什么是端点检测和响应

admin 2024年5月14日23:24:06评论3 views字数 22833阅读76分6秒阅读模式

EDR简述

本文非原创文,全部内容均为网络技术文章整合所成。文章不针对任何产品、厂商及其他特定对象。本文所代表观点仅为个人学习整理不代表官方或权威言论。由于本资料所有信息均为国外技术平台获取,故无国内相关厂商信息。

什么是端点检测和响应 (EDR)?

端点检测和响应 (EDR) 是一种端点安全解决方案,包括实时监控和使用自动威胁响应机制收集端点安全数据。

端点检测和响应是 Gartner 提出的一个术语,用于描述一类新兴的安全系统,用于检测和调查主机和端点上的可疑活动,这可以通过利用通知安全团队并实现快速响应的高度自动化来实现。

端点检测和响应系统提供五个主要功能,它们是:

l主动监控端点并从可能表明存在威胁的活动中收集数据

l对收集的数据进行分析,以识别任何已知的威胁模式

l对所有已识别的威胁生成自动响应,以删除或遏制它们

l自动通知安全人员已检测到威胁

l利用分析和取证工具对可能导致其他可疑活动的已识别威胁进行研究

端点保护通常部署恶意软件防护层,被认为是所有组织的基本安全防护。尽管出现了复杂、隐蔽的攻击,但配置良好且维护良好的 EPP 产品仍然可以显著降低恶意软件和针对性攻击的风险。但是,所有行业部门和组织规模都必须重新审视其端点保护方法,并为端点投资额外的功能和保护层,以解决可能逃避EPP检测的更高级的攻击技术。

端点检测和响应现在是任何端点安全策略的主流部分,因此,在此分析中得到了越来越多的重视。现在,大约 30% 的端点受到 EPP 和 EDR 的保护。EDR 部署越来越不仅限于具有成熟安全操作的组织。EDR 的采用主要得益于对高级威胁的防护,但也得益于自动化、编排和托管 EDR 功能的额外吸引力。EDR 创新(如基于行为的检测和基本威胁搜寻)越来越多地包含在端点保护平台中。这种融合也来自市场的EDR端,EDR供应商在其核心检测和响应功能中添加了保护功能。

EDR 解决方案提供检测和调查安全事件、遏制攻击和生成补救指南的功能。EDR 解决方案必须识别和分析活动和设备配置。用户和设备活动的可见性和报告与检测到异常活动时的直接干预相结合。威胁的自动响应和回滚是非常理想的 EDR 功能。与其他工具(如票务和系统管理)的集成和自动化是关键。

XDR 是一种新方法,它提供了结合威胁检测和事件响应工具的单一解决方案,将多个安全产品统一到一个安全操作系统中。例如,XDR 产品可以将防火墙、沙盒、安全 Web 和电子邮件网关以及身份工具组合到一个通用的事件响应功能中。XDR 解决方案使务实的安全组织能够获得更高的运营效率,而无需在 SIEM 或 SOAR 工具中进行复杂的手动集成。

云交付正在成为主流。目前,大约65%的企业EPP市场正在使用云交付的解决方案;但是,大约 95% 的新许可证是云交付的。全面和轻量级事件响应支持等服务也受到买家的更多关注。

Gartner对EPP市场的定义

端点保护平台提供了将代理或传感器部署到托管端点(包括 PC、服务器和其他设备)的功能。这些旨在防止一系列已知和未知的恶意软件和威胁,并提供针对此类威胁的保护;此外,它们还提供了调查和修复任何逃避保护控制的事件的能力。

l勒索软件目前是所有组织面临的最大风险。勒索软件的最新变化包括联盟计划的扩展,数据盗窃和人肉搜索威胁以及人为操作的勒索软件的扩展;所有这些都提高了勒索软件感染对业务的影响。一些EPP解决方案为勒索软件提供网络保险政策,以证明对勒索软件防御的信心。

l远程工作大大加快了云托管产品的采用,这些产品现在占安装基础的 60%和所有新部署的 95%。混合部署产品/服务对于无法承诺 100% 云部署的购买者来说是可取的。但是,买家应该寻找解决方案真正为云交付而设计的指标,而不仅仅是将管理服务器转移到云端。

l无文件攻击现在是所有恶意软件类型的常见组件,这使得EDR工具的行为保护成为一项关键功能。针对组织的高级对手可以逃避任何保护解决方案,使检测和狩猎对于快速事件响应至关重要。EDR现在应该是一项强制性的关键能力;但是,EDR 功能仅部署到 40% 的端点。

l采用EDR工具的最大障碍仍然是操作它们所需的技能和增加的总成本,特别是当后来的采用者部署EDR时。平均而言,EDR功能将使初始成本增加37%,并且采用EDR必须伴随着对培训的投资才能有效。

l为了缓解技能差距,提供监视和警报分类的 MDR 服务正变得越来越流行。MDR服务越来越多地由解决方案提供商自己提供,而不是通过合作伙伴提供。

l最近的SolarWinds供应链攻击说明了EDR的价值和缺点。我们几乎没有证据表明EDR解决方案实时检测到违规行为。但是,EDR 解决方案在事后非常有用,可以检测危害并阻止新发现的恶意行为。但是,EDR 数据存储期应预见到将攻击时间线延长到数周的攻击技术。

lSolarWinds攻击还表明,至少需要更好地集成来自身份和电子邮件的遥测数据,并且需要有效的篡改保护,以确保代理不会被禁用。

l扩展检测和响应功能正在成为 EPP 解决方案的最新关键功能。XDR 提供威胁检测和事件响应工具,将多个安全产品统一为一个通用的事件响应和搜寻工具集。

l所有组织都需要更高优先级的强化指导。EPP解决方案越来越多地提供漏洞分析,一些更高级的解决方案还包括端点配置指南。

lEPP 解决方案还可以添加移动威胁防御以及与统一端点管理的集成,以减轻整体管理负担,并允许进一步整合安全运营和 IT 运营工具。

端点保护平台的核心功能包括:

l预防和防范安全威胁,包括使用基于文件和无文件漏洞的恶意软件

l能够将控制(允许/阻止)应用于软件、脚本和进程

l使用对设备活动、应用程序和用户数据的行为分析来检测和预防威胁的能力

l进一步调查事件和/或在漏洞利用规避保护时获取补救指导的设施

端点保护平台中常见的可选功能可能包括:

