阿里云優(yōu)惠券 先領券再下單

日前，數世咨詢正式發(fā)布《主機檢測與響應能力指南》報告，首次定義了HDR品類，總結出HDR應具備包括Agent、安全視角的資產發(fā)現、安全檢測、安全響應等四大關鍵能力，并從市場執(zhí)行力和應用創(chuàng)新力兩個維度進行評估，制定了HDR能力點陣圖，梳理定位了來自11家廠商的主機安全類產品。其中，青藤云安全、奇安信在市場執(zhí)行力方面遙遙領先其他安全廠商，但在應用創(chuàng)新力方面，微步在線與安芯網盾名列前三，已經超過了HDR市場絕大部分主流玩家，成為HDR市場的創(chuàng)新“黑馬”。

據數世咨詢發(fā)布的數據顯示，相比于HDR在2020年的12.8億營收，2021年營收規(guī)模達到了21.56億，增長率高達68.44%，顯著高于2021年整個網絡安全行業(yè)18.6%的年復合增長率。盡管網絡安全行業(yè)增速整體放緩，但企業(yè)出于合規(guī)、安全技術驅動、提升安全運行效率及實戰(zhàn)攻防演練等旺盛需求，可預見的是，在未來2-3年，HDR細分市場仍將處于逆勢增長階段，年復合增長率顯著高于網絡安全行業(yè)其他細分市場。

什么是HDR?為何HDR需求旺盛?

HDR，Host Detection and Response，主機檢測與響應，是指以主機側為目標，以探針(Agent)為基礎技術手段，采集網絡、文件、進程等多種維度的數據并上傳至管理平臺，輔助威脅情報關聯分析后，以自動化策略或人工響應處置安全事件的解決方案。

數世咨詢認為，“主機安全”高增長的驅動因素主要有兩點：

● 新冠疫情加快了國內云計算進程，主機安全作為伴生需求也隨之增長;

● 近年來持續(xù)的紅藍對抗實網攻防，對主機安全提供了有力的剛需支撐。

這些需求促使用戶對主機安全的接受度越來越高，同時，也不斷有新的能力“玩家”加入到這個細分領域。比如威脅情報是HDR的重要支撐技術，微步在線憑借在威脅情報領域的優(yōu)勢進軍HDR市場;長亭科技則以紅隊技術聞名業(yè)內進而殺入HDR領域;安芯網盾則從主機內存安全檢測技術切入。盡管都初入“主機安全”領域，但在應用創(chuàng)新力方面已經趕上甚至超過這個領域的“主力玩家”，受限于用戶規(guī)模，在市場執(zhí)行力方面還有待加強。

據數世咨詢的調研，主機安全領域的用戶群體主要集中在金融、運營商、科技互聯網等行業(yè)，結合前面兩個驅動因素，數世咨詢總結出HDR產品的四大需求點：

● 滿足合規(guī)要求：不僅是“等保2.0“對主機安全有明確要求，同時各行業(yè)監(jiān)管部門對主機安全的重視程度日益提高，并逐漸以結果為導向，這是HDR的第一需求;

● 安全技術驅動：運營商、金融、電力等行業(yè)用戶主機數量動輒百萬臺數量級，僅僅依靠邊界防護早已無法滿足安全需求，作為主機的最后一道防線，主機檢測與響應也就成為技術發(fā)展的必然;

● 提升安全運行效率：安全團隊希望通過 HDR 產品及相關解決方案，加強與各兄弟團隊的溝通，提升安全運行效率。

● 實戰(zhàn)攻防演練：實戰(zhàn)化攻防演練加速了安全需求從合規(guī)到實戰(zhàn)的轉變。因此，HDR 需要的不再是基于特征匹配的傳統(tǒng) HIDS，而是結合安全基線與外部情報的有效檢測能力，以及基于精準告警的快速響應能力。

這四大需求，再結合這些行業(yè)對于業(yè)務連續(xù)性的苛刻要求，使得傳統(tǒng)EPP、HIDS、CWPP與PC端的殺軟等安全方案都很難滿足，由此催生了HDR這一主機安全新品類，及其必備的包括Agent、安全視角的資產發(fā)現、安全檢測、安全響應等四大關鍵能力。

HDR四大關鍵能力，與用戶需求緊密相關

HDR是基于用戶需求而誕生的品類，這就意味著其關鍵能力必然與用戶需求息息相關。在HDR的四大關鍵能力之中，探針(Agent)是最基礎也是最重要的能力，因為HDR主要基于Agent收集的網絡、文件、進程等多種維度數據進行關聯分析并響應。

1、Agent是HDR基礎：牢記三點衡量標準

而從用戶需求出發(fā)，Agent最重要的衡量標準包括以下三點：

● 業(yè)務連續(xù)性是最高優(yōu)先級，Agent必須輕量設計，以避免影響業(yè)務連續(xù)性。所以不管是老牌的青藤，還是微步在線等新加入者，都強調Agent輕量設計，且具備“自 殺”策略;

