端点安全杂谈(二)市场&用户
2022-12-24 17:0:39 Author: www.freebuf.com(查看原文) 阅读量:12 收藏

写在前面

杂谈开篇list了一堆表虽然不是2022年最新但也能凑合看了,想到哪里写到哪里,后续会对我了解的不同内容分别做些记录,如果你有想法我希望能一起讨论。描述的所有内容目前只涉及非密环境,分保内容不在讨论范围内。

端点安全市场

第二篇从端点安全市场开始,数据部分都是东拼西凑的端点安全大的发展方向应该没问题数的大小在这里应该不用太纠结。

国际市场:预计2022年终端安全市场达到51亿美元,1.5亿个以上的终端安装全功能的EDR,EDR市场规模25年达到42.35亿美元;Gartner跟踪的知名EDR厂商超过30家,排名前9位约占83%以上的市场份额(carbon black、cisco、crowdstrike、cybereason、fireeye、mcafee、microsoft、symantec、tanium)。

自2014年起,EDR技术被列入Gartner的“10大技术”之列,并连续6年稳居十大技术行列至今。根据Gartner预测,随着EDR产品功能的不断丰富,在全球范围内EDR产品至少存在5倍以上的增长空间,因此将会是终端安全领域下一个百亿美金级市场。

1671867947_63a6ae2b73f7274ac2e37.png!small?1671867935579

国内市场:2021 年中国网络安全市场规模将达到97.8 亿美元,终端安全市场约占网络安全总规模的10%左右,发展空间很大。2020年终端数量约为1亿台,EDR约占20%,国内安全厂商EDR产品每终端平均定价700元左右,EDR产值约14亿。首次销售提供1-3年维保,后期每年维保费用为产品的10%-20%。

在国内和国外端点安全产品售价上我做了有限的几个对比,国内网络版杀毒产品一般售价从几块钱到10块几十块一个PC都有,这和项目大小、行业还有地域都有一定关系。国外相对应的类似产品从几十块到600块左右(全功能EPP+EDR)(三年授权)。了解内容比较有限不能作为有效参考,不过国内网络版杀毒产品目前已经变成合规化为主要目的的产品而不是杀毒功能售卖,售价低廉也在清理之中。那国内杀毒厂商目前赚钱会以增值产品功能和附加服务等售卖各种授权的方式来赚钱。新功能卖的贵点,老功能卖的便宜,卖老送新,买新送老基本也都差不多的套路。

国内主要厂商

2018年奇安信约占整体市场份额的22-25%之间,2021年天擎销售额约3亿,终端安全业务同比增长67.8%,其次是赛门铁克和亚信安全,三家共占近一半市场份额。奇安信的天擎无疑是目前国内端点安全市场的领军,无论是从产品本身,还是市场占有率,还是产品和企业发展来说都是第一。看看天擎的情况开始应该是杀毒EPP的底子加上其他的端点安全功能各种拼接融合,全家桶高大了各种问题和矛盾就激化,底层应该是也改了,界面又重新搞,奇安信收购了椒图啥的以后应该又改了不少东西,研发团队应该也做了不少改动。总体上还是利大于弊,产品问题也是层出不穷(谁家不是呢)。

深信服2018年推出EDR,到2020年深信服占全国终端安全市场7.4%排名第三。深信服的端点产线在我看来是比较亮眼的存在,从刚发布的EDR版本来看就是非常简单的杀毒引擎加乱七八糟能拼凑的几个小功能,界面不好看也不好用。但是两三个月的时间深信服又连续迭代了好几个版本出来逐步找到了自己端点安全产品的节奏。自己的EDR联动自己的其他产品(防火墙等)这一下就打开了这些综合性安全厂商的大门,联动这事一直都是有人干但都干不好,深信服产品技术做的咋样我不清楚,不过他们通过强大的渠道还有那200来人的端点团队愣是搞了一波。我感觉深信服是没太搞明白端点安全到底要做啥或者说EDR是要干啥,他们在18、19年是没想清楚的,不过用户多了以后各种反馈和迭代让他们迅速成了国内端点安全产品的清流,起码在深信服的地盘上,是的。不过不知道这2年是不是懈怠了端点产线貌似没有更多投入,是不是资源转到PC沙箱上所以EDR产品暂时停滞了。

青藤云在金融行业扩展迅速2020年销售额已达1.2亿左右。青藤云目前变成各家关注的产品了,搞了搞基线检查,弄了好几个库丰富检测内容,现在又开始准备做XDR了。感觉福总对需求和技术是很关注的能干什么干什么,研究员也有,研发也够,产品这两三年也搞的挺好,抓紧拓展下市场应该会占更多份额。

操作系统

企业用户中通用操作系统Windows和Linux系统,超过81.45%的主机使用都是Linux操作系统,只有18.55%主机使用的是Windows操作系统。由于Linux的兼容性、模块化、资源消耗等方面的原因企业用户会更多选择Linux。

在选择Linux系统的主机中Redhat/Centos占绝大多数,Ubuntu和suse也是企业用户系统中常见Linux发行版,还有Debian等少数系统。

行业用户

1金融

金融行业作为传统的重监管机构,已经普遍形成了较为完善的网络安全组织与制度管理体系。用户对端点安全防护、检测和管理都有持续性需求,但对产品功能、成熟度、稳定性都有很高要求,同时保险、证券安管人员可能会选择国外安全产品。主要安全风险事件集中在勒索软件、加密货币、APT、钓鱼攻击等。安全厂商和安全产品评估会参考ATT&CK框架,在实际网络安全建设中应用比较广泛。国内端点检测与响应类产品青藤云在金融行业占比较高。从入侵攻击者角度看每次的入侵、攻击行为最终都需要落地到系统中,在PC及服务器上部署杀毒软件和EDR,对恶意代码进行拦截并对异常行为分析判断是目前金融行业用户在技术防御体系上普遍的保障措施。

