域名預(yù)訂/競價，好“米”不錯過

日前，數(shù)世咨詢正式發(fā)布《主機檢測與響應(yīng)能力指南》報告，首次定義了HDR品類，總結(jié)出HDR應(yīng)具備包括Agent、安全視角的資產(chǎn)發(fā)現(xiàn)、安全檢測、安全響應(yīng)等四大關(guān)鍵能力，并從市場執(zhí)行力和應(yīng)用創(chuàng)新力兩個維度進行評估，制定了HDR能力點陣圖，梳理定位了來自11家廠商的主機安全類產(chǎn)品。其中，青藤云安全、奇安信在市場執(zhí)行力方面遙遙領(lǐng)先其他安全廠商，但在應(yīng)用創(chuàng)新力方面，微步在線與安芯網(wǎng)盾名列前三，已經(jīng)超過了HDR市場絕大部分主流玩家，成為HDR市場的創(chuàng)新“黑馬”。

據(jù)數(shù)世咨詢發(fā)布的數(shù)據(jù)顯示，相比于HDR在2020年的12.8億營收，2021年營收規(guī)模達到了21.56億，增長率高達68.44%，顯著高于2021年整個網(wǎng)絡(luò)安全行業(yè)18.6%的年復(fù)合增長率。盡管網(wǎng)絡(luò)安全行業(yè)增速整體放緩，但企業(yè)出于合規(guī)、安全技術(shù)驅(qū)動、提升安全運行效率及實戰(zhàn)攻防演練等旺盛需求，可預(yù)見的是，在未來2-3年，HDR細分市場仍將處于逆勢增長階段，年復(fù)合增長率顯著高于網(wǎng)絡(luò)安全行業(yè)其他細分市場。

什么是HDR?為何HDR需求旺盛?

HDR，Host Detection and Response，主機檢測與響應(yīng)，是指以主機側(cè)為目標(biāo)，以探針(Agent)為基礎(chǔ)技術(shù)手段，采集網(wǎng)絡(luò)、文件、進程等多種維度的數(shù)據(jù)并上傳至管理平臺，輔助威脅情報關(guān)聯(lián)分析后，以自動化策略或人工響應(yīng)處置安全事件的解決方案。

數(shù)世咨詢認(rèn)為，“主機安全”高增長的驅(qū)動因素主要有兩點：

● 新冠疫情加快了國內(nèi)云計算進程，主機安全作為伴生需求也隨之增長;

● 近年來持續(xù)的紅藍對抗實網(wǎng)攻防，對主機安全提供了有力的剛需支撐。

這些需求促使用戶對主機安全的接受度越來越高，同時，也不斷有新的能力“玩家”加入到這個細分領(lǐng)域。比如威脅情報是HDR的重要支撐技術(shù)，微步在線憑借在威脅情報領(lǐng)域的優(yōu)勢進軍HDR市場;長亭科技則以紅隊技術(shù)聞名業(yè)內(nèi)進而殺入HDR領(lǐng)域;安芯網(wǎng)盾則從主機內(nèi)存安全檢測技術(shù)切入。盡管都初入“主機安全”領(lǐng)域，但在應(yīng)用創(chuàng)新力方面已經(jīng)趕上甚至超過這個領(lǐng)域的“主力玩家”，受限于用戶規(guī)模，在市場執(zhí)行力方面還有待加強。

據(jù)數(shù)世咨詢的調(diào)研，主機安全領(lǐng)域的用戶群體主要集中在金融、運營商、科技互聯(lián)網(wǎng)等行業(yè)，結(jié)合前面兩個驅(qū)動因素，數(shù)世咨詢總結(jié)出HDR產(chǎn)品的四大需求點：

● 滿足合規(guī)要求：不僅是“等保2.0“對主機安全有明確要求，同時各行業(yè)監(jiān)管部門對主機安全的重視程度日益提高，并逐漸以結(jié)果為導(dǎo)向，這是HDR的第一需求;

● 安全技術(shù)驅(qū)動：運營商、金融、電力等行業(yè)用戶主機數(shù)量動輒百萬臺數(shù)量級，僅僅依靠邊界防護早已無法滿足安全需求，作為主機的最后一道防線，主機檢測與響應(yīng)也就成為技術(shù)發(fā)展的必然;

● 提升安全運行效率：安全團隊希望通過 HDR 產(chǎn)品及相關(guān)解決方案，加強與各兄弟團隊的溝通，提升安全運行效率。

● 實戰(zhàn)攻防演練：實戰(zhàn)化攻防演練加速了安全需求從合規(guī)到實戰(zhàn)的轉(zhuǎn)變。因此，HDR 需要的不再是基于特征匹配的傳統(tǒng) HIDS，而是結(jié)合安全基線與外部情報的有效檢測能力，以及基于精準(zhǔn)告警的快速響應(yīng)能力。

