提供商的自然邻接，反之亦然（参见图 3和注释 2 和 3 ）。

在结合 CWPP 和 CSPM 功能、向左移动和扫描漏洞（包括在配置中）方面存在协同作用。在最近的 Gartner 调查中，受访者将漏洞严重性评分和应用程序的外部可访问性确定为衡量应用程序代码或软件组件中漏洞风险的两个最重要的指标。
多个供应商正在融合 CWPP、CSPM 和工作负载扫描功能，并向左转移到开发中。此次合并将创建一个新的CNAPP类别，该类别首先被确定为 2020 年的顶级新兴趋势（顶级安全和风险管理趋势），它扫描开发中的工作负载和配置，并在运行时保护工作负载和配置。

市场分析

图4示出了主要元件的一个工作负载保护策略来产生现代，混合multicloud数据中心架构。

图 4 显示了一个具有矩形基础的分层三角形。服务器工作负载的安全性植根于阴影底部所示的可靠操作卫生和配置最佳实践。任何工作负载保护策略都必须从那里开始，并确保：

• 任何人（攻击者或管理员）都很难从物理上和逻辑上访问工作负载。
• 工作负载映像只有它需要的代码。服务器工作负载图像中应禁止浏览器和电子邮件的使用。
• 对服务器工作负载的更改只能使用具有可审计性的受管、规范的过程，并且管理访问通过强制性强身份验证（通常使用特权访问管理 [PAM] 产品；请参阅特权访问管理魔力象限）进行严格控制。
• 操作系统和应用程序日志作为整体企业日志管理/安全信息和事件管理 (SIEM)或扩展检测和响应 (XDR) 工作的一部分进行收集和监控。
• 工作负载得到了强化、最小化和修补，从而减少了攻击的表面积。
• 工作负载根据基于身份的策略进行分割——在许多情况下使用内置的分割功能，例如标记部署云工作负载的底层可编程云基础设施。基于身份的细分产品有一个单独但相邻的市场（请参阅基于身份的细分的三种风格）。三种基于身份的分割风格之一使用基于代理的方法。这些产品是相邻的，但超出了本市场指南的范围。

在此基础之上是推荐用于服务器工作负载保护的分层控制——预防和检测/响应控制的组合。总的来说，这些提供了全面的工作负载保护。

然而，并不是每个服务器工作负载都需要每一层。需要哪些层取决于工作负载的使用情况、工作负载的暴露程度和企业对风险的容忍度。值得注意的是，反恶意软件扫描是对服务器工作负载最不重要的控制之一。尽管此扫描对于文件共享存储库和对象存储至关重要，但它可以在工作负载之外执行（例如，使用云访问安全代理 [CASB]；请参阅云访问安全代理的魔力象限）。

市场介绍

CWPP 市场在过去 10 年中出现，因为现代混合云工作负载的保护需求与最终用户端点的保护需求不同。CWPP 功能是不同的，并且在使用通用控制的地方，它们的优先级与 EPP 的不同（请参阅端点和服务器安全：共同目标，不同的解决方案）。端点保护市场已分为两个不同的市场——一个专注于以最终用户为中心的设备保护（EPP；参见端点保护平台的魔力象限），另一个专注于 CWPP（在本市场指南中讨论）。