l端点设备的清单、配置和策略管理的收集和报告

l操作系统安全控制状态(如磁盘加密和本地防火墙设置)的管理和报告

l扫描系统漏洞并报告/管理安全补丁安装的设施

l能够报告互联网、网络和应用程序活动,以推断出潜在恶意活动的其他迹象

Gartner在其评价准则中提出了所有供应商必须至少提供12核心标准

1.该解决方案必须防范已知和未知的恶意软件,而不依赖于每日代理/定义更新。

2.必须有一个工具来检测基于进程行为的恶意活动。

3.解决方案必须将入侵指示器(IOC)/攻击指示器 (IOA) 数据存储在中心位置,以便进行回顾性分析。

4.必须提供检测和阻止无文件恶意软件攻击的功能。

5.该解决方案必须能够在检测到恶意软件时自动删除恶意软件,即删除/隔离文件/杀死进程。

6.该解决方案必须允许从管理控制台中抑制/忽略误报,而不排除所有保护技术,例如,禁止文件检测,但仍监视行为。

7.主 EPP 控制台必须使用基于云的 SaaS 模式的多租户基础结构,该基础结构由供应商操作、管理和维护。

8.报告和管理控制台视图必须显示完整的流程树,以确定流程的生成方式以及可操作的根本原因分析。

9.必须提供威胁搜寻功能,包括从管理控制台跨多个端点搜索 IOC/IOA(例如,文件哈希、源/目标 IP、注册表项)的功能,即使计算机未连接也是如此。

10.该解决方案必须识别恶意软件所做的更改,并提供建议的修正步骤或回滚功能。

11.必须提供该选项才能将威胁情报/信誉服务集成到管理控制台中。

12.该解决方案必须实现针对常见应用程序漏洞和内存利用技术的保护。

13.当托管终结点设备位于企业网络外部时,解决方案必须继续收集可疑事件数据。

14.必须存在该设施才能对文件夹、驱动器或设备(如 USB 驱动器)执行静态、按需恶意软件检测扫描。

15.所有功能必须在单个代理/传感器中提供,或直接集成到操作系统中。

端点检测和响应有什么好处?

端点检测和响应系统已成为现代安全团队的清单项目。 EDR 以多种关键方式保护数字边界免受已知和不断演变的威胁和安全问题的影响。

首先,监控数据的全面收集使 EDR 系统能够编译潜在攻击的完整视图。对所有端点(在线和离线)的持续监控简化了分析和事件响应。这可以进行深入的分析和洞察,以便专业人员能够了解组织网络的异常和漏洞,从而更好地为未来的网络犯罪事件做好准备。对每个端点威胁的检测都超越了传统的防病毒软件,EDR 能够对各种威胁提供实时响应,让安全团队能够实时可视化潜在的攻击和威胁,即使它们正在演变。

这可以通过在发生严重损失或妥协之前在初始阶段切断攻击来防止损失。实时响应还可以让组织发现网络上的可疑或未经授权的行为,在威胁影响运营之前找到威胁的根本原因。最后,EDR 系统可以与其他安全工具集成,使来自端点、网络和 SIEM 的数据相互关联,从而更深入地了解不良行为者试图获得未经授权访问数字资产的做法和技术。

为什么端点检测和响应很重要?

威胁形势不断变化,新病毒、恶意软件和其他网络威胁每天都在出现。为了应对这种不断演变的威胁,实时收集和检测可能的异常变得越来越重要。

越来越多的流动劳动力加剧了这些挑战。当员工远程连接时——Covid 大流行加速了这种情况,用于访问组织数字资产的端点通常是员工所有的。这些 BYOD 设备可能由员工的家人共享并在其共享的网络上,因此可能在员工不知情的情况下感染恶意软件。

通过采用 EDR,组织可以通过以下方式帮助缓解这些挑战:

l识别和阻止可能执行恶意行为的可执行文件

l防止 USB 设备被用于未经授权的数据访问或下载机密或受保护的信息

l阻止可能感染端点设备的无文件恶意软件攻击技术

l控制脚本的执行

l防止恶意电子邮件有效负载引爆其附件

l防止零日攻击,并防止它们造成损害

EDR 还可以与第三方威胁情报服务合作,以提高其端点安全解决方案的有效性,因为它们的集体情报可以提高 EDR 识别零日攻击和其他多层漏洞的能力。许多端点检测和响应解决方案现在正在结合机器学习和人工智能 (ML/AI),通过“学习”组织的基线行为并在检测到攻击时使用该信息来解释结果来进一步自动化流程。

端点检测和响应如何工作?

端点检测和响应的工作原理是监控网络和端点上的流量,将可能与安全问题相关的信息收集到中央数据库中以供以后分析,并促进对威胁事件的报告和调查。

并非所有 EDR 解决方案都是平等的——它们执行的活动范围可能因供应商而异。典型 EDR 解决方案的关键组件包括:

l数据收集代理。这些代理安装在端点上,监控并收集正在运行的进程、与网络和设备的连接、活动量和数据传输的数据

l中央枢纽。这个集成的中心收集、关联和分析收集的端点数据。中央枢纽还协调对直接威胁的警报和响应

l响应自动化。 EDR 系统利用规则(通常是预先配置的)识别收集的数据何时表明存在已知威胁并触发自动响应,例如提醒安全人员或将用户注销系统

l取证和分析。 EDR 可以包括取证工具,以帮助根除威胁或执行事后分析,实时分析有助于快速发现与现有预配置规则不匹配的威胁

EDR 和防病毒软件之间的区别

EDR 解决方案可被视为传统防病毒程序的超集,与较新的 EDR 解决方案相比,其范围有限。这样,防病毒软件就成为了 EDR 解决方案的一部分。

防病毒执行基本功能,例如扫描、检测和删除病毒,而 EDR 执行许多其他功能。除了防病毒之外,EDR 还可能包含多种功能,包括监控、白/黑名单等,所有这些都旨在针对已知和新出现的威胁提供更全面的保护。

由于数字网络边界已扩展到任何地方,传统的防病毒软件无法再保护用于访问公司资源的所有各种设备。端点检测和响应系统更适合防御高级网络攻击,而 EDR自动响应有助于确保IT 团队不会因为试图保护组织免受攻击而超负荷工作。

由于威胁形势的快速演变,这一点变得越来越重要。由于不良行为者正在改进他们的攻击并利用高级威胁进入网络,简单的基于签名的防病毒软件无法及时检测到零日或多层威胁,而 EDR 系统可以检测到所有类型的端点威胁,提供对已识别的人的实时响应。

图 端点保护平台的魔力象限

         什么是端点检测和响应

供应商优势和注意事项

公司名称

简介

优势

缺陷

Bitdefender

GravityZone平台将 EPP、端点检测和响应 (EDR)以及网络分析作为云托管或本地解决方案相结合。Bitdefender还提供托管检测和响应(MDR)服务。

Bitdefender继续投资于提高检测精度,强化和补丁指导。它提供了良好的代理性能以及对各种操作系统的支持。

Bitdefender最适合B型和C型组织,适合北美和欧洲、中东和非洲地区那些想要全面、单一解决方案的组织。

Bitdefender拥有一支庞大的研发团队,专注于威胁研究,并且在基于文件和无文件的恶意软件防护测试中始终表现最佳。

Bitdefender为物理,虚拟和云平台提供单一的模块化代理,并为所有端点/服务器安全管理提供单个SaaS控制台。它还为中型企业提供了补充性安全工具,例如补丁管理,电子邮件过滤,移动性和文件沙箱。

由许多检测层和自动响应操作支持的低开销EDR产品在客户体验方面具有很高的排名。事件响应 UI 提供了良好的可视化分析功能,并详细介绍了映射到 MITRE 技术的可疑行为。

