安全路透社
当前位置:安全路透社 > 网络转载 > 正文

WitAwards 2017“年度创新产品”参评巡礼 | 从思科AMP看端点威胁检测与响应市场

* WitAdwards 2017互联网安全年度评选「大众投票」已于11月1日正式开启,欢迎准时登陆官网投票

我们去年分析 Carbon Black 这家公司的时候,基本上已经把“端点安全”(或称终端安全)的不同形态说得比较清楚了。就现在看来,已经没有人认为“EPP(端点防护平台)”只是“AV(反病毒)”产品的一个营销花样。不过端点安全领域的营销词汇依然有不少,一般用户看了大概都会眼花缭乱,比如说 NGAV(新一代反病毒)——不同厂商和机构对 NGAV 的定义都存在差别。但绝大部分营销词汇我们是可以忽略的,但有两个词不行:就是 EPP 和 EDR。

那篇文章中,我们就谈到了 EDR(端点威胁检测与响应)的概念:Carbon Black 很早期就提过这个概念,并且还得到了 Gartner 的认可,成为现如今端点安全产品的一个重要类别。从这个词本身看来,其特征在于对端点安全 Detection(检测)和 Response(响应)的注重,而不再只是传统 EPP 时代的 Prevention(预防)。

QQ20171115-054532@2x.png

本届 WIT 评选中的一个大热门,来自思科的 AMP(Advanced Malware Protection,高级恶意软件防护)for Endpoint,按照 Gartner 的分类主要从属于 EDR 类别。不过思科将其称作“新一代端点安全(Next-generation endpoint security)”产品——从我们的理解来看,这应该是指思科 AMP 不仅包含 EDR 的主要特性。但Gartner 在今年 6 月撰写的一篇《The Evolving Effectiveness of Endpoint Protection Solutions(端点防护解决方案的有效性进化)》文章中认为,厂商普遍喜欢用“新一代”这个词汇来装点自己,“不要用‘新一代’这类词汇,现在并不存在新一代解决方案,也没有新一代攻击和新一代供应商”。[1]

不过这篇 paper 给予了思科 AMP 较高的评价,并且细数这一领域的供应商,在三大主要领域的能力:减少攻击面、端点防护执行前的技术,执行后的技术。对于想要在端点安全解决方案方面有所投入的企业组织而言是有价值的。

我们这次期望借由这篇针对思科 AMP for Endpoint 的解读,来谈一谈 EDR 类别产品的实质,以及当代端点安全防护产品应该具备什么样的素质:恰巧 AMP 就是这类产品大而全的一个典型代表,更何况是在思科这种有网络设备基础,以及企业安全防护全面部署的厂商这里。

EPP 是什么?是否即将被取代?

这里需要指出的是,思科 AMP 并非仅针对终端设备部署的产品,我们在早前分析思科新一代防火墙产品时就提到过,思科现如今的防火墙就融入了 AMP 特性;与此同时,AMP 也面向思科的网络(IPS)、web、邮件等各种类别的安全产品(思科的 AMP Everywhere)。但 WIT 评选以及本文只针对 AMP for Endpoint,也就是部署在端点之上的 AMP。

AMP Everywhere.png

首先我们有必要理一理究竟什么是 EDR,以及什么是 EPP——EPP 是当前有着广泛认可度的端点安全防护产品,但由于当前攻击方式愈加复杂暴露了更多传统 EPP 解决方案的局限性,EDR 才开始出现。理解这两者的概念,也便于我们理解 AMP 究竟在端点安全防护中处在何种位置。

思科更倾向于将 EPP 这类产品等同于 AV[2],实际上早年传统的 EPP 解决方案的确和 AV 存在诸多相似性。Gartner 对于 EPP 的定义是这样的:

EPP(端点防护平台)是个将端点设备安全功能汇聚到一台设备的解决方案,这台设备将反病毒、反间谍程序、个人防火墙、应用控制和其他类型主机入侵预防(如行为阻止)能力融合为单一、结合的解决方案。更多高级 EPP 解决方案开始融入漏洞、补丁和配置管理能力,提供更为主动的防护。除了针对恶意程序之外,当代 EPP 产品还包含数据保护特性,如磁盘与文件加密、数据丢失防护(DLP)和设备控制。EPP 市场大部分专注于 PC 终端,但越来越多的解决方案开始瞄准其他移动设备,如平板和智能手机的管理和追踪。[3]