市场建议

随着企业需求的发展，对 CWPP 产品的需求不断增长。我们建议在评估 CWPP 产品时使用以下标准：

• 图 4 中对企业很重要的控制层次结构的覆盖范围。
• 支持Windows 、Linux和Linux容器（明确支持Kubernetes ），并支持无服务器功能扫描和运行时保护。
• 许可跨本地和公共云部署的可移植性。
• 传统的按工作负载/每年许可，具有基于图像大小（例如，每分钟）的基于使用量的许可选项。
• 控制台即服务从云中提供，以便于部署。
• 软件可用并集成在云提供商的应用程序商店中，以便于使用。
• 集成CSPM/KSPM 功能（通常单独收费）。
• 可选的反恶意软件扫描功能，包括扫描云对象存储的选项。
  在评估 CWPP 产品时，我们推荐以下最佳实践：
• 为保护云工作负载制定特定策略，以满足服务器工作负载保护的独特要求。
• 不要期望旨在保护最终用户端点的产品能够为服务器工作负载提供足够的保护。
• 如果您仍然使用Windows Server 2008或其提供商不再支持的其他操作系统，请要求 CWPP 供应商继续支持这些操作系统，并确定如果系统未打补丁，他们会提供哪些补偿控制（如果有）。
• 需要 CWPP 产品来保护物理机、虚拟机、容器和无服务器工作负载——所有这些都通过单个控制台进行管理，无论位于何处。混合多云架构代表了大多数企业数据中心的未来。
• 要求 CWPP 产品通过 API 公开其所有功能以促进自动化。
• 在您的 CWPP 评估中要求容器保护功能。如果您正在使用Kubernetes并考虑托管Kubernetes服务，那么也需要明确支持此环境。
• 向 CWPP 供应商询问他们的无服务器功能扫描和保护路线图和架构。
• 如果您现有的 CWPP 供应商缺乏对容器或无服务器功能的成熟支持，请考虑购买提供此支持的其他供应商的 CWPP 产品。
• 将工作负载扫描（尤其是容器和无服务器功能）主动扩展到 CI/CD 管道中。仅专注于运行时保护的 CWPP 产品在应用程序和托管它们的工作负载的开发方式方面缺少关键转变。
• 要求 CWPP 供应商提供 CSPM/KSPM 功能。
• 要求 CWPP 供应商支持替代部署选项，包括特权容器、Kubernetes D aemonSets 、sidecar 和用于磁盘映像分析的新兴选项（通常通过快照）。
• 准备在未来，可能无法CWPP运行代理需要。应扫描容器和无服务器功能以查找漏洞和配置预部署。然而，当部署在不可变基础设施中并从外部监控异常行为时，它们可能无法保证从工作负载本身内部提供补充运行时保护。

edr

**端点检测和响应 (EDR)，也称为端点威胁检测和响应 (ETDR)**，是一种集成的端点安全解决方案，它将实时连续监控和端点数据的收集与基于规则的自动响应和分析功能相结合。该术语由Gartner的Anton Chuvakin提出，用于描述新兴安全系统，用于检测和调查主机和端点上的可疑活动，采用高度自动化使安全团队能够快速识别和响应威胁。

主要功能是：

• 从端点监控和收集可能表明存在威胁的活动数据
• 分析此数据以识别威胁模式
• 自动响应已识别的威胁以移除或遏制它们，并通知安全人员
• 用于研究已识别威胁和搜索可疑活动的取证和分析工具

趋势

预计 EDR 的采用将在未来几年内显着增加。根据 Stratistics MRC 的《端点检测和响应 - 全球市场展望（2017-2026 年）》，到 2026 年，本地和基于云的 EDR 解决方案的销售额预计将达到 72.7 亿美元，年增长率接近 26% .

推动 EDR 采用率上升的因素之一是连接到网络的端点数量的增加。另一个主要驱动因素是网络攻击日益复杂，这些攻击通常将端点作为更容易渗透网络的目标。

新型终端和终端攻击

一个普通的 IT 部门管理其网络中的数千个端点。这些端点不仅包括台式机和服务器，还包括笔记本电脑、平板电脑、智能手机、物联网 (IoT) 设备，甚至智能手表和数字助理。在SANS Endpoint Protection和响应调查报告说，IT团队的44％，5000个至500,000端点之间管理。这些端点中的每一个都可能成为网络攻击的大门；因此，端点可见性至关重要。

虽然今天的防病毒解决方案可以识别和阻止许多新型恶意软件，但黑客仍在不断创造更多。使用标准方法很难检测到许多类型的恶意软件。例如，最近开发的无文件恶意软件在计算机内存中运行，从而避免了恶意软件签名扫描程序。

为了加强安全性，IT 部门可能会随着时间的推移实施各种端点安全解决方案以及其他安全应用程序。但是，多个独立的安全工具会使威胁检测和预防过程复杂化，尤其是当它们重叠并产生类似的安全警报时。更好的方法是集成端点安全解决方案。

