为什么网络安全公司纷纷布局EDR（深度）| 国君计算机

Original 李沐华计算机文艺复兴 2022-12-04

行业深度系列

— 作者：李沐华、邵希夷 —

1.EDR软件是“云-边-端”防护体系重要组成部分

1.1.EDR是传统终端杀毒软件的进化

EDR和传统的杀毒软件区别在于一个是主动防御，一个是被动防御。终端防御与响应(Endpoint Detection & Response，EDR)是一种主动的安全方法，可以实时监控终端设备，并检测渗透到公司防御系统中的威胁情况。这是一种新兴的技术，可以更好地了解终端设备上发生了什么事情，提供关于攻击的上下文和详细信息。EDR可以让你知道攻击者何时进入你的网络，并在攻击发生时检测攻击路径，帮助用户及时对安全事件作出反应。

防病毒软件应用的主要是病毒特征码技术，缺乏主动防御能力，并且后期占用运算资源，增加相应成本。我们每个人都有应用杀毒软件的体验——发现可疑文件后，用防病毒软件的扫描引擎调用病毒特征库，与可疑文件进行匹配，若匹配成功则对该文件做进一步处理，这种方式的局限性在于不能查杀未知病毒，需要经常更新病毒库，病毒样本的采集难度也较大，所以是一种相对比较被动的形式。并且随着特征库病毒样本数量日益增长，加重了终端存储和运算资源需求，响应的过程会影响到用户日常办公，无法适应如云化等新的特定场景（相信大部分人都记得用杀毒软件扫描的时候，电脑会很卡）。防病毒软件专注于预防，但对攻击期间发生的情况一无所知，它能够在病毒入侵系统以前做防护，但是即使正确地做到了这一点，也不能告诉你恶意软件来自哪里，以及它们是如何在系统中传播的。而EDR 描述的是整个攻击过程，并帮助你跟踪可执行文件是如何获得对计算机的访问权限并尝试运行的。

从防病毒软件到EDR，中间还有一个过渡环节，叫做EPP。EPP（Endpoint Protection Platform，终端防护平台）是除了防病毒以外的综合保护终端设备的安全平台，通常包括防病毒、个人防火墙、端口和设备控制等多种功能。它部署在终端设备上，检测和阻止来自应用程序的恶意活动，并提供动态响应安全事件和警报所需的调查和修复功能来预防基于文件的恶意软件。但是EPP针对的主要目标依旧是已知的威胁，EDR的出现主要就是为了弥补传统EPP的不足，能够做到对新的或未知的威胁进行主动检测。Gartner的Anton Chuvakin在2013年7月提出了终端威胁检测和响应 (Endpoint Threat Detection and Response, ETDR) 这一术语，用来定义一种 “检测和调查主机/终端上可疑活动（及其痕迹）” 的工具，后来通常被称为终端检测与响应（Endpoint Detection and Response, EDR）。

除了做主动防御以外，EDR的优势也体现在对大数据和人工智能的应用。通过大数据安全分析技术，运用海量样本数据的深度学习所提炼出来的高维特征具有很强的抽象能力，因此可以应对更多未知威胁。与此同时，因为这些高维特征数量不会随着病毒种类的增加而同步增长，因此具有准确、高效、轻量的特点。EDR的工作流程包括：

检测：一旦安装了EDR软件，它就会使用先进的算法来分析系统上单个用户的行为，并进行记录。

调查：当EDR软件感知到系统中某个特定用户的异常行为，数据会立即被过滤、丰富和监控，以防出现恶意行为。这些迹象触发了警报，调查就开始了，确定攻击是真是假。

关联跟踪：如果检测到恶意活动，算法将跟踪攻击路径并将其重建回入口点。

可视化：然后，EDR将所有数据点合并到称为恶意操作(MalOps)的窄类别中，使分析人员更容易查看。

处理：在发生真正的攻击事件时，客户会得到通知，并得到下一步行动的步骤和建议，以便进行进一步调查和高级取证。如果是误报，则警报关闭，只增加调查记录，不会通知客户。

同时EDR产品更加看重和安全运营中心（Security Operations Center，SOC）以及分析师团队的结合。从EDR的目标设定来看，它对于分析人员的要求相比EPP来说要高，因此将EDR和SOC相结合也是未来大型企业和组织值得考虑的选项。而对于中小型客户而言，则可以将EDR以服务托管的方式获得这个能力。