思科将 EPP 和 AV,也就是传统反病毒解决方案放在一起不是没缘由的。EPP 提供的主要能力在于 Prevention,是个预防工具,很大程度依赖基于签名的检测方案,或者各种具有明确指向的 IoC。Gartner 在今年 EPP 魔力象限报告中提到过:

除了 Visionary 象限中的某些新兴供应商,太多 EPP 解决方案的病毒检测技术仍然过度依赖于 IoC,如 IP 地址、URL、文件哈希、注册表键值等。这种静态指标对于攻击者而言,要变更是很容易的事情。[4]

这种比较传统的预防方案,对于有针对性的,以及高级复杂攻击而言是收效甚微的,而且当前的一类攻击趋势是无文件攻击,利用基于脚本的攻击,都是常规的 Windows 工具,如 PowerShell,都可以在不投递可执行文件的情况下进行攻击,这样就能躲避传统的恶意文件检测。

另外一点值得一提的是,FreeBuf 在以往和思科的合作中注意到,思科的安全理念的一大基点在于:入侵和安全事件总会发生,这些事件并不是会不会发生的问题,而是何时会发生的问题。这个理念事实上带来了思科安全产品覆盖攻击前、攻击中和攻击后的思路,其核心在于,安全产品只做预防是没用的,攻击进入到企业内并不稀奇,所以把更多精力投入到检测和响应上才是正确的。我们在先前的很多文章和报告中也阐明过这个理念,这也符合 Gartner 近些年倡导在检测和响应上投入更多精力的思路——但并非所有安全厂商都认同这一理念。

所以在思科针对端点设备的 AMP 之上,这个思路也得以延续,即对“攻击中”和“攻击后”时期有了更多的关注,并着力缩短检测和响应之间的时间窗口。这本身也是 EDR 和传统 EPP 的重要差异所在,EDR 的 D 代表的是检测,R 代表的是响应。

但当代 EPP 的具体情况已经比较复杂。一方面,很多供应商的 EPP 解决方案开始变得完备和多样化,比如比较领先的 EPP 解决方案现如今还增加了漏洞修复程序和应用控制;许多新兴的供应商已经开始给 EPP 加入非基于签名的防护方案(虽然在标准测试中似乎并没有表现出多大的威力);另一方面,大量 EPP 开始融入 EDR 特性,比如说专注于内存利用防护、脚本分析和行为 IoC,针对攻击者的行为方式指标进行检测,包括攻击者的工具、策略和技术。

antivirus-for-business.png

所以我们不能说 EPP 是过时的方案,即便是思科 AMP 这类以 EDR 见长的产品也融入了不少 EPP 的预防安全特性。Gartner 也在今年的 EPP 市场分析中提到,某些企业组织开始考虑用新方案完全替代传统 EPP 方案,这种做法过于激进,很多最新解决方案存在局限性,部分新兴供应商并不提供 EPP 的完整特性,比如个人防火墙、USB 端口防护、数据保护、应用控制、漏洞检测或者企业移动管理方案;且基于签名的防护方案仍然是有效和必要的。所以许多企业组织倾向于将新方案比如 EDR 作为传统 EPP 的补充存在。

就这一点值得一提的是,思科 AMP 在传统 EPP 特性方面包含反恶意程序漏洞评估、应用控制与应用沙盒、应用代码行为监控、端点检测与修复技术;但也存在 EPP 特性缺失,如个人防火墙、端口与设备控制、企业移动管理(EMM)、内存保护、全盘与文件加密(和移动数据保护)、DLP。[2]这一点其实并不让人感觉意外,毕竟思科是做网络设备出身的厂商,而且 AMP 在网络、防火墙、web、邮件等中间设备之上也具有普适性,它并不完全针对端点设备。思科更期望用户能够在企业内部完整部署思科的全套安全解决方案,这可以一定程度弥补 EPP 方案的缺失。