EDR 安全的关键组成部分

EDR 安全为端点数据的收集、关联和分析以及协调警报和对即时威胁的响应提供了一个集成中心。EDR 工具具有三个基本组件：

端点数据收集代理。软件代理执行端点监控并将数据（例如进程、连接、活动量和数据传输）收集到中央数据库中。

自动响应。EDR 解决方案中的预配置规则可以识别传入数据何时表明存在已知类型的安全漏洞并触发自动响应，例如注销最终用户或向工作人员发送警报。

分析和取证。端点检测和响应系统可以结合实时分析（用于快速诊断不完全符合预配置规则的威胁）和取证工具（用于威胁搜寻或对攻击进行事后分析）。

• 实时分析引擎使用算法来评估和关联大量数据，搜索模式。
• 取证工具使 IT 安全专业人员能够调查过去的漏洞，以更好地了解漏洞利用的工作原理以及它如何渗透安全。IT 安全专业人员还使用取证工具来寻找系统中的威胁，例如恶意软件或其他可能潜伏在端点上未被发现的漏洞。

新的 EDR 功能可改进威胁情报

新功能和服务正在扩展 EDR 解决方案检测和调查威胁的能力。

例如，第三方威胁情报服务（如 McAfee Global Threat Intelligence）可提高端点安全解决方案的有效性。威胁情报服务为组织提供有关当前威胁及其特征的全球信息库。这种集体智慧有助于提高 EDR 识别漏洞的能力，尤其是多层和零日攻击。许多 EDR 安全供应商提供威胁情报订阅作为其端点安全解决方案的一部分。

此外，某些 EDR 解决方案中的新调查功能可以利用人工智能和机器学习来自动化调查过程中的步骤。这些新功能可以了解组织的基线行为，并使用此信息以及各种其他威胁情报来源来解释调查结果。

另一种威胁情报是 与美国政府合作的非营利研究组织 MITRE 正在进行的 对抗性战术、技术和常识 (ATT&CK)项目。ATT&CK 是一个知识库和框架，它建立在对数百万个现实世界网络攻击的研究之上。

ATT&CK 根据各种因素对网络威胁进行分类，例如用于渗透 IT 系统的策略、利用的系统漏洞类型、使用的恶意软件工具以及与攻击相关的犯罪集团。这项工作的重点是识别无论漏洞利用如何细微变化都保持不变的模式和特征。IP 地址、注册表项和域号等详细信息可能会经常更改。但攻击者的方法——或“作案手法”——通常保持不变。EDR 可以使用这些常见行为来识别可能以其他方式改变的威胁。

随着 IT 安全专业人员面临日益复杂的网络威胁，以及访问网络的端点的数量和类型更加多样化，他们需要更多来自端点检测和响应解决方案提供的自动化分析和响应的帮助。

Magic Quadrant for Endpoint Protection Platforms(端点保护平台的魔力象限)

战略规划假设

到 2023 年底，云交付的 EPP 解决方案将超过 95% 的部署。
到 2025 年，50% 的使用 EDR 的组织将使用托管检测和响应功能。
到 2025 年，60% 的 EDR 解决方案将包含来自多个安全控制源的数据，例如身份、CASB 和 DLP。

市场定义/描述

本文档于 2021 年 5 月 20 日修订。您正在查看的文档是更正后的版本。有关更多信息，请参阅gartner.com 上的更正页面。
Gartner 对端点保护平台 (EPP) 市场的看法侧重于满足最终用户未来需求的转型技术或方法。它不像今天那样专注于市场。
Gartner 对 EPP 市场的定义如下：
端点保护平台提供了将代理或传感器部署到托管端点（包括 PC、服务器和其他设备）的工具。
这些旨在防止一系列已知和未知的恶意软件和威胁，并提供免受此类威胁的保护；此外，它们还提供调查和补救任何逃避保护控制的事件的能力。
端点保护平台的核心功能是：

• 预防和保护安全威胁，包括使用基于文件和无文件漏洞的恶意软件
• 将控制（允许/阻止）应用于软件、脚本和进程的能力
• 使用对设备活动、应用程序和用户数据的行为分析来检测和预防威胁的能力
• 当漏洞利用逃避保护控制时进一步调查事件和/或获得补救指导的设施

端点保护平台中经常出现的可选功能可能包括：

• 端点设备的库存、配置和策略管理的收集和报告
• 磁盘加密、本地防火墙设置等操作系统安全控制状态的管理和报告
• 扫描系统漏洞和报告/管理安全补丁安装的设施
• 能够报告互联网、网络和应用程序活动，以得出潜在恶意活动的其他迹象
  魔力象限