1.2.EDR是完整防御体系不可或缺的一部分

从Palo alto身上，我们可以看到云-边-端防御体系的重要性，在云时代，能够让用户一站式管理所有安全权限。Palo Alto Networks的下一代安全平台包含了三个核心：新一代防火墙+新一代云端威胁检测+新一代终端安全软件。下一代防火墙代表了传统边界防护，云端威胁检测代表了云安全，终端安全管理软件代表了终端安全，公司的布局是比较全面的云边端安全布局。三个要素之间协同运作、高度整合，在用户划分网络用户部门时，能直接以身份而非IP地址来实现，并给予相应的网络权限，才能让用户轻松简单地实现“一站式安全管理”。

2.市场空间大，政策推动加速发展

2.1.合规政策需求加速EDR对传统防病毒软件的替代

近年来国家对于网络安全的重视上升到了战略层面，驱动网络安全政策法规不断落地，对终端数据安全提出了更为细致的要求，加速了EDR软件对传统防病毒软件的替代。细数最近几年国家对网络安全的立法立规：2016年《国家网络空间安全战略》颁布，2017年6月《网络安全法》颁布，2017年7月《关键信息基础设施安全保护条例（征求意见稿）》颁布，2019年5月，《等级保护2.0》系列标准颁布。其中最新颁布的《等级保护2.0》对恶意代码的防范要求中，要求企业对终端的各类风险进行预警防范，同时要求分散于各个终端设备的数据进行集中管理和审计。这对国内终端安全产品的升级换代提出了新的要求。传统的防病毒软件将难以满足最新的合规需求，终端安全产品的更新换代为EDR创造了新的市场空间。

伴随着终端安全的复杂性和重要性的凸显，终端防护被纳入越来越多领域和行业的考虑范围之中，政府、军工、医疗、金融、教育、工业等各类行业都表现出了相应的需求。比如在今年2月期间，国内就有多家医疗机构感染makop勒索病毒，结合当下新冠疫情防治的背景，和未来线上业务发展的趋势，更加精细化的终端安全需求将被纳入考虑范围中。

2.2. EDR产品未来增速可期

全球终端安全市场已经达到饱和。IDC数据统计显示，2018年全球企业级终端安全市场规模达到49亿美元，预计2022年将达到51亿美元，基本保持稳定。核心原因是作为最基础的安全产品之一，终端安全软件已经走过了漫长岁月，渗透率极高，EDR可以认为是传统终端安全软件更新换代的产品，类似手机的更新换代，将给网络安全公司带来一波新的成长机会。

EDR将成为未来几年终端安全市场持续增长的重要推动力之一。虽然传统的EPP产品仍然在终端安全防护产品中占据着重要的市场，并且保持着平稳的增长，但IDC认为相对于全球整体网络安全市场的发展态势，EPP增速已经明显偏低；与此同时，EDR工具的作用和重要性在全球已经得到了安全企业及最终用户的广泛认可，在未来享有巨大的发展空间。Gartner估计EDR市场在2018年超过10亿美元，相比2017年估计增速50%以上，并且预计到2020年，具有全功能EDR的终端将增加到1.4亿个。市场规模的增长主要来自于部署终端数量的快速增长以及EDR功能的丰富带来的ARPU值的增长。参考目前，仅20%的企业级终端布局了EDR代理，随着现有EDR功能的不断丰富，在全球范围内EDR至少存在5倍以上的增长空间。Mordor Intelligence发布的市场报告预计EDR市场规模预计在2025年达到42.35亿美元，年复合增长率为22.97%。目前全球EDR市场划分明显，北美市场为最大的EDR市场，而增长最快的则为亚太市场。

北美的EDR市场已趋于成熟、稳定，国内EDR市场尚处于起步阶段, 终端安全行业整体处于从被动防御向主动防御及威胁情报过度的初始阶段。目前国内终端安全市场总体规模偏小，约占网络安全行业总规模10%左右，但是未来有较大的发展空间。我们预计2020年国内终端数量约为1亿台，企业级EDR需求终端约占20%，约2000万台，根据产业调研结果，国内安全厂商EDR产品每终端的平均定价在700元左右，可知2020年国内EDR终端市场约14亿元。且当前客户主要以大型企业为主，未来随着轻量级EDR以及服务托管形式日趋成熟，可向中小型客户渗透，将会有更大的市场空间。此外，在最近几年合规需求以及护网行动的驱动下，市场渗透率仍有上升空间。