EDR 是什么?这仍是个新兴解决方案

当然了思科 AMP 也提供 EPP 应有的常见预防特性,比如基于签名的检测、首次检测的文件处置,以及实时的恶意程序阻止特性。但这些其实不是思科 AMP 的主要价值所在。思科 AMP 的着力点在于提供端点之上文件行为的可视性、检测恶意行为,并能够对其进行控制并阻止——这就不是传统 EPP 可以做到的事情了。这其中体现思科理念的点就在于,即便某个文件已经通过了初次恶意程序检测,但 AMP 依然对此进行全程追踪。思科安全业务团队 AMP 产品营销经理 John Dominguez 在讲解视频中说:

“我们知道,我们无法阻挡 100% 的攻击,高级恶意程序总能进入内部。所以 AMP 持续记录和分析所有文件在端点之上的行为、进程和通讯,来快速检测入侵。这种持续性记录和分析,为安全团队提供所有端点产品,包括 PC、Mac、Linux 和移动设备之上,所有活动的历史视图。”[5]

这话谈的其实是一般 EDR 类别产品的“检测”属性。有关思科 AMP 在这部分的差异化,我们后面还会仔细谈到。不过从这番话已经不难发现,EDR 建立于这样一个事实:阻挡攻击无法做到 100%,所以传统 EPP 和反病毒解决方案那一套是无法抵御高级恶意程序的。这里我们就可以引出 EDR 的概念了。

298289_0001.png

EDR 是这样一种解决方案:记录端点系统级别的行为和事件(如用户、文件、进程、注册表、内存和网络事件),并将这些信息存储于终端或中央数据库。将已知的 IoC 数据库,与行为分析技术用于持续查询数据,识别入侵前期征兆(包括内部威胁),并对这些攻击进行快速响应。这些工具也能帮助快速调查攻击范围,并提供响应能力。[6]它主要包含的是上图的下半部分。

Gartner 认为,EDR 解决方案需要具备下面四个主要能力:

1.检测安全事件。一般通过端点和应用行为违规,或者通过确认内部或外部发现的 IoC 来自我检测。理想情况下,这种解决方案会基于机密性、严重性和风险,为安全分析人员,对检测到的事件进行优先级排序,以便安排响应行为;

2.在端点上对事件进行控制。这一点确保了网络流量或者进程执行可被远程控制,并将系统与企业网络其余部分进行隔离;

3.调查安全事件。这里的调查功能,必须包含覆盖所有监控端点主要端点事件的历史时间线,这样才能确定技术层面发生的变化(如文件、注册表、网络、驱动和执行活动),以及对业务的影响(如客户数据损失、交易欺诈)。

4.让端点恢复到感染之前的状态。理想情况下,解决方案需要移除恶意文件、回滚及修复其他变化。至少,这类解决方案必须为团队建立修复知道方案,用其工具集施行这样的方案。

某些情况下,我们可以认为 EDR 是 EPP 能力的一次扩张,或者说这两者本身就在发生结合。而 EDR 在端点安全领域还是个新兴方案。Gartner 在调查中提到,截至 2016 年年末,30 家 EDR 供应商授权的 EDR 产品数量大约是 4000 万——而同期 EPP 端点防护产品授权数量为 4 亿。所以 EDR 对 EPP 的市场渗透大约仅有 10%。预计 2016 年末这一市场规模大约为 4.98 亿美元。调查中有 10 个供应商占到市场份额的 75%,即便这些供应商在这一市场的年增长近 2 倍,但 EDR 到目前为止也并非主流市场产品,这与 EDR 产品对安全人员的技能要求较高有关。所以 Gartner 认为专门的 EDR 市场增速可能到 2019 年仍然会比较缓慢。

但当前企业组织数据泄露事件时有发生,企业高管对此担忧也在增加。一些高级和有针对性的攻击能够绕过传统的预防控制,并且在企业内部长期驻留不被发觉,这是 EDR 解决方案增长的契机。另外,如前文所述,EPP 供应商还会持续进入这一市场,但与很多新兴的、专门打造 EDR 方案的供应商相比,在这一项的能力上仍然有所不及。比如思科就更偏向于专门打造 EDR 的供应商。

所以 Gartner 总体上认为,EDR 市场就目前来看仍然是不成熟的。不管是供应商本身在达到上述四个能力方面仍存在上升空间,且企业组织的 SoC 也没有相应技能的安全分析人员能够对 EDR 产生的事件做处理——未来的 EDR 产品也会因此发生一些变化,比如检测能力持续强化、并且更高的自动化程度帮助事件响应人员减负、高可信度事件基于风险进行优先级排序等。