Bitdefender提供了许多可以减少端点攻击面的功能,包括用户风险,应用程序控制,漏洞和配置管理,修补,全盘加密,Web内容过滤和设备控制。

Bitdefender EDR 功能缺乏高级威胁追踪、自动威胁源集成、自定义阻止规则、基于角色的高级管理和事件处理工作流。

Bitdefender补丁管理模块,防火墙模块和沙箱分析功能尚不适用于Linux平台。

应用程序控制功能仅适用于本地平台。

虽然Bitdefender已采取措施扩大其企业影响力和销售业务,但Gartner客户之间的心智份额仍然很低,这反映在市场响应能力的低排名中。

BlackBerry

黑莓最近重新命名了所有Cylance产品,包括EPP工具,现在是BlackBerry Protect;EDR工具,现在是黑莓光学;及其MDR产品,现在是BlackBerry Guard。

投资领域包括新的Spark Suites,将BlackBerry的统一端点管理工具与其统一端点安全工具相结合,该工具还包括新的BlackBerry Persona,它结合了持续的用户身份验证,以主动解决被盗凭据,内部威胁和物理设备泄露问题。

对于寻求性能影响较低且脱机运行良好的云托管功能的 B 型和 C 型组织而言,BlackBerry 是一个不错的选择。大多数黑莓客户都在北美。

黑莓提供由EPP,EDR,移动威胁防御(MTD)和Persona组成的黑莓网络套件,该套件在单个控制台下运行。Cyber Suite 可跨所有端点设备类型为客户提供更好的可见性、更轻松的管理和更强的威胁检测。

BlackBerry Protect是一种小型,轻量级,基于人工智能(AI)的检测代理,易于部署和管理,并且能够离线工作,这受到具有隔离/气隙系统的客户欢迎。

BlackBerry Protect 在基于机器学习 (ML) 的保护方面享有盛誉。此保护使用具有机器学习的代理端算法来检测基于文件的恶意软件。BlackBerry Optics使用ML来提供用户和实体行为检测功能。

BlackBerry Optics 提供 EDR 功能,以提供端点可见性和事件响应设施。其最新版本扩展了自定义检测逻辑,并添加了包含MITRE ATT&CK框架的新响应功能。

黑莓在其整个产品系列中继续遭受品牌问题的困扰,因为大多数客户并不认为Cylance是黑莓的一部分。删除Cylance品牌需要大量的客户教育,因为大多数用户都知道黑莓是一家历史悠久的移动设备制造商。

黑莓计划为黑莓端点安全工具发布扩展检测和响应(XDR)解决方案,这是继其他供应商之后发布的。因此,黑莓在这项研究中的市场响应能力排名并不高。

BlackBerry Optics在开发和发布新功能方面落后于竞争产品,因为该公司将Optics过渡到云托管的EDR架构,版本3预计将于2021年第2季度发布。

使用 BlackBerry Protect 时,客户端经常报告高级别的误报检测,需要仔细管理文件夹排除。他们还指出,需要添加BlackBerry Optics进行基于行为的检测,以改善检测结果。

博通(赛门铁克)

赛门铁克的地位反映了其进入市场的战略和执行力,这让成千上万的客户争先恐后地寻找支持或替代方案。

赛门铁克对最大客户的新关注已经成功地向大型企业追加销售了更广泛的产品组合。它依靠全球合作伙伴网络为中小型企业 (SMB) 客户提供服务。

赛门铁克的旗舰解决方案 Symantec Endpoint Security Enterprise (SESE) 和 Symantec Endpoint Security Complete (SESC) 提供云托管的 EPP 和 EDR。赛门铁克广泛的解决方案组合共享一个云控制台。

赛门铁克吸引了全球大型 A 型和 B 型企业客户,他们正在寻找价格极具吸引力的集成 XDR 安全解决方案。

将 EDR 和 EPP 功能集成到单个代理和云管理控制台中,以及广泛的端点(包括移动)和服务器覆盖范围是关键优势。赛门铁克在防病毒有效性测试方面继续表现良好,并在2019年和2020年参加了MITRE ATT&CK第2阶段和第3阶段评估。

Symantec Endpoint Security Complete 包括攻击面减少、移动威胁防御、EDR 以及赛门铁克威胁猎人分析师发现的关键事件。此外,Active Directory 的 Endpoint Threat Defense 还改进了对基于身份的攻击的防护。

赛门铁克改进了其 EDR 功能,包括更好地可视化流程沿袭和行为以识别根本原因、内置行动手册以促进分析工作流程、使用云分析进行自动和手动威胁搜寻,以及用于调查和补救的远程 PowerShell 会话。

采用赛门铁克集成网络防御的客户将能够利用来自多个控制点的洞察进行扩展检测和响应。

Broadcom的收购有一个艰难的开端,渠道混乱,与客户沟通不畅。Broadcom专注于向大型企业客户销售广泛的产品和服务组合,这可能与当前和潜在的中小企业组织不一致,特别是那些支持与EPP供应商建立直接支持关系的组织。

2020 年,赛门铁克停止向企业客户提供直接 MDR 和其他托管服务,从而降低了托管服务的得分。

赛门铁克的 XDR 战略仍然缺乏预构建的粒度事件响应和自动化功能,而是依赖于基于 API 的与第三方安全信息和事件管理 (SIEM) 以及安全编排、分析和报告 (SOAR) 解决方案的集成。

SESC 越来越多地为拥有经验丰富的安全运营中心 (SOC) 团队的大型企业组织而设计。对于管理员经验较少的小型组织来说,其控制和策略范围可能过大。

Check Point

在2021年初,Check Point将It's SandBlast Agent解决方案更名为Harmony品牌。Harmony 提供对检测到的威胁的自动修复以及保护和检测功能,包括机器学习、行为分析和自动沙盒分析。最近的开发改进了与Check Point防火墙的集成,集成了跨多个产品的监控和威胁搜索。

检查点存在于所有区域,其产品适合作为现有检查点客户的所有类型的组织。

Check Point报告称其Harmony解决方案的显着增长,该解决方案以云和本地形式提供。虽然主要部署为云,但本地选项使其在不希望使用基于云的技术的行业中很受欢迎。它在2020年的客户体验方面也得分很高。

Harmony 包括各种保护技术,例如电子邮件网络钓鱼防护、内容解除和检测企业凭据的重用。与网络沙箱有很强的集成,这甚至包括分析过程中的文件视频。

用户界面也经过了重大的重新设计,使其更加现代和精简。从分析攻击链到自动删除工件,非常重视威胁的自动修复。这使得它适用于不太成熟的安全组织,并加快了修复速度。

Harmony还涵盖了Android和iOS等移动平台。Check Point 提供的各种安全产品提供了整合和集成的机会,以简化操作和安全性。Harmony套件将其中的几个组合在一个软件包中,以应对远程工作的挑战。

对自动修复的强调意味着Check Point最近才向Harmony添加了其他解决方案的一些威胁搜索和调查功能,例如在自动修复遗漏某些内容的情况下远程访问端点。

Harmony 的占用空间比许多解决方案更大,无论是在内存方面,还是在安装所有组件时使用的服务和进程数量方面。尽管使用机器学习和基于行为的检测,Harmony仍包括基于签名的保护,需要定期更新。

Check Point在2020年的营销战略和执行方面得分较低,尽管拥有具有竞争力的产品集,并且有可能通过其网络解决方案进入广阔的市场,但未能证明与领先供应商竞争的战略。

