域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

日前，數(shù)世咨詢正式發(fā)布《主機(jī)檢測與響應(yīng)能力指南》報(bào)告，首次定義了HDR品類，總結(jié)出HDR應(yīng)具備包括Agent、安全視角的資產(chǎn)發(fā)現(xiàn)、安全檢測、安全響應(yīng)等四大關(guān)鍵能力，并從市場執(zhí)行力和應(yīng)用創(chuàng)新力兩個(gè)維度進(jìn)行評(píng)估，制定了HDR能力點(diǎn)陣圖，梳理定位了來自11家廠商的主機(jī)安全類產(chǎn)品。其中，青藤云安全、奇安信在市場執(zhí)行力方面遙遙領(lǐng)先其他安全廠商，但在應(yīng)用創(chuàng)新力方面，微步在線與安芯網(wǎng)盾名列前三，已經(jīng)超過了HDR市場絕大部分主流玩家，成為HDR市場的創(chuàng)新“黑馬”。

據(jù)數(shù)世咨詢發(fā)布的數(shù)據(jù)顯示，相比于HDR在2020年的12.8億營收，2021年?duì)I收規(guī)模達(dá)到了21.56億，增長率高達(dá)68.44%，顯著高于2021年整個(gè)網(wǎng)絡(luò)安全行業(yè)18.6%的年復(fù)合增長率。盡管網(wǎng)絡(luò)安全行業(yè)增速整體放緩，但企業(yè)出于合規(guī)、安全技術(shù)驅(qū)動(dòng)、提升安全運(yùn)行效率及實(shí)戰(zhàn)攻防演練等旺盛需求，可預(yù)見的是，在未來2-3年，HDR細(xì)分市場仍將處于逆勢增長階段，年復(fù)合增長率顯著高于網(wǎng)絡(luò)安全行業(yè)其他細(xì)分市場。

什么是HDR?為何HDR需求旺盛?

HDR，Host Detection and Response，主機(jī)檢測與響應(yīng)，是指以主機(jī)側(cè)為目標(biāo)，以探針(Agent)為基礎(chǔ)技術(shù)手段，采集網(wǎng)絡(luò)、文件、進(jìn)程等多種維度的數(shù)據(jù)并上傳至管理平臺(tái)，輔助威脅情報(bào)關(guān)聯(lián)分析后，以自動(dòng)化策略或人工響應(yīng)處置安全事件的解決方案。

數(shù)世咨詢認(rèn)為，“主機(jī)安全”高增長的驅(qū)動(dòng)因素主要有兩點(diǎn)：

● 新冠疫情加快了國內(nèi)云計(jì)算進(jìn)程，主機(jī)安全作為伴生需求也隨之增長;

● 近年來持續(xù)的紅藍(lán)對抗實(shí)網(wǎng)攻防，對主機(jī)安全提供了有力的剛需支撐。

這些需求促使用戶對主機(jī)安全的接受度越來越高，同時(shí)，也不斷有新的能力“玩家”加入到這個(gè)細(xì)分領(lǐng)域。比如威脅情報(bào)是HDR的重要支撐技術(shù)，微步在線憑借在威脅情報(bào)領(lǐng)域的優(yōu)勢進(jìn)軍HDR市場;長亭科技則以紅隊(duì)技術(shù)聞名業(yè)內(nèi)進(jìn)而殺入HDR領(lǐng)域;安芯網(wǎng)盾則從主機(jī)內(nèi)存安全檢測技術(shù)切入。盡管都初入“主機(jī)安全”領(lǐng)域，但在應(yīng)用創(chuàng)新力方面已經(jīng)趕上甚至超過這個(gè)領(lǐng)域的“主力玩家”，受限于用戶規(guī)模，在市場執(zhí)行力方面還有待加強(qiáng)。

據(jù)數(shù)世咨詢的調(diào)研，主機(jī)安全領(lǐng)域的用戶群體主要集中在金融、運(yùn)營商、科技互聯(lián)網(wǎng)等行業(yè)，結(jié)合前面兩個(gè)驅(qū)動(dòng)因素，數(shù)世咨詢總結(jié)出HDR產(chǎn)品的四大需求點(diǎn)：

