近期，Gartner发布了《Hype Cycle for Endpoint Security, 2022》（2022年端点安全技术成熟度曲线报告），从多个角度分析了端点安全技术的发展情况。

作为全球最权威的IT研究与顾问公司之一，Gartner Hype Cycle 技术成熟度曲线以市场期望/时间的坐标系下技术所处的位置及成熟度为研究内容，是IT界极为关注的技术指导路线图。

“安全和风险领导者必须准备好选择下一波技术，以继续保护端点免受攻击和破坏。EDR 仍然是主流技术，而 XDR 推动了新用例和技术的采用，例如 统一端点安全（UES）、桌面平台即服务（DaaS）、攻击面评估（ASA）/攻击面管理（ASM）、突破与攻击模拟(BAS）、风险暴露管理（EM ）和 身份威胁检测和响应 (ITDR)。”

Bitdefender 在扩展检测和响应（XDR）、端点检测和响应（EDR）和端点保护平台（EPP）中，均被 Gartner 评选为相关领域的代表供应商。

由于完整的报告非常长，我们从中摘录了XDR、EDR和EPP的相关内容，欢迎您阅读。如需下载、查看完整的报告，请到文章末尾。

XDR

状态：在巅峰

分析人：Franz Hinner、Peter Firstbrook

利益评级：高

市场渗透率：目标受众的 20% 至 50%

成熟度：早期主流

定义：
扩展检测和响应 (XDR) 产品是威胁检测和事件响应产品，结合了多种安全工具以满足更多的安全操作需求。主要功能包括安全分析、警报关联、事件响应和事件响应手册自动化。

为什么这很重要
XDR产品可以看作是之前的一些安全操作工具的演变和合并。然而，XDR 产品具有更高的集成度、自动化程度、易用性，并且专注于威胁检测和事件响应。它们还包括针对端点检测和响应 (EDR)、云访问安全代理 (CASB) 、防火墙、身份和访问管理以及入侵检测系统等的安全控制。

商业冲击
XDR 产品降低了管理安全事件的总成本，提高了事件响应团队的效率，并改善了组织的风险态势。有效的 XDR 部署可以更快地自动检测威胁，并通过自动操作缩短响应时间。XDR 工具提供与其他安全工具的深度集成，并可以协调它们之间的响应操作。

完全云原生 XDR 平台的托管和管理成本应该低于它们替代或整合的工具。

驱动力
XDR平台吸引了所有行业中各种规模的组织，因为它们能够自动执行耗时的流程，缩短检测和响应时间，并且通常需要更少的维护。

努力解决由不同安全组件生成的警报的中型组织很欣赏能够使用技能水平较低的资源来操作 XDR 工具的能力。

尽管一些早期的安全运营工具提供类似的功能，但它们的成本、复杂性和持续维护要求对于中型企业来说太高了。

集成和维护最佳的不同安全工具组合所需的人员和技能数量太多。具有所需技能的员工很难招聘和再培训。

XDR 工具通常由安全解决方案提供商提供，这些提供商还拥有一系列基础设施保护产品，其中包括 EDR、CASB、安全 Web 网关、安全电子邮件网关以及网络检测和响应产品。

更先进的 XDR 工具正在与身份、数据保护和应用程序访问技术集成。

障碍
尽管单独提供整体 XDR 产品的供应商名单很短，但采用单一供应商 XDR方法可能会导致搭售。

在应对新威胁方面，大型XDR产品供应商的执行速度通常比同类最佳的初创公司慢得多。

所有 XDR 工具都需要与其他供应商的安全产品进行一定程度的集成，但与其他供应商解决方案的深度集成仍然很少见。

安全产品的功效很重要，但组合中的某些解决方案可能不如同类最佳工具有效。

有可能依赖XDR 供应商提供的威胁情报和检测内容的单一来源。XDR 工具减少但并未消除对知识渊博的操作员和 24/7 监控的需求。

单独的XDR解决方案并不总能满足除事件响应以外的用例对长期日志存储的所有需求，例如合规性、应用程序监控和性能监控。

用户推荐
与安全运营利益相关者合作，确定哪种 XDR 策略适合您的组织。

根据人员配置和生产力水平、IT 联合水平、风险承受能力和安全预算，以及整合目标和现有 XDR 组件工具的存在情况制定决策标准。

制定符合您的 XDR 战略的内部架构和采购政策，其中解释何时以及为何允许例外情况。

规划与长期 XDR 架构战略相关的安全采购和技术淘汰。

支持为信息共享提供 API 并允许从 XDR 解决方案发送自动操作的安全产品。

代表供应商
Bitdefender; Cisco; Fortinet; Microsoft; Palo Alto Networks; Secureworks; SentinelOne; Sophos; TEHTRIS; Trend Micro