這四大需求，再結(jié)合這些行業(yè)對于業(yè)務(wù)連續(xù)性的苛刻要求，使得傳統(tǒng)EPP、HIDS、CWPP與PC端的殺軟等安全方案都很難滿足，由此催生了HDR這一主機安全新品類，及其必備的包括Agent、安全視角的資產(chǎn)發(fā)現(xiàn)、安全檢測、安全響應(yīng)等四大關(guān)鍵能力。

HDR四大關(guān)鍵能力，與用戶需求緊密相關(guān)

HDR是基于用戶需求而誕生的品類，這就意味著其關(guān)鍵能力必然與用戶需求息息相關(guān)。在HDR的四大關(guān)鍵能力之中，探針(Agent)是最基礎(chǔ)也是最重要的能力，因為HDR主要基于Agent收集的網(wǎng)絡(luò)、文件、進程等多種維度數(shù)據(jù)進行關(guān)聯(lián)分析并響應(yīng)。

1、Agent是HDR基礎(chǔ)：牢記三點衡量標(biāo)準(zhǔn)

而從用戶需求出發(fā)，Agent最重要的衡量標(biāo)準(zhǔn)包括以下三點：

● 業(yè)務(wù)連續(xù)性是最高優(yōu)先級，Agent必須輕量設(shè)計，以避免影響業(yè)務(wù)連續(xù)性。所以不管是老牌的青藤，還是微步在線等新加入者，都強調(diào)Agent輕量設(shè)計，且具備“自 殺”策略;

● 功能雖多，但資源占用率必須低。主機要抵御各種網(wǎng)絡(luò)攻擊風(fēng)險，就需要盡可能多維的檢測手段，但必須保證不能與應(yīng)用爭奪資源，所以不僅要輕量設(shè)計，還要“輕量”運行，Agent功能模塊化設(shè)計也是一種有效手段;

● 功能效率是Agent的另一個加分項。盡管“輕量”是Agent的必備前提，但Agent的真正核心能力還在于安全，如何在“輕量”的前提下，盡可能提高安全能力就成為另一個衡量標(biāo)準(zhǔn)。也就是資源占用盡量少，功能卻要盡量多，還必須有效。所以威脅情報、告警精準(zhǔn)、少誤報，乃至AI能力也是Agent的考量因素。

2、事前預(yù)防：安全視角出發(fā)的資產(chǎn)發(fā)現(xiàn)能力

基于安全視角的資產(chǎn)發(fā)現(xiàn)與管理，是有效檢測與響應(yīng)的前提。針對這些入賬資產(chǎn)，要進行主機層、系統(tǒng)層、應(yīng)用層乃至Web 層等各細化層級的資產(chǎn)清點，為后面做到安全基線梳理、快速精準(zhǔn)檢測、快速發(fā)現(xiàn)威脅、快速做出響應(yīng)打好基礎(chǔ)。

所謂“基于安全視角”，不能只從攻防角度來考慮資產(chǎn)重要性，還應(yīng)當(dāng)結(jié)合業(yè)務(wù)優(yōu)先級、強合規(guī)等要求，從更高的安全敏感度考慮資產(chǎn)重要性，對發(fā)現(xiàn)的資產(chǎn)進行分類分級、統(tǒng)一管理。

3、全面的檢測能力是精準(zhǔn)響應(yīng)前提

由于應(yīng)用環(huán)境的多樣性特點讓主機運行的環(huán)境極其復(fù)雜，可被網(wǎng)絡(luò)攻擊利用的方式也呈多樣化趨勢，作為主機的最后一道防線，這就要求HDR要具備全面的檢測能力。主要包括以下四點：

● 結(jié)合情報的脆弱性檢測：通過外部的威脅情報、漏洞情報等來發(fā)現(xiàn)主機及其應(yīng)用存在的漏洞、弱密碼、開放端口以及不當(dāng)配置等風(fēng)險點，通過修復(fù)風(fēng)險點來實現(xiàn)攻擊面收斂目的，降低被攻擊幾率;

● 基于基線的攻擊入侵檢測：經(jīng)實踐證明，通過HDR可有效降低“噪音”減少誤報，顯著縮短安全團隊的MTTD/MTTR(平均檢測時間/平均響應(yīng)時間)，主要包括系統(tǒng)完整性監(jiān)測、橫向移動檢測、兼容性與可擴展性等。

● 內(nèi)存安全檢測：“內(nèi)存馬”等無文件攻擊方式已經(jīng)成為今年國家級攻防演練中的紅隊常用攻擊方式，針對內(nèi)存安全的檢測也成為HDR的必備檢測能力。