● 滿足合規(guī)要求：不僅是“等保2.0“對主機(jī)安全有明確要求，同時(shí)各行業(yè)監(jiān)管部門對主機(jī)安全的重視程度日益提高，并逐漸以結(jié)果為導(dǎo)向，這是HDR的第一需求;

● 安全技術(shù)驅(qū)動(dòng)：運(yùn)營商、金融、電力等行業(yè)用戶主機(jī)數(shù)量動(dòng)輒百萬臺(tái)數(shù)量級(jí)，僅僅依靠邊界防護(hù)早已無法滿足安全需求，作為主機(jī)的最后一道防線，主機(jī)檢測與響應(yīng)也就成為技術(shù)發(fā)展的必然;

● 提升安全運(yùn)行效率：安全團(tuán)隊(duì)希望通過 HDR 產(chǎn)品及相關(guān)解決方案，加強(qiáng)與各兄弟團(tuán)隊(duì)的溝通，提升安全運(yùn)行效率。

● 實(shí)戰(zhàn)攻防演練：實(shí)戰(zhàn)化攻防演練加速了安全需求從合規(guī)到實(shí)戰(zhàn)的轉(zhuǎn)變。因此，HDR 需要的不再是基于特征匹配的傳統(tǒng) HIDS，而是結(jié)合安全基線與外部情報(bào)的有效檢測能力，以及基于精準(zhǔn)告警的快速響應(yīng)能力。

這四大需求，再結(jié)合這些行業(yè)對于業(yè)務(wù)連續(xù)性的苛刻要求，使得傳統(tǒng)EPP、HIDS、CWPP與PC端的殺軟等安全方案都很難滿足，由此催生了HDR這一主機(jī)安全新品類，及其必備的包括Agent、安全視角的資產(chǎn)發(fā)現(xiàn)、安全檢測、安全響應(yīng)等四大關(guān)鍵能力。

HDR四大關(guān)鍵能力，與用戶需求緊密相關(guān)

HDR是基于用戶需求而誕生的品類，這就意味著其關(guān)鍵能力必然與用戶需求息息相關(guān)。在HDR的四大關(guān)鍵能力之中，探針(Agent)是最基礎(chǔ)也是最重要的能力，因?yàn)镠DR主要基于Agent收集的網(wǎng)絡(luò)、文件、進(jìn)程等多種維度數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析并響應(yīng)。

1、Agent是HDR基礎(chǔ)：牢記三點(diǎn)衡量標(biāo)準(zhǔn)

而從用戶需求出發(fā)，Agent最重要的衡量標(biāo)準(zhǔn)包括以下三點(diǎn)：

● 業(yè)務(wù)連續(xù)性是最高優(yōu)先級(jí)，Agent必須輕量設(shè)計(jì)，以避免影響業(yè)務(wù)連續(xù)性。所以不管是老牌的青藤，還是微步在線等新加入者，都強(qiáng)調(diào)Agent輕量設(shè)計(jì)，且具備“自 殺”策略;

● 功能雖多，但資源占用率必須低。主機(jī)要抵御各種網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，就需要盡可能多維的檢測手段，但必須保證不能與應(yīng)用爭奪資源，所以不僅要輕量設(shè)計(jì)，還要“輕量”運(yùn)行，Agent功能模塊化設(shè)計(jì)也是一種有效手段;

● 功能效率是Agent的另一個(gè)加分項(xiàng)。盡管“輕量”是Agent的必備前提，但Agent的真正核心能力還在于安全，如何在“輕量”的前提下，盡可能提高安全能力就成為另一個(gè)衡量標(biāo)準(zhǔn)。也就是資源占用盡量少，功能卻要盡量多，還必須有效。所以威脅情報(bào)、告警精準(zhǔn)、少誤報(bào)，乃至AI能力也是Agent的考量因素。