EDR 市场的主要供应商包括有思科、Carbon Black、Check Point、CrowdStrike、FireEye、Cybereason、赛门铁克、趋势科技等。

479995-the-best-hosted-endpoint-protection-services-of-2015.jpg

这部分最后值得一提的是,如 Carbon Black 的前身 Bit9 火起来的原因是,这家公司在端点安全方面专注于白名单方案,而且维护当时据说是全球最为大型的软件哈希数据库;像 FireEye 这类企业,其知名度和客户积累依靠的是沙盒技术;还有近些年很火的安全初创公司,靠机器学习、行为分析之类的技术成为香饽饽。但我们无一例外地会发现,这些企业都在转型,至少绝对不再固步自封于当年发家致富的独门绝技。

思科 AMP 解决方案本身就结合了沙盒分析、机器学习、威胁情报、持续分析、无文件检测等各类技术。实际上,各类安全产品的玩法早也已经不是多年前,凭借单项技术的领先就可以成为热门的。思科终端安全产品市场经理 Joe Malenfant 特别强调,像机器学习这样的技术,虽然是这些年的热门,但绝非“银弹”——思科就一直在用机器学习,包括 AMP for Endpoint 产品中,用于分析 web 流量、识别网络中运行的恶意程序,但单一的技术无法解决所有问题。[7]不光是机器学习,当前应对复杂网络攻击的任意某一种技术都是无法解决所有问题的,这本身也是 EDR 这类产品出现的原因之一。

思科 AMP 的持续可视性

从产品所能解决的问题和大趋势来看,EDR 未来必然会成为 EPP 解决方案的一大特性。如果只用一句话来说 EDR 究竟要解决什么问题,那就是提升终端的安全事件可视性和对安全事件的响应能力。这些就目前看来对于企业安全团队的技术要求是比较高的。这种提升是怎么做到的呢?

实际上,IoC 检测的自动化已经比较普遍了,传统 EPP 都能这么干。但如前文所述,攻击者可以很快就修改文件哈希、IP 域、注册表键和其他各种 IoC。但是攻击者的行为方式,或者叫 tradecraft 是比较稳定的,执行的一些操作典型如文件加密、数据获取和转移、入侵管理员账号等。这些行为本身很难变化,这就是恶意行为的指标。

对安全团队的技术要求高,是因为检测“行为”这件事本身就比较复杂,而且准确度不高,这方面的人才要求就会比较高。大部分企业组织应该也不会花大量精力去招揽或培训具备这种能力的人才。所以 SoC 外包服务需求伴随增长,所以 EDR 市场的一大趋势还在于,大部分 EDR 供应商还会和 MSSP 供应商合作(安全托管服务提供商),某些 EDR 供应商还会提供自家的增值服务,比如 FireEye as a Service。

说了这么多,接下来就该正式聊一聊思科 AMP for Endpoint 在这类产品实现上的实施措施了。思科 AMP 本身脱胎自思科 2013 年收购的 Sourcefire。思科保留了 Sourcefire 当年收购的技术领导和工程团队。我们认为,AMP 在满足 Gartner 提到的这些针对 EDR 类别产品的要求方面,思科是在所有 EDR 供应商中为数不多能够达到要求,而且在实现方式上比较丰富、全方位的厂商。

Cisco-logo-photo.jpg

首先还是来看一看思科 AMP for Endpoint 的主体构成,针对预防、检测和响应三部分,其布局是这样的:

预防(Prevent),也就是阻挡恶意程序。

这部分原本主要隶属于 EPP,虽然并非 AMP 的重头戏,不过思科 AMP 在这部分也有几个看点:

其一是全球威胁情报,威胁情报由思科研究团队持续提供;其二是文件沙盒,借由超过 700 种行为指标在沙盒中分析未知文件,检测、自动阻止隔离恶意文件;

在主动防御部分,AMP 会展示终端所有软件可被利用的安全问题,通过应用控制来实现加固。另外在恶意程序阻止方面,AMP for Endpoint 就是采用传统的签名、fuzzy fingerprinting、机器学习,还有反病毒检测引擎。