Check Point具有有限的托管服务产品。

思科

思科的 SecureX 解决方案是一个 XDR 平台,可将其安全端点的 EPP 和 EDR 与安全分析、威胁搜寻和威胁情报集成在一个视图中,以调查和响应威胁。思科威胁响应现在称为 SecureX 威胁响应,是 SecureX 中的调查和响应功能。

SecureX 是云原生的,内置于每个思科安全产品中,并为每个产品提供集中式编排。SecureX还与各种第三方解决方案集成。

除了投资创建 SecureX 平台外,思科还通过 Orbital Advanced Search 功能和相关自动化行动手册增强和简化了威胁搜寻功能。

思科专注于北美和欧洲、中东和非洲市场,业务遍及亚太地区、日本和南美洲。大多数思科客户是 A 型和 B 型企业。

思科在2021年的市场理解方面被评为高。思科通过 Talos 威胁情报、网络和端点行为分析、案例管理和搜寻以及跨产品响应和调查功能增强其 SecureX 威胁响应功能。

思科安全网络分析 (Stealthwatch) 网络流数据被聚合到控制台中,以便从思科自己的网络设备和其他供应商的设备等发出主动警报。

思科通过最近开发的Orbital查询功能引入了诸如自动化行动手册和简化威胁狩猎等改进,以及思科专家的威胁追踪,以吸引拥有成熟SOC团队的组织;自动化行动手册将吸引资源有限的SOC团队。

思科在全球范围内拥有广泛的培训、托管服务和经销商渠道,并通过 Talos 威胁情报为喜欢托管服务的客户提供托管检测和响应服务以及事件响应服务。

虽然思科安全端点代理已从包含第三方内存中漏洞利用防护中受益,但总体而言,其检测功能不如本魔力象限中的领先解决方案全面。

虽然Windows代理通过AMSI和MITRE ATT&CK集成获得了有用的附加功能,但macOS和Linux OS的功能并不那么全面。

远程 shell 设施与此魔力象限中最好的 EDR 提供商不匹配,导致产品和服务得分低于领先的竞争对手。

思科的SecureX XDR平台更多地吸引了那些还拥有思科网络解决方案(例如Firepower或身份服务引擎[ISE])或Duo身份验证,Umbrella云安全和AnyConnect VPN的客户。

CrowdStrike

CrowdStrike是这个魔力象限的领导者。

其Falcon平台包括一个EDR产品,专注于检测和响应能力,以识别和修复高级威胁;但是,它还具有基于文件的恶意软件防护,利用静态和行为ML来防范已知威胁。

CrowdStrike继续投资于其他功能,例如,收购Preempt Security和Humo,并引入了高级防火墙管理以及移动设备保护选项。

CrowdStrike主要出现在北美和欧洲、中东和非洲地区。产品适合A型和B型组织,没有安全人员的C型组织可以选择使用托管服务;部分或完全托管。

CrowdStrike Falcon在单个代理中提供所有核心EPP功能,客户对附加第三方解决方案的资源利用率和店面表示赞赏。易于使用的管理控制台和简化的部署体验为市场理解和创新提供了高评价。

CrowdStrike作为端点安全的唯一解决方案,在市场上享有盛誉,适用于希望整合其EPP和EDR代理/解决方案的组织。Falcon X 威胁情报和威胁图基于云的数据分析提供了检测高级威胁并分析用户和设备数据以发现异常活动的能力。

CrowdStrike拥有强大的品牌知名度,并围绕其专业服务建立了声誉。Falcon OverWatch和Falcon Complete服务受到高度评价,并受到没有自己的SOC /威胁狩猎团队的客户以及希望成熟/增强其内部安全运营团队的客户的欢迎。

CrowdStrike拥有一个被攻击者高度针对的客户群。因此,它始终如一地及早适应攻击技术的变化。它在MITRE第2阶段评估中取得了积极成果,始终如一地确定了战术和技术。

CrowdStrike Falcon部署通常需要额外的成本选项来提供全方位的功能,与更具包容性的竞争解决方案相比,这会增加总体成本。此外,对于多年合同,CrowdStrike坚持预付款。这反映在此魔力象限中较低的定价得分上。

威胁图标准版在标准选项中仅保留七天的丰富传感器数据;更长的保留选项可作为附加组件提供,其比本研究中其他参与者的默认保留期短。但是,与检测相关的详细信息和摘要在各个选项中分别提供 90 天和一年。

CrowdStrike在满足无服务器云系统安全性和容器工作负载运行时保护的需求方面进展缓慢,尽管容器运行时安全功能已于2021年2月宣布。

尽管收购了Preempt Security并与Proofpoint,Netskope和Okta建立了新的合作伙伴关系,但CrowdStrike的平台还不被认为是一个强大的XDR解决方案。然而,CrowdStrike最近宣布收购Humio,这应该会加强其XDR的故事。

Cybereason

Cybereason是这个魔力象限中的一个有远见的人。

Cybereason 防御平台是一个云原生解决方案,提供 EPP 和 EDR 功能。它还提供移动威胁防御解决方案、托管检测和响应以及事件响应服务。

Cybereason在SOC活动的自动化以及其AI狩猎引擎方面进行了投资。

Cybereason适用于A型和B型组织。其托管服务使其对寻求外包的C型组织具有吸引力。

Cybereason 防御平台在云中收集全面的近乎实时的端点遥测数据流,并将已知恶意软件和跨多个资产的未知恶意软件的行为检测相关联,以显示完整的攻击时间线。该解决方案还可以使用来自选定网络、域控制器和其他外部源(如 Office 365 和 G Suite)的数据。

管理控制台高效且易于使用。威胁调查由根本原因分析、可视化调查、自动化和自定义检测功能辅助。修复选项是自动创建的,可以从控制台跨所有受影响的计算机启动。手动修复由远程 shell 辅助。快速分类操作(如终止过程、隔离或隔离)可以是手动的,也可以是自动的。

Cybereason正在通过合作伙伴产品增强集成功能,提供停用或暂停帐户,强制多因素身份验证(MFA)或删除电子邮件收件箱中的邮件等操作。

Cybereason提供本地或混合部署选项,并支持Windows,Mac,Linux和移动覆盖;此外,它还支持在 Kubernetes 节点中提供无代理保护的容器。PC 策略选项包括从控制台控制 Microsoft 个人防火墙、磁盘加密和 USB 保护。

虽然全球总部位于美国,但Cybereason在美国的市场份额和心智份额仍然很低。

该解决方案不提供任何强化指导,例如漏洞或配置管理或报告。

Cybereason不提供任何网络沙箱解决方案或相关网关,例如安全电子邮件网关(SEG)或安全网络网关(SWG),尽管它确实与G Suite和Office 365集成了API和syslog数据。

新发布的XDR平台中的第三方集成受到限制,Cybereason还没有自己的其他遥测源,例如网络或身份数据。

ESET

ESET是这个魔力象限中的挑战者。

ESET 的产品集合包括端点安全 (EPP)、企业检查器 (EDR)、动态威胁防御(沙盒)、威胁情报和托管服务。

ESET 的旗舰产品 ESET PROTECT Enterprise 已通过云管理、浏览器防篡改功能、Windows Management Instrumentation (WMI) 扫描和 Apple FileVault 2 加密管理得到增强。