供应商的优势和注意事项

Bitdefender

Bitdefender 是 2021 年魔力象限中的利基玩家。
GravityZone 平台结合了 EPP、端点检测和响应 (EDR) 以及网络分析作为云托管或本地解决方案。Bitdefender 还提供托管检测和响应 (MDR) 服务。
Bitdefender 继续投资于提高检测精度、强化和补丁指导。它提供了良好的代理性能以及对广泛操作系统的支持。
Bitdefender 最适合 B 类和 C 类组织，适合北美和欧洲、中东和非洲地区需要全面、单一解决方案的组织。

优势
Bitdefender 拥有一支庞大的研发团队，专注于威胁研究，并且在基于文件和无文件的恶意软件保护测试中始终表现最佳。
Bitdefender 为物理、虚拟和云平台提供单一的模块化代理，并为所有端点/服务器安全管理提供单一的 SaaS 控制台。它还为中型企业提供补充安全工具，例如补丁管理、电子邮件过滤、移动管理和文件沙箱。
许多检测层和自动响应操作支持的低开销 EDR 产品导致客户体验的高排名。事件响应 UI 提供了良好的可视化分析能力和映射到 MITRE 技术的可疑行为的详细信息。
Bitdefender 提供了许多可以减少端点攻击面的功能，包括用户风险、应用程序控制、漏洞和配置管理、补丁、全盘加密、Web 内容过滤和设备控制。
注意事项
Bitdefender EDR 功能缺乏高级威胁追踪、自动威胁源集成、自定义阻止规则、基于角色的高级管理和事件处理工作流。
Bitdefender 补丁管理模块、防火墙模块和沙箱分析功能尚不适用于 Linux 平台。
应用程序控制功能仅适用于本地平台。
虽然 Bitdefender 已采取措施扩大其企业影响力和销售业务，但 Gartner 客户的心智份额仍然很低，这反映在市场响应能力的排名较低上。

黑莓 (Cylance)

黑莓是这个魔力象限中的利基玩家。
黑莓最近重新命名了所有 Cylance 产品，包括 EPP 工具，现在是 BlackBerry Protect；EDR 工具，现在是 BlackBerry Optics；及其 MDR 产品，现在是 BlackBerry Guard。

投资领域包括新的 Spark 套件，它将 BlackBerry 的统一端点管理工具与其统一端点安全工具相结合，该工具还包括新的 BlackBerry Persona ，它结合了持续的用户身份验证，以主动解决被盗凭据、内部威胁和物理设备泄露问题。

BlackBerry 是 B 类和 C 类组织的理想选择，这些组织正在寻找对性能影响低且离线工作良好的云管理功能。大多数黑莓客户都在北美。

优势

• BlackBerry 提供 EPP、EDR、移动威胁防御 (MTD) 和 Persona 的 BlackBerry Cyber​​ Suite，可在单个控制台下运行。Cyber​​ Suite 为客户提供更好的可见性、更轻松的管理和对所有终端设备类型的增强的威胁检测。
• BlackBerry Protect 是一款基于人工智能 (AI) 的小型轻量级检测代理，易于部署和管理，并且能够离线工作，深受拥有隔离/气隙系统的客户的欢迎。
• BlackBerry Protect 在基于机器学习 (ML) 的保护方面享有盛誉。这种保护使用代理端算法和机器学习来检测基于文件的恶意软件。BlackBerry Optics 使用 ML 提供用户和实体行为检测功能。
• BlackBerry Optics 提供 EDR 功能以提供端点可见性和事件响应设施。其最近发布的版本扩展了自定义检测逻辑并添加了新的响应功能，这些功能结合了 MITRE ATT&CK 框架。

注意事项

• 由于大多数客户并不认为 Cylance 是 BlackBerry 的一部分，因此 BlackBerry 继续在其整个产品范围内遭受品牌问题。移除 Cylance 品牌需要大量的客户教育，因为大多数用户都知道 BlackBerry 是一家历史悠久的移动设备制造商。
• BlackBerry 计划为 BlackBerry 端点安全工具发布扩展检测和响应 (XDR) 解决方案，紧随其他供应商之后；因此，黑莓在本次研究中的市场响应度排名并不高。
• 由于公司将 Optics 过渡到云托管 EDR 架构，BlackBerry Optics 在开发和发布新功能方面落后于竞争产品，预计第 3 版将于 2021 年第二季度发布。
• 客户在使用 BlackBerry Protect 时经常报告高水平的误报检测，需要仔细的文件夹排除管理。他们还提到需要为基于行为的检测添加 BlackBerry Optics，以改善检测结果。