检测(Detect),这部分可算是 AMP 的精华所在了,也是 EDR 类产品的精华。

持续监控与分析:当某个文件抵达终端后,AMP 会持续观察、分析、记录所有文件行为,不管该文件在刚进入时的检测结果如何。如果在观察过程中检测到恶意行为,AMP 能够自动在所有端点之上阻止该文件,并给安全团队呈现完整的恶意程序行为记录。

在记录中,可以看到该文件来自哪里,现在在哪里,在所有端点设备上都做过什么(包括 PC、Mac、Linux、移动设备),让安全团队充分理解其影响范围,并快速响应。这部分由于是 AMP 产品的着力点所在,所以后面还会提到。

无代理检测(Agentless Detection):AMP for Endpoint 提供无代理检测,这是一种在客户环境中检测危害的一种能力,即便一台端点设备没有安装代理。采用思科的 CTA 技术,AMP 会检查 web 代理日志,来发现如内存恶意程序、仅在 web 浏览器中活跃的感染情况。

无文件检测:恶意利用包括 Windows 工具等在内的合法应用来启动可执行程序,比如说用 vssadmin 来删除影子副本(shadow copies)或者禁用安全启动、还有基于 Powershell 的 exploit 等。这一项本身也是 Gartner 特别提到 EDR 类别产品应该拥有的能力。

响应(Respond)

威胁捕获更容易:AMP 基于云的 UI 之上可以跨域所有端点进行威胁搜索,这对于排查、减少管理复杂性都是有帮助的;跨越端点和云来查找文件、IoC、威胁情报数据,发现恶意程序生态系统中的痕迹,理解攻击范围和上下文;

自动化修复:AMP 发现某个威胁后,可跨所有端点设备进行控制和修复。进行一些简单的点击操作,就能在选定的系统或者整个范围内禁止某个文件,禁止恶意程序家族,控制作为恶意程序入口的应用(已被入侵的应用),阻止再度感染,阻止恶意程序进行远程通讯——对公司网络外部的远程终端也能发挥作用。

针对以上三个环节,我们选一些尤为值得一提的谈一谈。主要是其中的持续可视性(Continous Visibility)。思科将这种持续可视性和“时间点(point-in-time)”的预防技术做对比,这里所谓的时间点,就是某个反病毒产品只在文件进入端点(或网络入点)时对文件进行检测,即便采用沙盒检测之类的技术,鉴于目前比较复杂的恶意程序具备检测自身是否处在沙盒环境,且不在沙盒环境下触发恶意行为;至于签名、更多文件特征之类的匹配方案,对于复杂多变的恶意程序更加无效。这样的文件在进入到端点内部后,对传统“时间点”的安全方案来说,就不再对其进行检测了。

而所谓的持续可视性,即如前文所述,是全程监视文件行为的——即便已经通过了第一步的检查也依旧如此。这一点实际上也是 EDR 类产品的某个共同属性,在我们针对 Carbon Black 的分析文章中就提到过,Carbon Black 采用一种轻量级的“端点传感器”来持续、实时记录端点每时每刻的变化。这么做的好处是,可以对事件进行“倒带”,在检测到威胁或可以行为时,可以去追溯攻击发生的整个过程,对风险有全方位的分析和理解。

思科 AMP 这方面的持续可视性,包括以下几个重点[8]:

回顾(Retrospection):在初始时间点,以及随后全程进行分析,且不仅限于文件,还包括对进程、通讯和其他数据的分析——这一点主要就是和“时间点”模型相对的;

攻击链组合:将文件、进程和通讯流进行结合,随时间推移来捕捉其中的关系。其中的行为模式 IoC,不是静态特征,而是实时捕捉到的攻击链组合复杂行为;行为 IoC 在这些行为发生时实时进行检测;

QQ20171115-044655@2x.png

轨迹(Trajectory):追踪、枚举时间点事件列表,展示事件发生的位置。轨迹所描述的是恶意程序的连续路径,这对于展示恶意程序波及的范围,及关系,包括在哪里、做了些什么会比较有效。上面这张图所展示的,就是这样的轨迹,相关于恶意程序切入点、恶意行为、影响特定终端的二进制和可执行程序。这则信息会进行关联,并与整个网络进行共享。这本质上就是一种倒带能力,如下图,这样就能够展示恶意程序的扩散情况。这些信息对于探明感染规模和根本原因都有价值。