ESET 将主要吸引较小的 B 类和 C 类组织,以获得可靠的 EPP 和 EDR 解决方案,该解决方案具有可通过本地服务器管理的轻量级代理。

ESET 将轻量级客户端与可靠的反恶意软件引擎相结合,可获得始终如一的良好恶意软件有效性测试结果。它是机器学习技术的早期采用者。ESET是已发布安全研究的显着来源,可通过其WeLiveSecurity网站获得。

ESET 最近通过 WMI 和注册表扫描、基于脚本的检测和 PowerShell 执行扫描增加了对无文件恶意软件的更多支持。

ESET 管理控制台提供 23 种语言版本,非常适合全球分布的企业和需要区域本地化的企业。

ESET客户对供应商的客户服务和服务质量赞不绝口。在某些国家/地区,ESET 提供免费实施服务。

ESET 在完全采用企业级 EDR 功能和云产品交付方面进展缓慢。

ESET 保护云不管理企业检查器或无代理虚拟化安全性。

ESET 不提供直接面向客户的 MDR 服务;相反,它依赖于选定区域中的独家合作伙伴交付。

ESET 不提供任何漏洞或配置管理功能来帮助主动强化终端节点。

FireEye

FireEye是这个魔力象限中的利基玩家。

FireEye 的 XDR 平台提供端点、电子邮件、Web 云、SIEM 和网络安全,所有这些都由一个通用的 SOAR 控制台提供支持。Mandiant是其服务部门,拥有适合目标行业的安全服务。据报道,FireEye正在与市场保持一致。

最近的投资是预防和调查,以及Linux和macOS功能的检测和扩展(macOS Big Sur支持),身份欺骗面包屑,远程shell和PowerShell恶意事件检测。

FireEye Helix是一个云托管的XDR平台;但FireEye确实提供了一个可以在本地托管的端点管理控制台。

FireEye的吸引力主要在于A型组织,这些组织需要一个具有深度网络威胁情报能力和服务的整体安全平台,并且将其视为特定于EPP的安全供应商。

FireEye 端点安全为端点威胁和勒索软件提供多个防御引擎。它包括Bitdefender防病毒引擎,该引擎可阻止高度流行的恶意软件;和MalwareGuard,这是针对独特恶意软件的FireEye机器学习引擎。EDR 搜寻功能包括查询端点上的实时数据,以及向 Helix 发送不太详细的流事件和元数据。

作为产品组合提供商,FireEye 拥有广泛的安全功能,使其能够跨所有安全控制点协调威胁情报发现,并提供集成的事件响应。FireEye Endpoint Security受益于Mandiant违规调查团队的威胁情报,以及FireEye产品的共享威胁指标。

FireEye 修复选项包括提取完整的取证和威胁伪影,获取已删除或受系统保护的文件(不中断系统操作),以及实时命令和批处理脚本。

FireEye通过两项服务提供全球托管检测和响应:Mandiant托管防御,提供全面的安全服务;以及新推出的“按需专业知识”,使客户能够根据其特定需求定制服务。

FireEye仍然缺乏云原生EPP / EDR SaaS管理产品,用于那些不想围绕Helix标准化其SOAR策略的组织。

管理控制台专为经验丰富的事件响应者而设计。今年,通过反向外壳功能增强了修复能力;然而,调查和补救指导仍然薄弱。

FireEye的默认设置是将数据存储在客户端本地,并且仅在检测到可疑活动时才发送更完整的分类信息。在事件期间,本地数据可能不可访问。事件流程序模块需要以系统日志格式流式传输数据以进行集中存储。

FireEye缺少端口控制和移动威胁防御等一些常见功能,并且不提供系统强化指导。

Fortinet

Fortinet是这个魔力象限中的利基玩家。

Fortinet 是一家平台供应商,提供云安全、防火墙、电子邮件安全、沙盒和端点安全软件等。2019 年对 enSilo 的收购提供了急需的 EDR 功能和遥测功能,以增强 XDR 设施。

2019/2020年的投资重点是增强新收购的enSilo EDR,与Fortinet Security Fabric集成并引入FortiXDR。FortiEDR 增强功能包括攻击面减少、漏洞扫描和应用程序/企业物联网 (IoT) 发现工具。

Fortinet 遍布全球,其产品非常适合寻求集成 XDR 安全平台的 B 型和 C 型组织。

使用多个 Fortinet 产品的客户可以在单个控制台中跨不同的 Fortinet 设备进行统一监视和控制。FortiClient 无缝集成到这个生态系统中。这对于远程用户连接到企业 VPN 时的状态检查特别有用,以确保设备满足 IT 合规性要求。

FortiClient 和 FortiEDR 都具有最小的代理占用空间,并且易于部署和管理。

FortiClient和FortiEDR具有广泛的平台覆盖范围,涵盖了大多数主要的Linux发行版。

在过去的一年里,随着Fortinet收购enSilo,FortiEDR有了显著的改善。

Gartner 认为,在 Fortinet 的网络安全客户群之外,Fortinet 的端点安全解决方案很少被采用。

Fortinet 的核心重点是一个完整的安全生态系统,其中端点安全只是一个组成部分。单独来看,FortiClient 的功能集不如本研究中领先供应商的 EPP 组件完整。

FortiClient 仅提供移动内容过滤,目前没有计划将 MTD 集成为解决方案的一部分。

FortiNet没有参与2019年的MITRE ATT&CK第2阶段评估,因此尚未在公开测试中评估其使用FortiClient和FortiEDR的全杀伤链功能的有效性。然而,Fortinet参加了3期评估,尽管在这项研究时没有结果。

F-Secure

F-Secure是这个魔力象限中的利基玩家。

F-Secure 在通过专家托管服务提供端点保护方面有着良好的记录,在 2018 年增加了 EDR 及其 Countercept MDR 服务,并从 2020 年第 1 季度开始引入威胁搜寻。

最近的投资包括通过其Blackfin AI研究流和新的威胁追踪功能开发先进的ML模型和异常检测。

F-Secure 的主要市场是 EMEA 地区,在全球所有其他地区都有业务。F-Secure 客户通常是 B 类和 C 类中型和小型企业,而 Countercept MDR 服务和咨询客户通常是大型企业。

F-Secure 在其云解决方案中对 Linux 保护、代理资源利用率和部署选项进行了增量改进。Windows和Mac代理现在添加了响应选项,包括自动化,对Mac和Linux的更广泛检测以及改进的补丁管理。

对服务器的保护也得到了增强,在 DataGuard 设施中提供了应用程序控制、防篡改和勒索软件恢复能力,以及灵活的基于使用情况的月度订阅。

威胁追踪现在是EDR解决方案的一部分,与新开发的Blackfin设备级AI一起检测异常活动并提供更多的自动化响应机会。

F-Secure 的 EDR 产品在今年的魔力象限中获得了良好的创新成绩,易于设置和使用,并且具有一个独特的选项,可以直接从控制台向 F-Secure 的威胁猎人提升警报,并具有两小时的 SLA。