2石油&石化

石油、石化从0几年以来陆续指定了多个信息安全标准与流程,从信息安全政策到信息安全生态和“智能制造”等创新领域都有很大发展。多年重保和护网经验对端点安全产品十分熟悉,从2018年开始陆续在石油、石化的PC终端上都安装了公安部第一研究所网防卫士G01但实际使用效果却不十分理想,2020年后G01通过多次迭代在某些区域已被用户认可。石油、石化对端点安全需求十分广泛从办公PC、服务器和虚拟机外,还对管道、工厂生产车间、产品销售(如加油站等)中涉及的前置机、工控机、智能设备等都存在安全统一管控的需求。石油、石化主要环境和场景是传统+工控+物联网+私有云,多种混合复杂场景。端点产品需要满足复杂场景的安装部署和运维需求,端点安全产品需在兼容性和稳定性上满足基本要求,同时还需要达到较高的安全防护效果。

《2021年中国石化终端安全一体化管理系统测试大纲》中对终端安全管理系统实现原由终端安全防护能力进行了具体描述,验证终端安全一体化管理系统是否满足实际要求,作为产品选型的参考依据。其中包括兼容性安装测试、终端资产管理、安全登录、防病毒管理、终端安全监控、终端审计、移动存储介质管理、违规外联管控等功能项测试内容。

3电力

电网网络安全发展的数十年里,虽然基于法规、制度等已建立起较为完善的安全防御体系,但基于现存的网络安全防御体系来说,普遍还是采用传统特征识别的安全防御技术,以特征样本作为判别攻击行为的依据,在面对未知威胁、0day攻击等新型攻击行为时存在静态检测、被动响应和处理滞后的问题。各地分公司已经有多年终端安全产品使用经验,也在寻求端点安全的技术变革。电力系统同样存在多种端点类型(如PC、服务器、虚拟机、前置机、工控机、智能化设备),同样环境和场景为传统+工控+物联网+私有云,多种混合复杂场景。端点安全产品在电力办公网络和四区互联网域部署,也可以在三区或二区做工控+内网主机适配的满足电网行业要求的定制化产品。

4 生产制造

端点覆盖了工业设备层、边缘层、企业层和产业层整个范围,包括简单的传感器、PLC和具有重要计算能力的服务器等。工业环境中端点可以位于专用硬件、共享设备或虚拟化系统中。目前生产制造相关产业中安全厂商更多关注的是网络和协议安全,在端点安全防护中关注点集中在端点的信任关系、标识、访问控制、身份认证和完整性保护上,这些内容无法在安全事件发生时有效的做出响应或指导管理员进行正确的事件处理和处理措施。自从永恒之蓝爆发后生产制造的安全管理者开始关注系统中的边缘主机和工控设备,开始注重端点安全。工控应用环境在各个企业中应用相差很小,安全问题也较为明确缺少解决方案和适配产品。目前国内威努特和六方云等厂商的端点产品无法满足当前工控领域端点所面临的威胁风险,这将是另一个端点安全爆发点。

用户需求特征

1 云安全

由于主机、云主机承载大量核心业务资产,用户普遍对产品安全性能要求较高。大型企业用户业务场景复杂且实力雄厚,偏好轻量级Agent模式的云主机安全形态,用以应对中上层复杂攻击问题。对中小型企业而言,云厂商提供的云主机自带基础安全功能已基本满足日常业务需求,故而更偏好安全配置管理加固服务。

利用AI完成安全产品自动化部署将成为用户刚需。用户关键敏感业务在云上的防护必定成为关注重点。云厂商应该会取长补短,以集成商的角色为用户提供完整安全解决方案。

2 合规建设

《等保2.0》的发布实施,以及各行业发布的标准、要求中对终端实施相应的安全检测、防范内容;等保测评内容安全计算环境中入侵防范涉及端点内容,在整体测评得分中能作为系统再测的修复和补充的安全防护能力。

3 安全防范

近几年入侵和破坏方式不断变化,主要向勒索、无文件攻击、免杀木马和0day漏洞利用等手段发展。原有安全检测、防护产品无法满足目前严峻的网络安全形势,安全产品的安全检测、防护和响应能力变成客户主要关注的内容。

4 护网&重保

在护网和重保工作中进两年客户更倾向于使用能够识别、检测、防范和溯源取证的安全产品和能力,在真实的攻防过程中用户体会到防护能力和检测、响应能力之间的效果差别和差距。

5 客户端程序

同一个端点上运行多家、多种安全产品对端点性能影响和复杂的运维过程,使当前用户更倾向端点整体安全解决方案,减少运维和资源成本。

6 兼容性

端点安全事件频发导致用户在产品选择时会考虑全面部署和统一管理,端点范围从终端需求到服务器、虚拟机、工控设备等,产品的兼容性和适配程度开始作为用户需求主要考虑内容。

7 关注指标

客户对安全威胁的关注指标

1671871487_63a6bbffc3a75043de654.png!small

摘自:GoUpSec基于甲方用户评价的网络安全市场趋势调研报告

用户对安全厂商的关注指标

1671871522_63a6bc226516adc0dad30.png!small?1671871511347

摘自:GoUpSec基于甲方用户评价的网络安全市场趋势调研报告

8 2022年甲方网络安全投资预期

应用与数据安全和端点与网络安全占据前2名。

1671871547_63a6bc3b2f2ab00d354c2.png!small?1671871536017

摘自:GoUpSec基于甲方用户评价的网络安全市场趋势调研报告


文章来源: https://www.freebuf.com/articles/endpoint/353488.html
如有侵权请联系:admin#unsafe.sh