参与本次EDR安全能力点阵图的安全厂商有12家，分为三种：

• 融合源：本身拥有多样产品线的综合性厂商，能够通过部分其他产线能力（如专有的威胁情报团队）将EDR能力进一步发挥。

• 专注源：专注以EDR为自身主要产品的厂商。

• 能力源：在某一方面（如病毒查杀、主机防御）有突出能力，围绕该能力拓展成为EDR的厂商。

以下内容节选自《数世咨询：EDR能力指南》

前言

终端安全可以说是数字安全的起源——早在计算机还是一个庞然大物的时候，就有了最早的“病毒”概念。相对应的，针对终端的防御也随之开始。从发展的角度来看，终端防护手段的演化，有两个方面代表了整个数字安全领域的演化，即威胁方式的演化和安全理念的演进。

EDR的出现代表了安全理念的一个重要转变：从“预防”到“检测”与“响应”。安全中没有“银色子弹”，我们无法拦截所有攻击；而现在的安全理念，是从前置的严防死守，到及时发现异常并且进行处理，将损害限制在可控范围内。因此，EDR不仅仅通过“特征”进行“预防”，更依靠“行为”进行“检测”，并且进行“响应”。同时，EDR不再只是着眼于单个终端的防御，而是能够对各个终端上事件的关联分析，还原整个攻击的流程，描绘出攻击事件的全貌——在当下愈演愈烈的APT攻击中，尤为重要。

（注：本报告中，“终端”特指手机、电脑、平板等用户直接交互的设备，以及打印机、摄像头等物联网设备；“主机”指服务器；“端点”指“终端”与“主机”的总称。）

关键发现

端点安全的最关键的防护目标是为了确保主机、服务器的安全；与之相对的，终端设备已经逐渐成为新的网络边界。

EDR在国内落地的核心价值集中在对未知威胁的应对以及溯源取证；关键技术能力为防病毒引擎、数据采集分析能力、响应策略能力、威胁情报以及安全服务能力。

对于有采购EDR意向的组织，建议从自身的IT能力与安全现状出发，选购适合自己需求的产品。

从市场来看，EDR在政府相关机构的占有率较高，购买驱动力以合规为主。

国内信创市场会极大增加对EDR的需求，未来三年内，信创产业极会推动EDR的市场扩展。

从未来长远发展来看，EDR主要会趋向成为更为整体的解决方案中的一个关键能力，但同样可能会有以EDR为核心的整体解决方案。

EDR概念以及核心价值

EDR概念

数世咨询基于Gartner对EDR的定义，认为国内的端点检测与防护概念如下：

端点检测与防护（Endpoint Detection and Response，EDR）是一种基于采集、记录并存储数字环境中各端点行为数据与状态数据，并对数据进行关联分析，以应对威胁的安全能力：通过对端点数据的分析，检测出环境存在的威胁，并能进行隔离、查杀等响应手段；同时，对已发生，以及正在发生的安全事件，实现追踪溯源；针对潜在的风险（如二次攻击、有漏洞系统等），基于客户的需求，提供一定的修复与保护建议。最终，实现包括主机在内的整个数字环境中，对未知威胁与高级可持续威胁的检测与响应。

EDR核心价值

基于以上数世咨询对EDR的概念理解，数世咨询认为EDR的核心价值有以下三点：

1.未知威胁与高级可持续威胁检测

如今的数字环境攻防状况，最大的威胁是未知威胁，以及潜在的APT攻击。然而，传统的端点杀毒软件由于依赖规则库，无法应对这些基于未知漏洞，以及基于人员的威胁。EDR基于各个端点数据的关联分析能力，不仅能够通过IOA，还能够通过IOC，发现遭到攻击的设备，将受害情况尽可能在早期限制在可控制范围内。

2.威胁响应

在对威胁的检测之上，EDR还需要能对发现的威胁采取一定的措施。除了传统的杀毒软件中会进行的查杀行为之外，EDR更需要能尽可能将威胁控制在受攻击端点的隔离能力。因此，微隔离技术能够和EDR结合，更好地实现威胁控制。

3.溯源取证

对于现代的数字攻防，需要的不仅仅是能够防住攻击，更需要的是知道那些已经对自身环境实现了数个攻击步骤成功的原因。因此，就需要能对检测到的攻击进行溯源。基于端点的数据信息，通过对攻击的追踪溯源，发现自身端点设备中存在的安全隐患，从而采取后续的安全手段，降低之后攻击的成功率。