与本研究中的领先解决方案相比,F-Secure的第三方SIEM和SOAR集成机会更有限。虽然其XDR平台目前仅限于EPP / EDR和Microsoft 365遥测,但更广泛的功能正在路线图上。这些点导致视力完整性评级较低。

虽然 F-Secure 主要通过咨询和 MDR 业务向北美市场扩张,但该地区客户还有更多成熟的竞争性 EDR 解决方案。

F-Secure 在开发本机云工作负载保护以及容器和无服务器解决方案方面进展缓慢,因此不是部署这些工作负载的组织的首选。

在这项研究中,F-Secure没有一些领先供应商的全球影响力或广度,因此在地理覆盖范围方面的得分较低。

McAfee

McAfee是此魔力象限的领导者。

McAfee开发了新的 MVISION 战略,将McAfee产品组合整合到 XDR 解决方案中。McAfee的标准终端产品将勒索软件回滚等高级保护功能与本机操作系统功能相结合。McAfee 的高级 MVISION EDR 软件包现在包括 MVISION Insights,它可以确定威胁和对策的优先级,并相应地指导响应人员。

产品主要存在于北美和欧洲、中东和非洲,适合 A 型和 B 型组织,也可选择没有安全人员的 C 型组织。

McAfee MVISION Insights是其核心平台产品的一个受欢迎的补充,允许用户管理其攻击面并在攻击发生之前抢占攻击。这提供了其他解决方案中看不到的差异化功能集。

MVISION EDR现在针对MITRE ATT&CK框架绘制威胁,这有助于McAfee在MITRE评估中一致地识别技术;此外,自动化的AI引导调查功能使用MITRE ATT&CK框架来推动更快,更轻松的警报分类。

MVISION EDR 包括广泛的修复功能和高级 SOC 工作流功能。用户界面易于使用,EDR 功能现在与市场领先的同类产品相匹配。

McAfee 继续提供广泛的操作系统支持,特别是对于那些仍然需要旧版和旧版操作系统代理和/或仍然需要本地解决方案或应用程序控制等附加组件的客户。2021年运营得分高,因为所有地区的各种客户支持和培训设施都获得了高分。

McAfee 在将其传统客户群转换为 MVISION 方面进展缓慢。其许多客户端仍在使用本地版本的 McAfee ePolicy Orchestrator (ePO) 和 McAfee Endpoint Security (ENS)。

对于某些 McAfee 客户,从旧版本的 McAfee ePO 和 McAfee VirusScan Enterprise 到 McAfee ENS 的升级仍在进行中。研发工作和销售重点是云解决方案,本地客户应尽快升级。

McAfee已宣布正式发布其 XDR 解决方案。但是,为 XDR 做出贡献的产品尚未包括网络流量分析、云访问安全代理 (CASB) 或用户和实体行为分析 (UEBA)。

托管检测和响应解决方案于去年推出,尚未得到客户的广泛采用。

微软

微软是这个魔力象限的领导者。

Microsoft Defender for Endpoint (MDE) 从单个云托管的控制台和数据湖中提供一套集成且全面的 EPP、EDR 和威胁搜寻功能。Defender Antivirus在Windows操作系统中提供的本机保护和预防被广泛使用并受到客户的欢迎,并且还被此魔力象限中的其他供应商所利用。

微软在2020年投资了其操作系统覆盖范围,引入了重要的新macOS和Linux保护功能,并开发了威胁和漏洞管理以及攻击面减少增强功能。微软还增加了对Android和iOS设备的覆盖范围。

微软在全球范围内吸引所有组织类型,尤其是大型企业。

微软今年在市场理解和创新方面继续获得高分。Defender for Endpoint 和 Windows 10 中内置的保护引擎在这一年中呈指数级发展,并在每个 Windows 版本中添加了新功能,以创建一组全面的安全层。

macOS 和 Linux 操作系统现在还具有端点保护以及威胁和漏洞管理选项,这些选项完全集成到同一管理和报告控制台中。

所有 Defender 产品共享一个通用的云托管控制台、底层数据湖和 API,从而实现统一的威胁搜寻、出色的自动化并创建真正的 XDR 平台。

Microsoft 已将 Defender 365 控制台与所有 Defender 产品之间的协调预防、自动修复和威胁搜寻统一起来。其他新增功能包括威胁情报报告和学习中心,使查找产品培训变得更加简单。

Microsoft 不为已达到其支持生命周期终点的 Windows 旧版系统提供支持,尽管许多组织仍然拥有大量此类系统。缺乏传统支持意味着微软的市场响应能力得分较低。

对于维护气隙网络和/或不直接将(例如,服务器或工作站)工作负载连接到 Internet 的组织,云托管解决方案是不切实际的,因为没有在本地托管控制台的选项。

提供 MDE 的 SKU 和不提供 MDE 的 SKU 在功能和成本方面存在巨大差距 ,因此,一些组织无法证明 Microsoft Defender for Endpoint 的成本溢价是合理的。对于这些客户来说,在安全捆绑包之外单独许可 Microsoft Defender 也不具有成本效益。这导致在2021年销售执行/定价魔力象限中的得分低于领先供应商。

(E5)中央威胁专家设施并不等同于竞争供应商更定制和定制的MDR服务,而为缓解威胁搜寻的复杂性而开发的Kusto查询语言没有兑现这一承诺,因为它学习和使用起来很复杂。

熊猫安全

熊猫安全由WatchGuard全资拥有,是这个魔力象限中的利基玩家。

Panda更名的Cytomic Covalent是一个完整的EDR解决方案,包括用于加密和修补的模块,以及用于增强监控和报告的Cytomic Insights。其他功能包括设备控制、Web 访问控制、数据丢失防护 (DLP) 和系统管理。

Panda在其Cytomic EDR和Orion产品中投资了更丰富的EDR功能,以及与第三方安全工具的重要SIEM集成和其他API连接。Panda的端点解决方案预计将于2021年夏季集成到WatchGuard统一云平台中。

Panda最适合EMEA的B型和C型组织,计划于2021年扩展到北美。

Panda将EDR和MDR服务与附加工具相结合,可满足端点保护以外的各种安全需求,例如加密,漏洞和补丁管理以及设备控制。与它们取代的早期Adaptive Defense 360相比,这些更好地集成到更名的Cytomic和Orion软件包中,使Panda的产品得分高于之前的魔力象限。

Panda支持全面的操作系统,包括虚拟化系统和虚拟桌面基础架构(VDI)桌面的覆盖范围,并增加了Android移动设备安全性。

Panda通过专家团队提供一小部分未识别或未知物品的100%证明,从而降低误报和错过检测的可能性。

母公司WatchGuard在美国和其他地方拥有现成的经销商渠道,极大地扩展了Panda产品的覆盖范围,但也提供了一个有趣的机会,将端点和网络安全遥测相结合进行分析和狩猎。

Panda尚未开发云工作负载保护,以及容器和无服务器安全解决方案,因此它主要吸引具有传统服务器托管的客户。

将MITRE ATT&CK分类集成到警报和威胁可视化中并不像本研究中的领先供应商那样全面,他们已经添加了这些增强功能。

虽然它自己的传感器和遥测技术集成度更高,并且可以使用威胁搜寻,但当前的平台并不具备领先的XDR系统的自动化,分析和可扩展性。但是,预计将在2021年下半年整合来自公司更广泛产品组合的更多遥测源。