和国外EDR产品商业模式不同，国内主流EDR产品目前仍延续传统终端安全产品的一次性买断形式。国外EDR产品以每年每终端订阅制付费形式为主，而目前国内厂商EDR产品收入主要为按终端数量计算的license一次性销售和后期服务、升级维保费，首次销售提供2-3年免费维保，后期每年维保费约为软件产品的10-20%。但随着终端安全对于服务团队分析需求的增加，不排除未来有向订阅制模式转变的可能，获得商业模式进化。

3.竞争格局：网安巨头必争之地

从海外市场来看，EDR产品市场呈现出几家独大的局面。全球目前进入Gartner跟踪范围的知名EDR厂商超过30家，但目前排名前9位的EDR厂商拥有83%以上的市场份额(Carbon Black、Cisco、CrowdStrike、Cybereason、FireEye、McAfee、 Microsoft、Symantec和Tanium)，市场集中相对较高。

从本土市场来看，许多安全厂商正通过EDR等新产品切入终端安全市场，外资厂商逐渐退出本土市场为国内厂商提供新的市场空间，终端安全市场格局将发生变化。根据IDC的统计数据，在国内终端安全市场份额方面，2018年奇安信以22.9%的市场份额位列终端安全市场第一，终端安全业务同比增长67.8%，其次为赛门铁克和亚信安全，前三家占据了近一半的市场份额。从2010-2019市场份额的趋势来看，外资厂商正逐渐退出本土终端安全市场的舞台，为本土厂商提供了新的市场空间。2015年亚信安全收购趋势科技（Trend Micro）在中国的业务后，其在本土终端安全领域的份额在一段时期内保持稳定。未来，奇安信和亚信安全基于较强的威胁情报和AI能力仍具有较强的优势，同时其他厂商也在尝试通过新推出的EDR产品在终端安全市场领域后来居上，如深信服于2018年推出的下一代终端安全系统EDR在2019年已经取得良好的市场效果，在终端安全市场中占据了一席之地。

IDC将中国EDR市场参与者大体分为了三类：

典型终端安全厂商持续扩张。利用终端安全领域的长期技术积累并配合自有终端杀毒引擎，形成EPP+EDR的综合终端防护方案，代表性厂商包括奇安信、亚信安全等，考虑到大部分客户EPP和EDR通常选择同一厂商，这类厂商在终端安全市场积累的原始客户群存在较强的粘性，市场占有较为稳定。

综合型安全厂商新进入终端安全行业。综合型网络安全公司可以利用全面的技术能力和市场优势打造专业的EDR工具，并通过技术合作、生态建设等多种方式优化完善终端安全方案，代表性厂商包括深信服、安恒信息、天融信、绿盟科技等。这类厂商经过自身积累的攻防经验，以及在AI、大数据方面的成果，通过近几年新推出的EDR产品向终端安全产品市场探索，快速布局新兴市场。

新兴EDR专业厂商。凭借自身独特的技术能力和产品创新优势，正在成为终端安全检测与响应市场的重要玩家，代表性厂商包括杰思安全、安全狗等。

4.盈利预测与投资建议

推荐布局EDR的网络安全公司，推荐深信服、安恒信息、南洋股份、绿盟科技。EDR作为终端安全领域的新产品，尽管整个终端安全行业增速并不高，但EDR市场会快速爆发，并最终替代传统杀毒软件，我们看好已经布局的网络安全头部公司，EDR将为态势感知提供数据，为公司的安全体系建设提供支援。推荐标的：深信服、安恒信息、南洋股份、绿盟科技。

5.风险提示

1）信息安全行业发展不及预期的风险

信息安全行业收入主要来自于政府和大型企业，安全投入并不产生效益，如果客户收缩安全投入，将导致行业景气度下降。

2）疫情影响政府支出的风险

公司下游第一大客户是政府，疫情影响下，政府可能会压缩支出，导致公司收入增速受到影响。

合规声明：本文节选自国泰君安正式研究报告《EDR软件市场正在兴起，网安公司纷纷布局》，报告入库时间：2020年7月12日，如需报告原文PDF请后台留言。

网络安全相关报告

1. 为什么网络安全公司很难把渠道做好？| 产业调研

2. 甲方怎么看网络安全行业？| 产业调研

3. 海外网络安全和云计算大厂发展趋势（百页PPT） | 国君计算机

4. 专家眼中疫情对网络安全行业的影响 | 产业调研

5. 网络安全公司的渠道战争已经打响