《数世咨询：精准EDR能力白皮书（2023）（31页）.pdf》由会员分享，可在线阅读，更多相关《数世咨询：精准EDR能力白皮书（2023）（31页）.pdf（31页珍藏版）》请在三个皮匠报告上搜索。

1、 北京数字世界咨询有限公司 2023.2精准 EDR 能力白皮书 北京数字世界咨询有限公司 2023.2精准 EDR 能力白皮书2020 年，数世咨询首创网络安全三元论，后进化为“数字安全三元论”，该理论由信息技术、网络攻防、业务应用三个支点与数据安全这个核心构成，其中：信息技术是数字安全工作开展的基础，不清楚资产，何谈保护？没有网络，就没有网络安全；网络安全的伴生、服务和对抗本质，决定了它将永远的场景化、碎片化和动态化；业务应用既是信息技术与网络攻防的成本来源，也是两者最终的价值所在。数字世界以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。数字安全以网络安全为基本手段，以数据安全为

2、核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。数字世界，安全共生！数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委主笔分析师 刘宸宇 首席分析师 李少鹏 分析团队：数世智库 数字安全能力研究院 版权声明本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。目录前言 1关键发现 21定义及描述 31.1EDR 31.

3、2精准 EDR 31.3与传统终端安全产品的区别 42EDR 需求现状分析 62.1传统产品无法有效捕获企业终端面临的新威胁 62.2混合办公、多分支办公等场景下的统一终端安全视角缺失 62.3EDR 缺乏全面有效的监控记录数据支持 62.4溯源分析定位缺少高效的技术手段与数据支撑 72.5仅靠流量安全产品的威胁定位和响应无法闭环 73行业用户场景 83.1分支机构资产纳管攻防演练中的攻击检测与快速响应 83.2APT 攻击的检测与溯源 83.3高危安全事件的终端定位与分析 93.4混合办公、多分支办公等场景下的威胁感知 9目录4关键能力104.1攻击检测能力104.1.1检测准确度104.1

4、.2威胁覆盖度 114.2数据采集能力 114.3攻击溯源分析能力 134.4安全响应能力 145代表企业 155.1CROWDSTRIKE 155.2SENTINELONE 175.3微步在线 196未来展望 226.1EDR 向精准化、一体化等不同的方向发展 226.2EDR 从自动执行向自主决策发展 226.3EDR 依然是 TDR 中核心重要一环 236.4不断提速的信创进程需要与之匹配的 EDR 能力 23 精准 EDR 能力白皮书 1前言经过近 30 年的攻防博弈，国内传统终端安全的需求从最初的防病毒、终端管理、安全审计等，逐步升级为端点防护平台 EPP、终端数据防泄漏等综合解决方

5、案，随着近年来国际形势的变化、国内安全演练活动的举办、机构主管安全意识的普遍提升，端点侧的安全能力需求更加侧重对安全威胁的检测与响应。由此，端点检测与响应（EDR）应需而生。然而，国内目前大部分 EDR 产品及解决方案都是基于传统 PC 防病毒或终端管理产品发展演化而来，核心能力并非原生满足检测与响应的需求。例如，防病毒引擎主要基于病毒特征检测威胁攻击行为，不具备实时威胁情报的支持，同时也缺少上下文关联分析的能力；终端管理产品则重在管理，虽然在应急响应场景中具备一定的批量处置能力，但是对威胁的检出率较弱，安全响应的效能化智能化水平也都无法满足安全团队的需求。与此同时，国际上如 CrowdStr

6、ike 此类以威胁情报为基础具备云原生优势的安全企业已经经过了市场的验证，受到用户、投资人、同行的多方认可。国内有哪些新兴安全企业也具备这样的能力特点，各界莫衷一是。基于上述现状，数世咨询认为在传统终端安全能力与检测响应新需求之间，始终缺少一个以行业调研为基础的 EDR 报告对其做出梳理与阐述。鉴于此，我们协同国内 EDR 领域安全厂商微步在线开展了为期一个多月的调研工作，并在保护用户隐私不泄露任何调研原始数据的基础上，将调研成果整理成为各位读者看到的精准 EDR 能力白皮书。鉴于时间紧迫，调研对象样本有限，报告中难免有遗漏、偏颇之处，请各位读者不吝指正。2 关键发现精准 EDR 是指基于海量