Gartner 推荐阅读
《扩展检测和响应的创新洞察力》

《安全编排、自动化和响应解决方案市场指南》

EDR 端点检测和响应

分析人：Paul Webber, Jon Amato

利益评级：高

市场渗透率：超过 50% 的目标受众

成熟度：成熟主流

定义：
端点检测和响应 (EDR) 解决方案有助于检测和调查安全事件、识别攻击并生成补救指南。他们必须分析所有用户、进程和系统活动，并报告设备配置。威胁检测与远程修复相结合。通常会提供响应操作的自动化，并且与其他工具的紧密集成是关键。云服务很普遍，一些供应商也提供本地部署选项。

为什么这很重要
所有暴露在互联网上或托管在内部网络中的系统都可能面临针对易受攻击或未受保护系统的攻击的风险。EDR 是任何分层防御的重要组成部分。它必须部署到所有系统，以便报告配置和遥测、识别异常或恶意活动、揭示高级攻击的策略和技术并提供响应工具。EDR 可防止已知的恶意软件和勒索软件，并可识别高级威胁。

商业冲击
EDR是所有行业必备的保护层，必须应用于所有连接到企业系统或处理数据的设备和服务器。

早期检测和快速响应对于处理可以逃避传统检测的最新威胁和隐秘攻击至关重要。

EDR 是网络保险公司和监管机构要求的强制性安全控制，一些 EDR 提供基本的具有成本效益的勒索软件保险。

驱动力
威胁的性质已经改变。实现 100% 的预防和保护不再可行，旧的端点保护平台 (EPP) 工具应该更新为具有 EDR 功能。隐蔽的恶意软件和勒索软件活动、国家支持的黑客和供应链攻击使用先进的技术来保持不被发现并绕过旧的安全控制。

远程工作加速了云托管解决方案的采用，这些解决方案现在占已安装基础和大多数新部署的 80%。

无文件攻击现在是所有恶意软件类型的常见组成部分，这使得 EDR 工具的行为检测对于对抗高级威胁和不断变化的人为操作的勒索软件活动至关重要。

以组织为目标的高级攻击者已经表明，他们可以禁用保护解决方案，从而使防篡改保护变得至关重要。还需要全面的警报和遥测，以促进早期检测和快速响应。

检测与用户和机器身份相关的漏洞利用和凭证滥用是一项新兴的必备功能。

随着事件的发展，快速实时响应对于遏制威胁并阻止其传播至关重要。

越来越需要增强现有的漏洞管理程序并提供一种方法来减少攻击面，以确保系统不会配置错误并且没有未修补的漏洞。

从 EDR 代理收集的日志和事件也可用于追溯威胁检测和威胁搜寻。

EDR 工具通常会增加管理相邻风险的能力，例如存储媒体加密、应用程序控制和互联网活动。

复杂的攻击需要一种新型的 EDR 工具，这些工具与其他安全工具一起作为一个可组合的安全生态系统整体工作，以最大限度地保护和减少暴露。

障碍
添加复杂的检测和响应功能现在被认为是主流，尽管许多组织仍然缺乏有效配置和使用它们的技能和资源。

EDR 的采用必须伴随着对培训响应者的投资，包括模拟真实攻击的“范围”培训。

云托管的工作负载通常具有截然不同的“敏捷”部署管道，这些管道排除了传统端点安全工具和代理的使用。这会导致分离环境，使用单独的工具来部署敏捷部署的工作负载和容器或无服务器计算。

不保证非 Windows 系统的功能能与Windows系统功能对等。因此，这些系统的端点安全解决方案缺乏完整的 EDR 范围的检测和响应设施。

当与设备不连接到园区网络的当前混合和远程工作模型相结合时，较旧的本地解决方案会出现部署和维护问题。

用户推荐
选择具有单一轻量级代理、简单快速的远程部署和低维护需求的解决方案。

如果内部资源不足，请搜索具有自动操作手册和响应操作的工具。

青睐可快速实现价值的云托管解决方案，以及提供灵活托管的云原生部署（包括多云和混合云或私有云）的供应商。

目标供应商自己提供托管服务，包括警报、监控、事件响应和托管检测

支持能够识别漏洞并纠正错误配置以强化端点以抵御攻击的供应商。

确定可直接访问端点以快速响应问题的 EDR 工具。

指定具有防篡改措施的工具，以确保代理不会被攻击者禁用。

确保数据保留充足，使用归档或低成本长期存储，并满足法规和区域合规性要求（包括日志记录和监控需求）。

代表供应商
Bitdefender; Cisco; CrowdStrike; Cybereason; Microsoft; SentinelOne; Sophos; Trellix; Trend Micro; VMware Carbon Black