2、事前預(yù)防：安全視角出發(fā)的資產(chǎn)發(fā)現(xiàn)能力

基于安全視角的資產(chǎn)發(fā)現(xiàn)與管理，是有效檢測與響應(yīng)的前提。針對這些入賬資產(chǎn)，要進(jìn)行主機(jī)層、系統(tǒng)層、應(yīng)用層乃至Web 層等各細(xì)化層級(jí)的資產(chǎn)清點(diǎn)，為后面做到安全基線梳理、快速精準(zhǔn)檢測、快速發(fā)現(xiàn)威脅、快速做出響應(yīng)打好基礎(chǔ)。

所謂“基于安全視角”，不能只從攻防角度來考慮資產(chǎn)重要性，還應(yīng)當(dāng)結(jié)合業(yè)務(wù)優(yōu)先級(jí)、強(qiáng)合規(guī)等要求，從更高的安全敏感度考慮資產(chǎn)重要性，對發(fā)現(xiàn)的資產(chǎn)進(jìn)行分類分級(jí)、統(tǒng)一管理。

3、全面的檢測能力是精準(zhǔn)響應(yīng)前提

由于應(yīng)用環(huán)境的多樣性特點(diǎn)讓主機(jī)運(yùn)行的環(huán)境極其復(fù)雜，可被網(wǎng)絡(luò)攻擊利用的方式也呈多樣化趨勢，作為主機(jī)的最后一道防線，這就要求HDR要具備全面的檢測能力。主要包括以下四點(diǎn)：

● 結(jié)合情報(bào)的脆弱性檢測：通過外部的威脅情報(bào)、漏洞情報(bào)等來發(fā)現(xiàn)主機(jī)及其應(yīng)用存在的漏洞、弱密碼、開放端口以及不當(dāng)配置等風(fēng)險(xiǎn)點(diǎn)，通過修復(fù)風(fēng)險(xiǎn)點(diǎn)來實(shí)現(xiàn)攻擊面收斂目的，降低被攻擊幾率;

● 基于基線的攻擊入侵檢測：經(jīng)實(shí)踐證明，通過HDR可有效降低“噪音”減少誤報(bào)，顯著縮短安全團(tuán)隊(duì)的MTTD/MTTR(平均檢測時(shí)間/平均響應(yīng)時(shí)間)，主要包括系統(tǒng)完整性監(jiān)測、橫向移動(dòng)檢測、兼容性與可擴(kuò)展性等。

● 內(nèi)存安全檢測：“內(nèi)存馬”等無文件攻擊方式已經(jīng)成為今年國家級(jí)攻防演練中的紅隊(duì)常用攻擊方式，針對內(nèi)存安全的檢測也成為HDR的必備檢測能力。

● 容器安全檢測：有別于物理主機(jī)和云主機(jī)，容器主機(jī)是一種較為特殊的主機(jī)應(yīng)用方式，通常安全行業(yè)針對容器安全有針對性解決方案，一般HDR也具備一定的容器安全防護(hù)能力。

4、精準(zhǔn)響應(yīng)能力：向主動(dòng)安全運(yùn)營轉(zhuǎn)變

基于主機(jī)側(cè)的安全響應(yīng)與終端不同，其難點(diǎn)并不在于傳統(tǒng)的攻防技術(shù)或安全服務(wù)，而在于保證業(yè)務(wù)連續(xù)性的前提下，結(jié)合威脅情報(bào)進(jìn)行準(zhǔn)確分析與判斷，利用 HDR 產(chǎn)品與各團(tuán)隊(duì)的協(xié)同，將傳統(tǒng)被動(dòng)應(yīng)急，轉(zhuǎn)變?yōu)橹鲃?dòng)安全運(yùn)營。其主要包含以下三點(diǎn)：

結(jié)合威脅情報(bào)的分析與診斷：Agent采集的數(shù)據(jù)，會(huì)根據(jù)主機(jī)側(cè)安全運(yùn)行基線來篩選掉正常數(shù)據(jù)與噪音，利用威脅情報(bào)對疑似異常數(shù)據(jù)進(jìn)行自動(dòng)化分析。提升“自動(dòng)化分析”的檢測準(zhǔn)確率(縮短MTTD)，能夠?yàn)楹罄m(xù)提升響應(yīng)時(shí)效(縮短MTTR)帶來極大助力。其中威脅情報(bào)的準(zhǔn)確性是極其關(guān)鍵的因素。