博通（赛门铁克）

赛门铁克是这个魔力象限中的远见者。

赛门铁克的立场反映了其进入市场的战略和执行，这让其成千上万的客户争先恐后地寻求支持或替代方案。

赛门铁克对其最大客户的新关注在向大型企业推销其更广泛的产品组合方面取得了一些成功。它依靠全球合作伙伴网络为中小型企业 (SMB) 客户提供服务。

赛门铁克的旗舰解决方案 Symantec Endpoint Security Enterprise (SESE) 和 Symantec Endpoint Security Complete (SESC) 提供云管理的 EPP 和 EDR。赛门铁克广泛的解决方案组合共享一个云控制台。

赛门铁克吸引了正在寻找具有吸引力价格的集成 XDR 安全解决方案的大型全球 A 类和 B 类企业客户。
优势

• 将 EDR 和 EPP 功能集成到单个代理和云管理控制台中，以及广泛的端点（包括移动）和服务器覆盖范围是关键优势。赛门铁克在防病毒有效性测试方面继续表现出色，并于 2019 年和 2020 年参与了 MITRE ATT&CK 2 和 3 阶段评估。
• Symantec Endpoint Security Complete 包括减少攻击面、移动威胁防御、EDR 和由赛门铁克的 Threat Hunter 分析师发现的关键事件。此外，针对 Active Directory 的端点威胁防御改进了针对基于身份的攻击的保护。
• 赛门铁克通过更好地可视化流程沿袭和行为来确定根本原因、内置剧本以促进分析师工作流程、使用云分析进行自动和手动威胁搜寻以及用于调查和补救的远程 PowerShell 会话，改进了其 EDR 功能。
• 采用赛门铁克集成网络防御的客户将能够利用来自多个控制点的洞察力进行扩展检测和响应。

注意事项

• 博通的收购起步不顺利，渠道混乱，与客户沟通不畅。Broadcom 专注于向大型企业客户销售广泛的产品和服务组合，这可能与当前和潜在的 SMB 组织不一致，尤其是那些倾向于与其 EPP 供应商建立直接支持关系的组织。
• 2020 年，赛门铁克停止向企业客户提供直接 MDR 和其他托管服务，降低了托管服务的分数。
• 赛门铁克的 XDR 战略仍然缺乏预先构建的细粒度事件响应和自动化功能，而是依赖基于 API 的集成与第三方安全信息和事件管理 (SIEM) 以及安全编排、分析和报告 (SOAR) 解决方案。
• SESC 越来越多地为拥有经验丰富的安全运营中心 (SOC) 团队的大型企业组织而设计。对于管理员经验不足的小型组织而言，它的控制和策略范围可能过多。

  火眼

  FireEye 是这个魔力象限中的利基玩家。

FireEye 的 XDR 平台提供端点、电子邮件、Web 云、SIEM 和网络安全，所有这些都由一个通用 SOAR 控制台支持。Mandiant 是其服务部门，提供适合目标行业的安全服务。据报道，FireEye 正在与市场同步增长。

最近的投资主要用于预防和调查，以及检测和扩展 Linux 和 macOS 功能（支持 macOS Big Sur）、身份欺骗面包屑、远程 shell 和 PowerShell 恶意事件检测。
FireEye Helix 是一个云托管的 XDR 平台；但 FireEye 确实提供了可以在本地托管的端点管理控制台。

FireEye 的吸引力主要是针对需要具有深度网络威胁情报功能和服务的整体安全平台的 A 类组织，而不是将其视为特定于 EPP 的安全供应商。
优势

• FireEye Endpoint Security 为端点威胁和勒索软件提供了多种防御引擎。它包括 Bitdefender 防病毒引擎，可阻止高度流行的恶意软件；和 MalwareGuard，一种针对独特恶意软件的 FireEye 机器学习引擎。EDR 搜索功能包括在端点上查询实时数据，以及向 Helix 发送不太详细的流事件和元数据。

• 作为投资组合提供商，FireEye 拥有广泛的安全功能，使其能够跨所有安全控制点协调威胁情报发现并提供集成的事件响应。FireEye Endpoint Security 受益于 Mandiant 漏洞调查团队的威胁情报，以及 FireEye 产品的共享威胁指标。