熊猫对A型企业客户的吸引力有限。因此,今年的整体生存能力得分较低。然而,供应商声称,由于其新的所有权和相关机会,这种情况将有所改善。

SentinelOne

SentinelOne是这个魔力象限的领导者。

SentinelOne的Singularity平台,其XDR解决方案,于1H20推出。它将第三方集成添加到新的云平台和数据湖上托管的现有EDR和威胁追踪中。通过最近收购 Scalyr,XDR 解决方案得到了进一步的增强。

2020年的投资包括通过Storyline Active Response功能提供更多自动化缓解选项,以及其Ranger产品中新的物联网发现和保护功能。

北美和EMEA市场是SentinelOne的支柱,向印度和中东的扩张是目标。它具有适合每个区域中所有组织类型的选项。

SentinelOne 客户列举了易于部署、出色的及时性和客户支持质量以及有效的保护,所有这些都在本次分析中得分很高,并反映在今年魔力象限中对其产品和服务的评级中。

由于该解决方案已经过重新设计以利用微服务架构,因此提供了灵活的托管选项,以适应所有客户和快速/频繁的功能更新。

SentinelOne增加了对容器和无服务器工作负载的支持,特别是Kubernetes动态工作负载,并增加了运行时保护和简化的部署。

SentinelOne在MITRE第2阶段评估中表现出色,对战术和技术的一致识别以及高检测率和很少的失误。

虽然SentinelOne专注于将第三方集成到Singularity控制台中,但其自己的传感器系列并不像其他XDR平台那样全面,而且SentinelOne没有自己的网络安全源可以添加,尽管它通过Ranger进行了设备发现。

虽然 SentinelOne 拥有自己的 Vigilance MDR 解决方案、第三方托管服务提供商 (MSP) 和扩展的经销商网络,但 SentinelOne 在其托管服务的范围和范围方面尚未达到一些魔力象限领导者的得分。

从其他企业解决方案迁移的新 SentinelOne 客户将错过附加组件,如功能齐全的 DLP 和其他未提供的额外功能。

SentinelOne为有气隙和本地管理要求的客户提供混合模式;但是,除非端点代理可以将遥测数据转发到云,否则该解决方案将缺乏高级分析和威胁追踪。

Sophos

Sophos是这个魔力象限的领导者。

2020年3月,私募股权公司Thoma Bravo完成了对Sophos的收购。

Sophos Central 是用于 EPP、EDR 和 MTD 的单一控制台,可在所有端点类型中提供更好的可见性、更轻松的管理和更强的威胁检测。它还管理磁盘加密,服务器保护,防火墙和电子邮件网关。

投资主要集中在 Sophos Central 云托管解决方案上,包括对实时响应、取证和设备发现数据的增强。

Sophos 最适合 A 型和 B 型组织,为没有安全人员的 C 型组织提供选项。客户主要分布在北美和欧洲、中东和非洲地区。

Sophos 是首批在安全工具之间提供 XDR 式集成的供应商之一。

Sophos 的托管威胁响应在 2019 年 6 月收购 Rook Security 后为其 MDR 提供了扩展功能。

Sophos 添加了更好的威胁搜寻功能,专门针对大型企业客户。

Intercept X客户端继续报告对产品防范大多数勒索软件的强烈信心,并且能够回滚由逃脱保护的勒索软件进程所做的更改。

本地功能缺乏与 SaaS 版本的功能奇偶校验,导致客户端无法获得最新功能,除非它们迁移到云产品/服务。

Intercept X代理的足迹很大,这在大流行带来的新的在家工作现实中尤其成问题。客户端报告低带宽用户难以安装软件更新。

Live Discover使用非常详细的SQL级界面,对于某些管理员来说,这种界面过于技术性,但预构建的查询可以在界面中和通过社区论坛获得。某些客户端报告了脱机设备的问题以及数据同步到云的相关延迟。

Sophos没有参加MITRE ATT&CK评估的第一和第二系列。

趋势科技

趋势科技是此魔力象限的领导者。

趋势科技通过Apex One平台提供了广泛的功能,并且可以通过XDR附加组件添加更高级的EDR功能,以与其产品组合中的其他安全工具集成。该供应商为所有当前和许多旧版操作系统提供支持,并提供本地、云和混合管理选项。

最近的投资包括用于检测和响应的XDR平台,以及建立一套全面的云工作负载和容器安全工具,统一并更名为Cloud One。

趋势科技最适合 B 类和 C 类组织。它的业务遍及全球,但在亚太地区最受欢迎,尤其是日本。

广泛的平台覆盖范围,包括云工作负载和容器,以及通过 Apex One XDR 集成到其他安全工具(如电子邮件和网络流量分析 (NTA))中,可提供更高的可见性和响应能力。

漏洞管理包括优先指导和虚拟修补,可以在修补之前缓解漏洞,再加上对各种旧平台的支持,这意味着对于需要支持遗留系统的组织来说,这是一个不错的选择。

趋势科技对其云产品表现出坚定的承诺,并在将其现有客户迁移到云解决方案以获得与新平台相关的优势方面取得了良好进展。

趋势科技拥有一套全面的应用程序控制功能,这些功能超越了简单的块列表,还允许管理员定义自己的受控应用程序。

端点代理具有较大的占用空间之一,与其他供应商不同,它需要定期更新检测数据和规则以保持保护。

Apex One目前只有有限的响应能力,更高级的威胁追踪工具需要EDR插件。最近才在 XDR 中添加了与云工作负载保护和网络流量分析工具的集成。自动化和工作流功能不如此魔力象限中的其他领先解决方案强大,而是依赖于通过其 API 与 SOAR 工具的集成。

XDR 平台具有与主 EPP 管理控制台不同的工作流和用户界面,并且与其他一些 XDR 解决方案不同,来自其他产品的数据存储具有不同的保留期。

尽管趋势科技在市场上有着悠久的历史和全球覆盖范围,但尽管趋势科技是最早将检测和响应功能相结合的供应商之一,但趋势科技仍被一些Gartner客户视为传统供应商,导致最新解决方案的采用缓慢,座位数量增长较少。

VMware Carbon Black

VMware Carbon Black 是这个魔力象限中的一个有远见的人。

VMware于2019年完成了对Carbon Black的收购。通过此添加,它具有跨端点,网络和云工作负载的安全覆盖范围。VMware还在其合作伙伴生态系统上取得了重大进展,包括与SIEM和SOAR供应商建立的高级下一代SOC联盟。

投资重点是将Carbon Black整合到现有的VMware虚拟化解决方案中,以及将Carbon Black与VMware基于单个云托管控制台和数据湖的不断扩大的安全工具产品组合集成。

产品主要在北美,适合 A 类和 B 类组织,并在托管安全服务提供商 (MSSP) 和事件响应 (IR) 市场中站稳脚跟。VMware Carbon Black 还吸引了拥有云工作负载和托管端点的 vSphere、NSX 和 Workspace ONE 客户。