HDR產(chǎn)品與各團(tuán)隊(duì)的協(xié)同：主機(jī)側(cè)的安全響應(yīng)，一定要能夠通過HDR產(chǎn)品與業(yè)務(wù)、網(wǎng)絡(luò)、運(yùn)維等兄弟團(tuán)隊(duì)進(jìn)行同步、協(xié)同，這是 HDR 響應(yīng)能力的重點(diǎn)。其應(yīng)包括可視化、核心業(yè)務(wù)、靈活維護(hù)策略、豐富的報(bào)告以及本身的安全性等功能。

基于主機(jī)側(cè)的安全運(yùn)營：從威脅檢測到應(yīng)急響應(yīng)，從分析診斷到部門協(xié)同，前述各項(xiàng)產(chǎn)品能力要結(jié)合“人”形成安全運(yùn)營能力。基于主機(jī)側(cè)相對穩(wěn)定的業(yè)務(wù)、運(yùn)維、網(wǎng)絡(luò)環(huán)境，以主機(jī)資產(chǎn)為核心，以事前收斂、事中控制、事后追溯為原則，結(jié)合威脅情報(bào)能力，實(shí)現(xiàn)一定程度標(biāo)準(zhǔn)化的預(yù)防、檢測、響應(yīng)閉環(huán)。

HDR未來發(fā)展趨勢

如前文所述，用戶加速主機(jī)安全類產(chǎn)品的采購主要基于三點(diǎn)因素：網(wǎng)絡(luò)安全法、等保及關(guān)基條例明確要求的合規(guī)性需求;業(yè)務(wù)上云后需要提升主機(jī)安全能力;以及實(shí)戰(zhàn)化紅藍(lán)對抗攻防演練中，主機(jī)安全已經(jīng)成為最后也最重要的一道有效防線。這些因素驅(qū)動(dòng)HDR未來在市場供需方面，將出現(xiàn)需求與投入雙增長的態(tài)勢。

內(nèi)存馬、無文件攻擊等新的攻擊形式，內(nèi)存安全檢測成為近兩年實(shí)網(wǎng)攻防演練中的必備能力;同時(shí)，疑似攻擊行為在內(nèi)存中一旦形成攻擊鏈條，會(huì)具備更高的可信度。因此，從技術(shù)能力方面，內(nèi)存安全能力將逐漸成為HDR中的標(biāo)配。

隨著紅藍(lán)對抗實(shí)網(wǎng)攻防在用戶側(cè)常態(tài)化演練越來越多，業(yè)務(wù)、運(yùn)維等兄弟部門對 Agent 接受程度也會(huì)越來越高;主機(jī)側(cè)的自動(dòng)化響應(yīng)能力逐漸增強(qiáng)，特別對安全格外重視的行業(yè)，一定程度的自動(dòng)化響應(yīng)能力會(huì)越來越多得到應(yīng)用;威脅情報(bào)的作用與地位會(huì)進(jìn)一步凸顯……這些都促使HDR在應(yīng)用場景方面，以結(jié)果為導(dǎo)向?qū)⒊蔀橹髁鳌?/p>

最后，雖然當(dāng)前用戶對HDR的自動(dòng)響應(yīng)能力并沒有太多要求，但隨著主機(jī)安全需求擴(kuò)展到其他行業(yè)，由于網(wǎng)絡(luò)攻擊復(fù)雜性、安全團(tuán)隊(duì)能力參差不齊、威脅情報(bào)準(zhǔn)確性進(jìn)一步提高、AI等新興技術(shù)深入應(yīng)用等因素的綜合作用，總體而言，HDR將與EDR趨于整合，并且，各類端點(diǎn)側(cè)的安全能力，都將整合為一體化的端點(diǎn)安全能力。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！