• FireEye 修复选项包括提取完整的取证和威胁工件，获取已删除或系统保护的文件（不中断系统运行），以及实时命令和批处理脚本。

• FireEye 通过两项服务提供全球托管检测和响应：Mandiant Managed Defense，一个完整的安全服务产品；及其新推出的“按需专业知识”，使客户能够根据他们的特定需求定制参与。

注意事项

• 对于不想围绕 Helix 标准化 SOAR 策略的组织，FireEye 仍然缺乏云原生 EPP/EDR SaaS 管理产品。
• 管理控制台专为经验丰富的事件响应者而设计。修复能力今年增强，逆向shell能力；但是，调查和整治指导仍然薄弱。
• FireEye 的默认设置是在客户端本地存储数据，并仅在检测到可疑活动时发送更完整的分类信息。在事件发生期间，本地数据可能无法访问。需要 Event Streamer 模块以 syslog 格式流式传输数据以进行集中存储。
• FireEye 缺少端口控制、移动威胁防御等一些常用功能，不提供系统加固指导。
  ###象限描述

领导
领导者在所有执行和愿景类别中表现出平衡和一致的进展和努力。他们在高级恶意软件防护方面拥有广泛的能力，并为大型企业帐户提供经过验证的管理能力。领导者越来越多地提供整体 XDR 平台，允许客户整合其他工具并采用单一供应商解决方案。然而，领先的供应商并不是每个买家的默认选择，客户不应该假设他们必须只从领导者象限的供应商那里购买。
一些客户认为，Leaders 不适合同类最佳解决方案，也没有追求客户的个人和特定需求。当有远见的人挑战现状时，领导者可能无法快速对市场做出反应。
挑战者
挑战者拥有可靠的反恶意软件产品和可靠的检测和响应能力，可以满足大众市场的安全需求。他们还拥有更强大的销售和知名度，加起来比 Niche Players 提供的执行力更高。挑战者通常在新能力方面滞后，缺乏一些先进能力，或者缺乏完全融合的战略，与领导者相比，这会影响他们的愿景完整性。它们是可靠、高效和方便的选择。
有远见的人
有远见者提供对下一代产品具有重要意义的前沿功能，并将让买家尽早获得改进的安全性和管理。这些功能包括自动化、高级分析、云工作负载和容器保护、可定制的托管服务、自动检测或保护功能以及实时事件响应工作流。有远见的人可以影响市场技术发展的进程，但可能还没有表现出一致的执行力，也可能缺乏市场份额。客户选择有远见者以获得最佳功能。
利基玩家
Niche Players 提供可靠的反恶意软件解决方案和基本的 EDR 功能，但很少在特性或功能方面领先市场。有些是小众的，因为它们服务于非常特定的地理区域或客户规模，而有些则专注于以特定方法或保护功能的组合提供卓越的服务。对于受支持地区的保守组织，或希望为现有 EPP 部署增强功能以​​实现“纵深防御”方法的组织，Niche Players 可能是一个不错的选择。

前瞻性

端点保护是一个普遍部署的恶意软件预防层，被认为是所有组织的基本安全卫生。尽管出现了复杂、隐蔽的攻击，但配置良好且维护良好的 EPP 产品仍然可以显着降低恶意软件和针对性攻击的风险。但是，所有行业部门和组织规模都必须重新审视其端点保护方法，并投资于端点的附加功能和保护层，以应对可以逃避 EPP 检测的更高级的攻击技术。

端点检测和响应现在是任何端点安全策略的主流部分，因此在本分析中受到越来越多的重视。现在大约 30% 的端点受到 EPP 和 EDR 的保护。越来越多的 EDR 部署不再局限于具有成熟安全运营的组织。
EDR 的采用主要是由针对高级威胁的防护驱动的，但也有自动化、编排和托管 EDR 功能的附加吸引力。EDR 创新，例如基于行为的检测和基本威胁搜寻，越来越多地包含在端点保护平台中。这种融合也来自 EDR 市场，在那里 EDR 供应商为其核心检测和响应功能添加了保护功能。
EDR 解决方案提供了检测和调查安全事件、控制攻击和生成补救指导的功能。EDR 解决方案必须识别和分析活动和设备配置。用户和设备活动的可见性和报告与检测到异常活动时的直接干预相结合。威胁的自动响应和回滚是非常理想的 EDR 功能。与票务和系统管理等其他工具的集成和自动化是关键。