● 容器安全檢測：有別于物理主機和云主機，容器主機是一種較為特殊的主機應(yīng)用方式，通常安全行業(yè)針對容器安全有針對性解決方案，一般HDR也具備一定的容器安全防護能力。

4、精準(zhǔn)響應(yīng)能力：向主動安全運營轉(zhuǎn)變

基于主機側(cè)的安全響應(yīng)與終端不同，其難點并不在于傳統(tǒng)的攻防技術(shù)或安全服務(wù)，而在于保證業(yè)務(wù)連續(xù)性的前提下，結(jié)合威脅情報進行準(zhǔn)確分析與判斷，利用 HDR 產(chǎn)品與各團隊的協(xié)同，將傳統(tǒng)被動應(yīng)急，轉(zhuǎn)變?yōu)橹鲃影踩\營。其主要包含以下三點：

結(jié)合威脅情報的分析與診斷：Agent采集的數(shù)據(jù)，會根據(jù)主機側(cè)安全運行基線來篩選掉正常數(shù)據(jù)與噪音，利用威脅情報對疑似異常數(shù)據(jù)進行自動化分析。提升“自動化分析”的檢測準(zhǔn)確率(縮短MTTD)，能夠為后續(xù)提升響應(yīng)時效(縮短MTTR)帶來極大助力。其中威脅情報的準(zhǔn)確性是極其關(guān)鍵的因素。

HDR產(chǎn)品與各團隊的協(xié)同：主機側(cè)的安全響應(yīng)，一定要能夠通過HDR產(chǎn)品與業(yè)務(wù)、網(wǎng)絡(luò)、運維等兄弟團隊進行同步、協(xié)同，這是 HDR 響應(yīng)能力的重點。其應(yīng)包括可視化、核心業(yè)務(wù)、靈活維護策略、豐富的報告以及本身的安全性等功能。

基于主機側(cè)的安全運營：從威脅檢測到應(yīng)急響應(yīng)，從分析診斷到部門協(xié)同，前述各項產(chǎn)品能力要結(jié)合“人”形成安全運營能力。基于主機側(cè)相對穩(wěn)定的業(yè)務(wù)、運維、網(wǎng)絡(luò)環(huán)境，以主機資產(chǎn)為核心，以事前收斂、事中控制、事后追溯為原則，結(jié)合威脅情報能力，實現(xiàn)一定程度標(biāo)準(zhǔn)化的預(yù)防、檢測、響應(yīng)閉環(huán)。

HDR未來發(fā)展趨勢

如前文所述，用戶加速主機安全類產(chǎn)品的采購主要基于三點因素：網(wǎng)絡(luò)安全法、等保及關(guān)基條例明確要求的合規(guī)性需求;業(yè)務(wù)上云后需要提升主機安全能力;以及實戰(zhàn)化紅藍對抗攻防演練中，主機安全已經(jīng)成為最后也最重要的一道有效防線。這些因素驅(qū)動HDR未來在市場供需方面，將出現(xiàn)需求與投入雙增長的態(tài)勢。

內(nèi)存馬、無文件攻擊等新的攻擊形式，內(nèi)存安全檢測成為近兩年實網(wǎng)攻防演練中的必備能力;同時，疑似攻擊行為在內(nèi)存中一旦形成攻擊鏈條，會具備更高的可信度。因此，從技術(shù)能力方面，內(nèi)存安全能力將逐漸成為HDR中的標(biāo)配。

隨著紅藍對抗實網(wǎng)攻防在用戶側(cè)常態(tài)化演練越來越多，業(yè)務(wù)、運維等兄弟部門對 Agent 接受程度也會越來越高;主機側(cè)的自動化響應(yīng)能力逐漸增強，特別對安全格外重視的行業(yè)，一定程度的自動化響應(yīng)能力會越來越多得到應(yīng)用;威脅情報的作用與地位會進一步凸顯……這些都促使HDR在應(yīng)用場景方面，以結(jié)果為導(dǎo)向?qū)⒊蔀橹髁鳌?/p>

最后，雖然當(dāng)前用戶對HDR的自動響應(yīng)能力并沒有太多要求，但隨著主機安全需求擴展到其他行業(yè)，由于網(wǎng)絡(luò)攻擊復(fù)雜性、安全團隊能力參差不齊、威脅情報準(zhǔn)確性進一步提高、AI等新興技術(shù)深入應(yīng)用等因素的綜合作用，總體而言，HDR將與EDR趨于整合，并且，各類端點側(cè)的安全能力，都將整合為一體化的端點安全能力。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！