現代軟件定義安全，EDR將企業網絡安全防護武裝到牙齒

PC時代，基于簽名技術的終端安全防護技術在廣大企業及個人用戶的網絡安全防護體系中長期占據著重要的位置，殺毒軟件產品成為網絡安全領域必不可少的代表產品之一。然而，隨著全球企業數字化轉型進程的持續推進，新興技術不斷涌現并快速發展，企業的業務模式和所處網絡環境已經不可同日而語。由于EDR將威脅檢測的時間線進行了延長，具備更為強大的終端安全信息檢測、分析、響應與溯源能力，幫助企業提升對高級持續性威脅、零日威脅、無文件攻擊等復雜威脅的檢測與響應能力。因此，EDR工具的作用和重要性已經在全球得到了安全企業及最終用戶的廣泛認可，并將成為未來幾年終端安全市場持續增長的重要推動力之一。IDC特別針對中國地區發布了《IDC MarketScape: 中國終端安全檢測與響應市場2020，廠商評估》報告，供業界人士在選擇EDR產品和服務提供商時參考。

市場格局點評

基于本次研究，IDC認為：

EDR廠商應深挖核心技術，同時關注軟件產品自身魯棒性

企業網絡安全管理人員往往希望通過單一的客戶端和管理平臺實現對企業整體終端安全的保護和管理，以減少對終端設備性能和業務系統穩定性的影響，這往往會導致技術提供商側重追求終端安全產品的功能全面性，而忽略了對核心技術的深入研究。同時，由于EDR產品/工具需要與主機操作系統緊密結合，其安全性和健壯性極為重要，不應讓安全產品自身的脆弱性成為網絡攻擊的入口或跳板。

加強威脅可見性，提升對威脅事件的響應和處置效率

EDR產品/工具不僅需要對終端信息進行簡單收集和存儲，還應該充分挖掘和分析海量安全信息之間的關聯性，提升對潛在威脅的檢測和溯源取證能力，并將這些信息進行直觀展現，幫助企業安全管理人員完成對威脅事件的危害級別、危害行為、影響范圍等信息的快速初步判定，降低人員工作負載，提升對威脅事件的響應和處置效率。

安全專家至關重要，EDR能力的充分施展需要人的參與

當前階段，面對隱蔽且復雜的終端惡意威脅，企業還不能將所有的威脅判定和響應工作均交給EDR產品/工具進行自動處理，需要安全廠商或企業內部專業安全人員對產品自動化輸出的威脅信息進行深入分析，結合自身業務屬性判定告警的準確性及危險級別，并在安全工具的幫助下進行有效響應和溯源分析。

托管安全服務是大勢所趨，EDR服務商紛紛加大布局

為了將安全服務提供商的高級技術團隊資源利用最大化，基于托管模式的EDR安全服務越來越受到最終用戶的關注。IDC定義下的托管安全服務分為三種類型：駐場安全服務（MSS-CPE）、本地托管安全服務（MSS-Hosted）、云托管安全服務（CHESS）。廣大企業級客戶可以根據自身網絡和業務屬性選擇適合的托管安全服務模式。