EDR市场指南

EDR市场调研

• EDR在数世咨询定义的市场成熟度，概念市场、新兴市场、发展市场与成熟市场四个阶段中，位于发展市场阶段。在数世咨询发布的《中国数字安全能力图谱》中属于“信息基础设施保护”维度中的“端点安全“技术领域。

• 根据调研，国内最早EDR相关产品出现在2016年，头部厂商从2017年开始进入EDR市场。

• 据本次调研统计，2020年国内EDR市场规模约在10.45亿元左右，综合各家提供商的判断，预计2021年将达到15.46亿元左右，2022年将达到20.08亿元左右。在未来几年，信创产业将成为EDR能力主要的市场突破口。

• 在参加本次EDR安全能力调研的安全厂商中，EDR安全能力的平均收入为8710.41万元，但收入标准差则高达5425.63万元。EDR的市场占有相对明显。

• 据调研目前EDR交付模式主要可分为三种：单一标准化产品、定制化及运营产品以及集成模式。其中主要以“单一标准化产品”交付的比例占62.45%、以“定制化运营产品”形式交付占12.47%，集成模式占21.35%。另外，订阅及其他模式占3.46%。 

• 从销售方式来看，厂商直接销售和通过渠道销售占比差距不大。但是，在调研过程中发现，对于单一厂商，EDR销售的方式本身呈现两极化：单独厂商本身通过自身直销占比非常高，或者通过渠道销售的占比非常高，很少出现单独厂商自身两种销售方式占比差距很小的情况。

•  如下图所示，国内各行业用户对EDR的投入情况，排名前三的为：地方政府(12.36%)、金融(11.80%)、国家部委(10.49%)。从整体局势来看，国家相关单位、机关对端点安全非常重视。考虑到未来信创产业的发展，国家相关单位在EDR方面的占比会进一步扩大。 

• 从客户的分布来看，华北、华南和华东依然是该领域安全产品的主要客户群体，其中华北占比最高达35.72%，华南其次占21.74%，华东第三占20.95%。 

• EDR的落地推动因素，除了等保合规的政策性因素之外，还因为攻击的形式越来越多样，越来越隐蔽。常规的端点防护手段防不住，传统的特征库查杀方式发现不了，这时就需要基于关联分析的EDR能力对未知威胁进行检测和响应。另一方面，EDR能力中的溯源取证也帮助企业在大型演练活动与日常安全运维当中能够更好地定位攻击来源，从而实现自身的安全目标。

•  EDR的落地难点主要在于客户的IT环境复杂。一方面是本身IT结构复杂，不同资产的关联需要厘清。另一方面在于端点系统本身呈现的多样性增加了环境的复杂程度：信创市场后发先至，会给IT的操作系统环境带来巨大的变化；而随着物联网的进一步发展，企业环境中的物联网设备数量也会增加，包括员工自用的智能手机、平板电脑等，都会成为企业网络的入口，使得企业的端点环境持续变化。

EDR未来趋势

EDR虽然已经不是一个新的概念了，但是在国内落地情况依然处于发展中阶段。从未来来看，EDR能力有以下三个方向。

纯粹安全能力与解决方案

当前来看，EDR作为单一标准化解决方案有着62.45%的部署情况，但是从未来来看，EDR能力会有作为纯粹的安全能力与解决方案的两个变化方向。

EDR本身的出现是为了弥补传统杀毒与EPP的短板，因此其本身就带有一定的附属性质。从能力目标来看，要实现的主要还是针对未知威胁的防御以及溯源效果，其技术核心就是针对端点数据的采集与分析。从这个角度来看，EDR很难单独承担完整的端点安全功能，因此更倾向于作为纯粹实现未知威胁检测与响应，以及溯源能力，作为整体端点安全解决方案的补充。在本次调研中发现，融合源厂商对于整体的端点安全都强调了“EPP+EDR”的部署模式；不少客户对于端点安全软件的使用，依然主要依赖于EPP能力，并不开启EDR能力模块。在未来，当这一部分客户开始意识到EDR的必要性时，会逐渐加大EDR作为纯粹安全能力的收入占比（即作为整体解决方案的一部分或者部分定制化集成与交付）。

同时，CWPP中也提到了对EDR端点数据采集的使用，代表了EDR作为纯粹的安全能力，在主机安全层面会有极大的价值。综合而言，EDR在长远的发展维度，会更趋向于逐渐成为纯粹的安全能力，作为更大规模的安全解决方案的一部分。