QQ20171115-054012@2x.png

在这种持续性可视性的基础上,很多后续的分析和控制就变得比较便利了。比如思科 AMP 的自动化高级分析,对恶意行为模式和 IoC 进行识别,结合 Threat Grid 沙盒技术进行(思科宣传中提到超过 700 种行为指标用于屏幕文件行为,不仅是其结构,还包括未知恶意程序相关的 HTTP 和 DNS 流量、TCP/IP 流、影响的进程、注册表活动),可确定风险处理优先顺序。

QQ20171115-062917@2x.png

这张图展示了内置沙盒文件分析的细节信息,有关文件行为,包括行为严重性、原始文件名、恶意程序执行截屏、样本包获取;有了这些信息,对于控制恶意程序蔓延、进一步阻止攻击,会产生更好的理解

QQ20171115-062954@2x.png

这张图展示可操作控制面板,从风险角度描述影响,以及与业务的关联性;在此视图下,可以看到 IoC 优先级、主机检测恶意程序和网络威胁等

再比如对恶意程序的感染控制(所谓的 Outbreak Control),有了持续可视性,锁定源头,要阻止恶意程序蔓延就会更容易,一路针对攻击路径进行控制,关闭感染入口(可能是某个被入侵的应用)——在这个过程中,应用阻止列表就能执行应用策略(比如在某个端点发现恶意程序,想要阻止整个网络上该恶意程序在所有端点上的执行,那么只需要将其加入阻止列表,所有端点之上都会被隔离);后续响应操作还包括可以利用定制签名来阻止恶意程序家族,阻止恶意程序进行通讯——尤其针对企业网络外部的远程端点。

最后,这款端点安全产品也包含 API,可将其与其他安全工具或 SIEM 进行同步。而且因为 AMP 是思科所有安全产品部署中的一部分,也就可以与思科的 IPS、防火墙、web 或邮件网关等进行信息关联和共享了。这其实是思科在安全领域构建以来就有的优势。

如何评价思科 AMP for Endpoint?

如前文所述,这种持续性分析能力并非思科独有,EDR 同类产品都有——这里进行列举是为了更好地阐明 EDR 这个类别的产品特性,不过各厂商在这方面的实现也不尽相同。我们之所以说思科 AMP 在产品功能构成上更为全面,源于 AMP 不仅融入了部分 EPP 的特性,在与同类 EDR 对比中,从检测、预防、响应、威胁情报、集成性几个方面都优于目前的主要竞争对手。比如在“轨迹”这一点上,某些竞品的表现方式就相对受限,或者功能并没有这么全面;另外思科由于资金方面的优势,在某些单项技术上有自家产品,如 Threat Grid 沙盒,而很多 EDR 产品供应商在动态文件分析方面需要依赖合作伙伴,或根本没有这些项目。这一点也可能是思科将 AMP for Endpoint 称作“新一代端点安全”产品的原因,毕竟其形态相对一般 EDR 更为完整。

cisco-logo.jpg

当前 Gartner 还没有专门针对 EDR 类别产品的魔力象限,不过好在 IDC 今年对“端点专门威胁分析和防护”供应商进行过一次评估[9]。这份评估报告,主要针对的就是非签名(signature-less)端点威胁检测、预防、响应和补救能力。IDC 给出了包括下面这些评价:

“采用思科 AMP for Endpoint 的客户数量 2016 年大量增加…客户对于其部署的便利性,以及和思科网络安全设备的关联性比较满意…思科已经证明其邮件、web 网关或者网络方面检测和预防的价值,所以一家企业组织在这些攻击向量之上如果对思科 AMP 部署比较熟悉,内部团队时间响应和补救工作流有所提升,他们就会采用 AMP for Endpoint…其优势主要在于:

“- …产品为安全事件分析人员,提供了翔实的背景信息,以及执行“追溯”的能力——通过历史数据进行搜索,将先前的活动与最新检测到的威胁进行关联…

– 在端点、web、通讯、网络级攻击方面,思科提供能够识别和阻止攻击者行为和高级恶意软件的产品组合,是当前最具综合能力的产品之一;