Gartner 推荐读物
《端点保护平台魔力象限》

《端点保护平台的关键功能》

EPP 端点保护平台

状态：进入稳定状态

分析人：Franz Hinner、Jon Amato

利益评级：中等

市场渗透率：超过 50% 的目标受众

成熟度：成熟主流

定义：
端点保护平台 (EPP) 可防止针对端点的现有和新出现的未知威胁。EPP 主要防御恶意软件、基于文件和无文件的攻击，继续采用技术和实践来抵御隐形攻击和勒索软件的增长。他们还支持继续远程和混合工作，同时提高调查和补救能力。

为什么这很重要
攻击者对企业端点使用越来越复杂的技术。尤其是勒索软件，已经从相对简单的自动化方法发展为高度组织化的人为操作攻击，其目标是提取公司收入的 1% 到 2% 作为赎金。为了抵御不断发展的攻击，EPP 不断发展以包含端点检测和响应 (EDR) 功能

商业冲击
EPP 被认为是所有组织的基本安全卫生，并已完全部署在 99% 的企业端点上。不可能为所有可能的未来攻击技术预先开发保护，增加了对 EDR 有效检测和响应能力的重视。然而，扩展到 EDR 会增加许可成本、管理工作量和培训要求。

驱动力
EPP 已经适应应对更高级的威胁并打击更隐蔽的攻击者。目前，组织非常重视防止罕见的、长期运行的有针对性的无文件攻击。机器学习和基于云的查找功能是基于签名的本地识别的替代方案。必须具备易用性、低资源利用率和减少维护。代理篡改保护机制是必不可少的。

EPP 的主要创新是更易于部署和管理的云原生解决方案，以及基于行为的检测和分析方面的进步，可以识别不可见的威胁。

操作系统安全性通过改进对以前未见过的攻击的预防、保护凭据、防止内核攻击以及隔离关键安全服务免遭破坏，进一步缩小了 EPP 的范围。此外，虚拟化浏览器和应用程序降低了操作系统受损的风险。

EPP 供应商正在将多种功能整合到一个平台中，以扩大吸引力并将安全保护扩展到 IT 规程，如防火墙管理、设备控制、基于威胁和风险的漏洞管理以及修补。一些提供商甚至在他们的工具集中包括应用程序控制和存储加密管理。

障碍

由于 EPP 支持实时监控和其他高级功能，因此它对整体安全操作至关重要。

EPP 通常是更广泛的安全基础设施组合（例如防火墙、电子邮件安全、安全服务边缘和其他核心产品）中的锚定产品，供寻求更多开箱即用集成的买家使用。

专门的 EPP 供应商正在评估他们如何适应更广泛的安全操作并消除盲点和信息孤岛，以提高事件响应和警报管理的效率。

核心操作系统安全性的提高可能会将攻击者的注意力转移到操作系统之外的应用程序弱点和 BIOS 或固件漏洞上。

更多的隐蔽攻击意味着需要 EDR 功能来检测和响应会绕过仅依赖于预防的 EPP 工具的威胁。这些机制对于识别已经利用可信和现有实用程序的隐身技术来说并不是最佳的。

用户推荐
评估与安全运营事件响应的战略契合度。

寻找适合现有安全人员配置水平的解决方案提供商，以及可以通过广泛的支持和服务菜单和培训来补充员工的解决方案提供商。

评估供应商是否可以在组织缺乏内部资源或技能来运行高级 EPP 解决方案的情况下提供托管服务产品。

支持具有未知项目云查找和良好防篡改保护的解决方案。

寻找可以将大量端点安全功能整合到严格管理的解决方案中的解决方案提供商。

寻求有助于强化和减少攻击面的解决方案。

专注于可以通过手动和自动操作远程修复系统的解决方案。

代表供应商
Broadcom (Symantec); Bitdefender; CrowdStrike; Cisco; Cybereason; Deep Instinct; Trellix; Microsoft; SentinelOne; Sophos; Trend Micro; VMware Carbon Black

获取 《Gartner 2022 年端点安全技术成熟度曲线》完整报告
微信扫一扫，添加 Bitdefender 运营微信，获取完整报告。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课