另一方面， EDR整体解决方案在未来三年内依然会是比较主流的能力提供方式。但是，作为解决方案的EDR需要更多的改进。在调研过程中发现，不少EDR能力作为整体解决方案出现的时候，不仅仅会提供EDR概念中需要的检测、遏制、溯源的能力，还会有资产管理、虚拟补丁等额外功能，逐渐演化为“以EDR为核心的终端管理能力”。

EDR演化的两个方向其实代表了两种对EDR不同的发展理念：是将EDR作为一种EPP、CWPP或者端点安全总体解决方案的额外辅助能力，还是认为端点的安全应该直接由“检测与响应”出发进行一体化解决方案。

EDR到TDR

随着XDR概念的提出，就开始不断有声音表示EDR即将走到尽头，但事实上并非如此。

EDR的缺陷在于只采集端点侧数据，缺乏和其他安全产品的联动性（如NDR），从而难以将关联分析更进一步扩展到整个环境。XDR概念的提出就是为了解决安全产品之间缺乏协同的问题。因此，XDR即使要进入实践，从当前来看，EDR能力依然是一个核心组件。另一方面，XDR的落地有两个方向：集成平台融合多家不同厂商的产品，或者单独综合性厂商自身完成协同。在前者的方式下，独立的EDR解决方案依然会成为关注点，因为集成平台可以将不同厂商的产品协同到一起，从而让企业能够选择每个领域最佳的产品。

从国内的发展来看，TDR（Threat Detection and Response）更可能成为趋势。无论是“威胁情报”，还是“威胁狩猎”服务，都是从“威胁”的角度出发，而近年来的大型演练活动更突显了这一点：当下，数字环境的核心，是出于“威胁”的应对。无论是检测，还是响应，都只是手段；而检测和响应这两个手段的目的，是为了处理“威胁”。

因此，从“威胁”这个维度出发，构建数字环境的安全体系，会是国内未来的趋势。在这一场景下，端点显然是直面“威胁”的重点区域。对于组织和机构而言，无论是作为独立的解决方案，还是作为TDR中的一个关键组件，EDR能力必然会成为整体安全结构中的重要一环。

信创

在由众诚智库发布的《中国信创产业发展白皮书（2021）》中提到，未来三年内，我国信创市场容量将突破万亿元。这个庞大的市场同样离不开安全。

尤其在国内信创领域还处于初期发展阶段，研发层面会更侧重于能力的实现，这就需要安全厂商的端点能力去补足防护的需求；另一方面，由于信创产业的快速发展，信创系统的更新迭代也会非常的频繁，这也就需要安全厂商能够将自身产品的适配能力跟上信创系统的步伐。

我国关键行业、部门大规模替换信创产品是必然趋势，这给EDR市场带来的绝对的市场机会。但是，能否抓住这一机会，需要技术的积累，以及和信创市场的磨合。

泛终端化

物联网的发展必然会造成企业IT环境中的端点类型越来越多样。IT环境不再是计算机、服务器，以及打印机之类的传统办公网络设备，还逐渐增加了智能手机、平板电脑、工作台等员工个人使用的设备。未来，甚至还可能有更多如智能手表等可穿戴的个人设备出现在企业的网络当中——而这些设备都可能能够进入企业网络，成为隐患的传播者。

这些物联网设备都有两个共性。

一个共性是本身移动性强，难以管理。因为员工会使用自己的设备，但这些设备并不会长久地停留在企业网络中，而是会频繁在企业网络与公网环境中移动，带来了极大隐患。

另一个共性在于设备本身的多样性与复杂性。不同设备会来源于不同的制造商，会采用不同的系统和版本，因此也会存在不同的安全隐患，使得统一管理和对安全事件的溯源更为困难。

因此，EDR未来的方向之一，也会和移动安全与物联网安全产生交集，不仅需要和客户合作产出解决方案，还可能需要和物联网厂商协作，完善在物联网设备的兼容性覆盖面。

EDR SaaS

从国外市场来看，以CrowdStrike为代表的EDR厂商在EDR SaaS上发现了大量的市场需求。EDR SaaS可以借助厂商在云端的能力，得到更多的计算分析能力，同时可以借助云端专家和威胁情报的能力，进一步提升安全分析能力。

尽管说国内不少企业和机关单位对公有云依然保持怀疑态度，但是行业云的发展可以弥补公有云在这些机构中的乏力。因此，行业云、政务云是EDR SaaS未来的巨大市场。一旦相关的行业云、政务云的供应商意识到了EDR SaaS能够给行业内企业带来的巨大安全价值，EDR SaaS的落地也自然水到渠成。