– 思科在安全行业,其销售渠道合作伙伴是最为庞大,最具技术实力的之一。思科在渠道方面砸重金,针对产品技术提供培训。许多合作伙伴提供托管和专业服务,可协助客户部署和配置 AMP for Endpoint。

“而面临的主要挑战则在于:

“- 思科着力为诸多大型企业组织客户提供综合性端点安全产品。要获得思科 AMP for Endpoint 的真正价值,企业组织需要采用全套 AMP 组合方案。这套解决方案显然不是以那些没有 IT 安全团队的中型规模组织和企业为目标的,唯有 IT 安全团队才能受用思科 AMP 提供的丰富数据信息。这些企业组织如果采用思科 AMP for Endpoint 就需要再行选择 MMSP(安全托管服务供应商);

– IDC 客户表示,思科 AMP for Endpoint 在减少误报方面需要投入较多的调整工作。在多个位置更大规模的部署可能需要专业服务。”

QQ20171115-052639@2x.png

这些优缺点,我们基本也已经在这篇文章里说清楚了,其核心在于思科针对 AMP 的整体策略(面向企业安全各个层面的部署),以及 EDR 产品对于企业的安全团队技术能力本身就有着一定的要求,以及 EDR 产品必然带来 MMSP 的共同推进。从思科在 IDC 这张图中的位置亦可见其综合表现不错。

目前 EDR 市场整体环境仍然没有大规模发展起来,即便它必然会成为 EPP 的未来。当前就 EDR 这一产品类别,Gartner 在建议中提到,成熟的 SoC,以及 MSSP 供应商应该对 EDR 解决方案进行投入,主要就其规模化的数据管理于搜索、与其它安全系统可整合的 API,以及高级工作流程能力;而安团队相对没那么成熟的企业组织,则应该着意于包含 EDR 特性的 EPP 解决方案,针对事件响应和威胁影响可视性,以及提供补救参考会有不错的能力。

注:本文将 prevention 统一翻译为预防,将 protection 统一翻译为防护,后者相较前者具备广得多的含义。

参考来源:

[1] The Evolving Effectiveness of Endpoint Protection Solutions

[2] Endpoint Protection Platform (EPP) vs Endpoint Detection & Response (EDR)

[3] Endpoint Protection Platform (EPP)

[4] Magic Quadrant for Endpoint Protection Platforms

[5] Cisco AMP for Endpoints Overview

[6] Market Guide for Endpoint Detection and Response Solutions

[7] Replace your AV with Next Generation Endpoint Security

[8] AMP for Endpoint Whitpaper

[9] IDC MarketScape: Worldwide Endpoint Specialized Threat Analysis and Protection 2017 Vendor Assessment

* FreeBuf官方出品,作者:欧阳洋葱,转载请注明来自 FreeBuf.COM 


WitAwards 2017「公众投票」通道现已开启

WitAwards年度互联网安全评选活动由国内信息安全新媒体领导者FreeBuf.COM主办。评选周期历时3个月,评委包括顶尖行业专家、行业媒体和安全从业者,颁奖盛典将在FreeBuf 互联网安全创新大会(FIT 2018)举办。「FIT 2018大会官网

15094363996316.jpg

WitAwards 2017互联网安全年度评选,旨在发掘全年卓越的安全产品和杰出人物;给予在2017年为安全行业做出贡献的个人、团队及产品以掌声和肯定。

历时55天,近500项申报及提名,经WIT组委会严格审核,共预录取71席入围项目。FreeBuf现邀请每一位安全领域从业者、爱好者,共同选出安全领域Top Icon,一起见证年度安全盛誉的诞生,为数万名从业者和数百款安全产品的努力与创新喝彩!

27abee774abc4448f8b7312947ffd818.png

WitAwards 2017公众投票入口:「WIT投票进行中

除此之外,我们还送上「对话WitAdwards 2017专家评委」系列人物专访:

默安科技联合创始人兼CTO云舒 探访普华永道高级经理刘广坤 独角兽安全团队创始人杨卿 君源创投管理合伙人金湘宇(Nuke)

未经允许不得转载:安全路透社 » WitAwards 2017“年度创新产品”参评巡礼 | 从思科AMP看端点威胁检测与响应市场

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册