在今年的分析中，我们还评估了供应商的扩展检测和响应能力。XDR 是一种新方法，可提供结合威胁检测和事件响应工具的单一解决方案，将多个安全产品统一到一个安全运营系统中。例如，XDR 产品可以将防火墙、沙箱、安全 Web 和电子邮件网关以及身份工具结合在一个通用的事件响应功能中。XDR 解决方案允许务实的安全组织获得更高的运营效率，而无需在 SIEM 或 SOAR 工具中进行复杂的手动集成（请参阅扩展检测和响应的创新洞察）。

云交付正在成为主流。目前，大约 65% 的企业 EPP 市场正在使用云交付解决方案；但是，大约 95% 的新许可证是通过云交付的。全面和轻度事件响应支持等服务也越来越受到买家的关注。

市场概况

• 勒索软件目前是所有组织面临的最大风险。勒索软件最近的变化包括附属程序的扩展、数据盗窃和人肉威胁，以及人为操作的勒索软件的扩展；所有这些都提升了勒索软件感染的业务影响。一些 EPP 解决方案为勒索软件提供网络保险政策，以展示对勒索软件防御的信心。
• 远程工作显着加速了云管理产品的采用，现在占安装基数的 60% 和所有新部署的 95%。无法承诺 100% 云部署的买家需要混合部署产品。然而，买家应该寻找解决方案真正为云交付而设计的指标，而不仅仅是转移到云的管理服务器。
• 无文件攻击现在是所有恶意软件类型的常见组成部分，使 EDR 工具的行为保护成为一项关键功能。针对组织的高级攻击者可以逃避任何保护解决方案，这使得检测和搜寻对于快速事件响应至关重要。EDR 现在应该是强制性的关键能力；然而，EDR 功能仅部署到 40% 的端点。
• 采用 EDR 工具的最大障碍仍然是操作它们所需的技能和增加的总成本，尤其是在后来的采用者部署 EDR 时。平均而言，EDR 功能将使初始成本额外增加 37%，并且采用 EDR 必须伴随着培训投资才能有效。
• 为了缩小技能差距，提供监控和警报分类的 MDR 服务正变得越来越流行。MDR 服务越来越多地由解决方案提供商自己提供，而不是通过合作伙伴提供。
• 最近的 SolarWinds 供应链攻击说明了 EDR 的价值和缺点。我们几乎没有证据表明 EDR 解决方案实时检测到违规行为。然而，EDR 解决方案对于检测危害和阻止新发现的恶意行为非常有用。但是，EDR 数据存储期应预见到将攻击时间延长至数周的攻击技术。
• SolarWinds 攻击还表明，至少需要更好地集成来自身份和电子邮件的遥测数据，以及需要有效的篡改保护以确保代理不被禁用。
• 扩展检测和响应功能正在成为 EPP 解决方案的最新关键功能。XDR 提供了一种威胁检测和事件响应工具，可将多个安全产品统一为一个通用的事件响应和搜索工具集。
• 所有组织都需要优先级更高的强化指导。EPP 解决方案越来越多地提供漏洞分析，一些更高级的解决方案还包括端点配置指南。
• EPP 解决方案还可以添加移动威胁防御和与统一端点管理的集成，以减少整体管理负担，并允许进一步整合安全运营和 IT 运营工具。

xdr (Extended Detection and Response )扩展检测和响应

根据分析公司 Gartner 的说法，扩展检测和响应 (XDR) 是一种基于 SaaS 的、特定于供应商的安全威胁检测和事件响应工具，它原生地将多个安全产品集成到一个统一的安全运营系统中，该系统统一了所有许可组件。”

XDR 通过提供跨整个技术领域的威胁的整体且更简单的视图，使企业能够超越典型的检测控制。XDR 提供向业务运营传递威胁所需的实时信息，以获得更好、更快的结果。

扩展检测和响应 (XDR) 的主要优势是：

• 改进的保护、检测和响应能力
• 提高运营安全人员的生产力
• 降低总拥有成本，有效检测和响应安全威胁

扩展检测和响应 (XDR) 有望将多个产品整合到一个有凝聚力的统一安全事件检测和响应平台中。
XDR 是端点检测和响应 (EDR)解决方案向主要事件响应工具的逻辑演变。
XDR 改进了端点检测和响应(EDR) 系统上的恶意软件检测和防病毒功能。XDR 改进了 EDR 能力，通过利用当前技术主动识别和收集安全威胁，并采用策略来检测未来的网络安全威胁，以部署高级安全解决方案。它是响应式端点保护解决方案的替代方案，例如 EDR 和网络流量分析 (NTA)。

crowdstrike

CrowdStrike Holdings, Inc.是一家位于加利福尼亚州桑尼维尔的美国网络安全技术公司。它提供云工作负载和端点安全、威胁情报和网络攻击响应服务。[4] [5]该公司参与了对几起备受瞩目的网络攻击的调查，包括 2014 年索尼影业黑客攻击、2015-16年对民主党全国委员会(DNC) 的网络攻击以及 2016 年涉及 DNC 的电子邮件泄露. [6] [7]