VMware Carbon Black Cloud 在单个代理中提供了所有四个核心 EPP 功能,客户非常欣赏其易于使用的管理控制台和简化的部署体验。

VMware Carbon Black 提供云原生控制台和单代理方法,可满足多种使用案例,包括 EPP、EDR、端点查询和修复。它用于事件响应中的高级 EDR。Carbon Black在母公司VMware的新所有权下的可行性和运营方面被评为高评级

收购Lastline(沙盒和入侵检测系统[IDS])和Octarine(云工作负载保护平台[CWPP])有助于构建其云工作负载保护能力。

VMware Carbon Black 在 MITRE 第 2 阶段评估中取得了积极成果,具有良好的遥测能力和一致的技术识别能力。

VMware的产品系列,尤其是最新收购的产品,并不像本研究中领先解决方案的等效平台那样久远。

VMware 最近增加了对虚拟化工作负载的覆盖范围,并增加了容器支持。涵盖无服务器工作负载的计划尚未公布。

Carbon Black产品的本地版本不如最新的云托管解决方案先进,VMware仍在从这些解决方案中迁移剩余的少数客户。

希望在没有 Workspace ONE 的情况下使用 VMware Carbon Black Cloud 的客户将体验到缺少的管理和保护功能,例如发现未受保护的设备、管理主机防火墙设置/互联网 URL 过滤和自动化行动手册。

纳入和排除标准

对于 Gartner 客户,魔力象限和关键能力研究可识别并分析市场上最相关的提供商及其产品。默认情况下,Gartner 使用 20 个供应商的上限来支持识别市场上最相关的提供商。纳入标准代表了Gartner分析师认为纳入本研究所必需的特定属性。

魔力象限纳入标准

要获得入选资格,供应商需要在初始研究和调查过程开始时(截至2020年4月1日)满足以下标准:

所有供应商必须至少提供以下四项功能:

1.该解决方案应针对操作系统中的已知漏洞和非操作系统应用程序(所需的示例)实现命名的漏洞防护(虚拟修补)。

2.应为基于风险的脆弱性报告和确定优先次序编列经费。

3.该解决方案应实现可配置的默认拒绝批准列表(具有受信任的更改源)。

4.应提供应用程序隔离,以将不受信任的应用程序与系统的其余部分(容器/沙盒或基于硬件的虚拟机管理程序)分开。

5.该功能应包括访问虚拟机 (VM) 规避感知的云或基于网络的沙盒以进行引爆。

6.端点代理应包括旨在暴露攻击者的基于端点的欺骗(诱饵)功能。

7.供应商本身应提供托管警报和监视服务,提醒客户注意可疑活动(并提供电话事件响应建议)。

8.供应商本身应提供托管威胁搜寻或托管 IOC/IOA 搜索,以检测威胁(不通过第三方或渠道),并提供远程直接事件响应。

9.该解决方案应支持对具有运算符和阈值的数据库的高级查询(即,“显示具有不到一周的新可移植可执行[PE]文件的所有计算机,并且在不到2%的计算机上或未知)。

10.报告应包括基于供应商收集的情报的引导式分析和补救措施,例如,“遏制此威胁所需的后续步骤是 xyz”。

11.应提供报告归因信息和攻击背后的潜在动机的能力。

12.供应商应提供与云管理相同的解决方案,用于容器或面向互联网的系统。

13.应提供将来自多个源的多个警报自动合并到单个事件中的功能。

14.应该能够将来自多个源/传感器的多个弱事件/警报关联并丰富到强检测中。

15.该解决方案应允许跨多个安全产品协调响应,例如,启动更改。

魔力象限排除标准

l如果大多数检测事件不是来自供应商自己的检测代理,并且技术不是由供应商自己设计、拥有和维护的,则可能会将供应商排除在外。使用 OEM 引擎扩充解决方案是可以接受的,前提是额外的代理/传感器不是主要的检测方法。

l如果供应商没有参加前的12个月内独立的、知名的公开测试(例如,病毒公告、AV-TEST、AV-Comparatives、NSS Labs、SE Labs、MRG Effitas、MITRE 等)。)准确性和有效性,它将被排除在外。只有当供应商是 VirusTotal 公共接口的当前参与者时,才会考虑该供应商(如果该供应商与列出的供应商相当,则可考虑其他公共测试参与)。

l供应商总共必须有超过 700 万个企业活动席位,这些席位使用供应商的 EPP 作为其唯一的 EPP。其中,超过 250,000 个帐户必须处于活动状态且帐户超过 500 个席位。这些帐户名称可以向 Gartner 保密,并且不需要参与参考调查。席位数少于必要数量的供应商(如前所述)可能不符合纳入魔力象限和关键能力的主要分析的资格。

l候选供应商只能包括那些将 SMB 和中型解决方案和服务组合在一起的解决方案和服务,以及这些客户所需的企业级、高度可扩展和可扩展的服务。 因此,要求研究中包含的供应商仅限于那些可以在所有规模上充分为所有目标组织类型提供服务的供应商(请参阅用例定义部分)。

l关键能力配套研究中的定义还规定了托管服务的可用性、全球可用的本地化和支持/专业服务设施,以及一系列经销商和对 Gartner 客户使用的操作系统和设备类型列表的全面支持。未能提供这些关键功能中的任何一个都将是纳入本研究的障碍。

用例定义

A型

A型组织,也称为“向前倾斜”组织,在采用周期的早期采用新技术。

类型 A 组织表示最小的组织组。他们拥有预算和人力资源,可以在其环境中快速配置和实施新技术和解决方案。这些组织倾向于专注于满足其业务、技术和安全需求的同类最佳解决方案,并能够根据需要集成、开发或构建定制组件。他们将技术的使用视为竞争优势。他们对风险的容忍度很高,他们技术变革的方法是并行运行项目,让多个团队同时处理技术和业务变更。对于 EPP,这些组织专注于最佳的预防、检测和响应,很少需要托管安全服务 (MSS)/MDR 功能。

B型

B型组织的目标是在技术上保持相对最新,而不会在竞争中遥遥领先或落后。

B 类组织表示最大的组织组。他们通常经历预算和人员配置资源限制,因此,通过权衡早期使用新技术的风险与收益来关注总体价值。他们的重点是技术部署,以提高组织的生产力,产品质量,客户服务和安全性。B型组织通常在考虑实施之前等待技术成为主流。他们的方法往往很温和,经常使用行业内的基准来证明他们对技术投资的合理性。B型组织在选择新解决方案时平衡创新与合理的谨慎。对于 EPP,这些组织专注于预防、检测和响应能力之间的混合方法,这些方法可以在需要时与托管服务相辅相成。

C型

C型组织通常将技术视为费用或运营必需品,并将其用作降低成本的手段。

C类组织代表第二大组。这些组织在预算和人员配置方面面临严重的资源限制,因此,他们更愿意简单地部署和使用具有托管服务附加组件的集成解决方案,这些解决方案可以最好地补充其最少的员工。这些组织等待技术变得稳定,等待获取和运营成本达到最低的四分位数,然后再承诺购买。对于 EPP,这些组织专注于预防,而不是集成的检测和响应功能以及提供托管服务补充的解决方案。

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月14日23:24:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   什么是端点检测和响应https://cn-sec.com/archives/2058118.html

发表评论

匿名网友 填写信息