历史

CrowdStrike 由George Kurtz（CEO）、Dmitri Alperovitch（前 CTO）和 Gregg Marston（CFO，退休）于 2011年共同创立。[8] [9] [10] [11] 2012 年，Shawn Henry，前任 CTO联邦调查局(FBI) 官员受雇领导子公司 CrowdStrike Services, Inc.，该公司专注于主动和事件响应服务。[12] [13] 2013 年 6 月，该公司推出了其首款产品 CrowdStrike Falcon，该产品提供端点保护、威胁情报和归因。[14] [15]

2014 年 5 月，CrowdStrike 的报告协助美国司法部指控五名中国军事黑客对美国公司进行经济网络间谍活动。[16] CrowdStrike 还揭露了Energetic Bear的活动，该组织与俄罗斯联邦有联系，主要针对能源领域的全球目标开展情报行动。[17]

在索尼影业遭到黑客攻击后，CrowdStrike 发现了与朝鲜政府有关的证据，并展示了攻击是如何进行的。[18] 2014 年，CrowdStrike 在识别 Putter Panda 成员方面发挥了重要作用，Putter Panda 是国家资助的中国黑客组织，也称为PLA Unit 61486。[19] [20]

2015 年 5 月，该公司发布了有关VENOM 的信息，这是一个名为Quick Emulator (QEMU)的开源虚拟机管理程序中的一个严重缺陷，允许攻击者访问敏感的个人信息。[21] [22] 2015年10月，CrowdStrike宣布，在美国总统巴拉克奥巴马和中国最高领导人习近平公开同意不对对方进行经济间谍活动期间，它已经确定了中国黑客攻击科技和制药公司的情况。所谓的黑客行为违反了该协议。[23]

CrowdStrike 在 2017 年发布的研究表明，该公司当年响应的攻击中有 66% 是无文件或无恶意软件的。该公司还编制了有关检测攻击所需的平均时间以及组织自身检测到的攻击百分比的数据。[24]

2018 年 2 月，CrowdStrike 报道称，在 11 月和 2017 年 12 月，它观察到了国际体育界的一项凭证收集行动，这可能与平昌冬奥会开幕式的网络攻击有关。[25]同月，CrowdStrike 发布的研究表明，该公司观察到的所有攻击中有 39% 是无恶意软件的入侵。该公司还列出了攻击者最常针对哪些行业进行攻击。[26]那年三月，该公司发布了用于移动设备的 Falcon 版本并推出了 CrowdStrike 商店。[27]

2019 年 1 月，CrowdStrike 发表研究报告称，自 8 月首次出现以来，Ryuk 勒索软件已累积超过 370 万美元的加密货币支付。[28] [29]

根据 CrowdStrike 的 2018 年全球威胁报告，俄罗斯拥有世界上最快的网络犯罪分子。[30] [31]该公司还声称，在其 2018 年追踪的 81 名指定的国家资助行为者中，至少有 28 名全年进行了积极的行动，其中超过 25% 的复杂攻击由中国负责。[32]

2020 年 9 月，CrowdStrike 以 9600 万美元收购了零信任和条件访问技术提供商 Preempt Security。[33]

2021 年 3 月，CrowdStrike 以4 亿美元收购了丹麦日志管理平台 Humio。[34]官方 CrowdStrike 发布指出，此次收购是为了进一步提高他们的XDR能力。

2012年 七月推出威胁情报模块
2013年 六月推出作为单一解决方案的EDR 功能
八月推出威胁追踪模块
2017年 二月推出全下一步代AV模块
推出IT卫生模块
七月推出恶意软件 搜索模块
十一月 推出漏洞管理和沙箱模块
2018年 四月推出猎鹰完整模块
八月推出设备 控制模块
2019年 八月推出CROWDSCORE