● 功能雖多，但資源占用率必須低。主機要抵御各種網絡攻擊風險，就需要盡可能多維的檢測手段，但必須保證不能與應用爭奪資源，所以不僅要輕量設計，還要“輕量”運行，Agent功能模塊化設計也是一種有效手段;

● 功能效率是Agent的另一個加分項。盡管“輕量”是Agent的必備前提，但Agent的真正核心能力還在于安全，如何在“輕量”的前提下，盡可能提高安全能力就成為另一個衡量標準。也就是資源占用盡量少，功能卻要盡量多，還必須有效。所以威脅情報、告警精準、少誤報，乃至AI能力也是Agent的考量因素。

2、事前預防：安全視角出發(fā)的資產發(fā)現能力

基于安全視角的資產發(fā)現與管理，是有效檢測與響應的前提。針對這些入賬資產，要進行主機層、系統(tǒng)層、應用層乃至Web 層等各細化層級的資產清點，為后面做到安全基線梳理、快速精準檢測、快速發(fā)現威脅、快速做出響應打好基礎。

所謂“基于安全視角”，不能只從攻防角度來考慮資產重要性，還應當結合業(yè)務優(yōu)先級、強合規(guī)等要求，從更高的安全敏感度考慮資產重要性，對發(fā)現的資產進行分類分級、統(tǒng)一管理。

3、全面的檢測能力是精準響應前提

由于應用環(huán)境的多樣性特點讓主機運行的環(huán)境極其復雜，可被網絡攻擊利用的方式也呈多樣化趨勢，作為主機的最后一道防線，這就要求HDR要具備全面的檢測能力。主要包括以下四點：

● 結合情報的脆弱性檢測：通過外部的威脅情報、漏洞情報等來發(fā)現主機及其應用存在的漏洞、弱密碼、開放端口以及不當配置等風險點，通過修復風險點來實現攻擊面收斂目的，降低被攻擊幾率;

● 基于基線的攻擊入侵檢測：經實踐證明，通過HDR可有效降低“噪音”減少誤報，顯著縮短安全團隊的MTTD/MTTR(平均檢測時間/平均響應時間)，主要包括系統(tǒng)完整性監(jiān)測、橫向移動檢測、兼容性與可擴展性等。

● 內存安全檢測：“內存馬”等無文件攻擊方式已經成為今年國家級攻防演練中的紅隊常用攻擊方式，針對內存安全的檢測也成為HDR的必備檢測能力。

● 容器安全檢測：有別于物理主機和云主機，容器主機是一種較為特殊的主機應用方式，通常安全行業(yè)針對容器安全有針對性解決方案，一般HDR也具備一定的容器安全防護能力。

4、精準響應能力：向主動安全運營轉變

基于主機側的安全響應與終端不同，其難點并不在于傳統(tǒng)的攻防技術或安全服務，而在于保證業(yè)務連續(xù)性的前提下，結合威脅情報進行準確分析與判斷，利用 HDR 產品與各團隊的協(xié)同，將傳統(tǒng)被動應急，轉變?yōu)橹鲃影踩\營。其主要包含以下三點：

結合威脅情報的分析與診斷：Agent采集的數據，會根據主機側安全運行基線來篩選掉正常數據與噪音，利用威脅情報對疑似異常數據進行自動化分析。提升“自動化分析”的檢測準確率(縮短MTTD)，能夠為后續(xù)提升響應時效(縮短MTTR)帶來極大助力。其中威脅情報的準確性是極其關鍵的因素。

HDR產品與各團隊的協(xié)同：主機側的安全響應，一定要能夠通過HDR產品與業(yè)務、網絡、運維等兄弟團隊進行同步、協(xié)同，這是 HDR 響應能力的重點。其應包括可視化、核心業(yè)務、靈活維護策略、豐富的報告以及本身的安全性等功能。

基于主機側的安全運營：從威脅檢測到應急響應，從分析診斷到部門協(xié)同，前述各項產品能力要結合“人”形成安全運營能力?；谥鳈C側相對穩(wěn)定的業(yè)務、運維、網絡環(huán)境，以主機資產為核心，以事前收斂、事中控制、事后追溯為原則，結合威脅情報能力，實現一定程度標準化的預防、檢測、響應閉環(huán)。

HDR未來發(fā)展趨勢

如前文所述，用戶加速主機安全類產品的采購主要基于三點因素：網絡安全法、等保及關基條例明確要求的合規(guī)性需求;業(yè)務上云后需要提升主機安全能力;以及實戰(zhàn)化紅藍對抗攻防演練中，主機安全已經成為最后也最重要的一道有效防線。這些因素驅動HDR未來在市場供需方面，將出現需求與投入雙增長的態(tài)勢。

內存馬、無文件攻擊等新的攻擊形式，內存安全檢測成為近兩年實網攻防演練中的必備能力;同時，疑似攻擊行為在內存中一旦形成攻擊鏈條，會具備更高的可信度。因此，從技術能力方面，內存安全能力將逐漸成為HDR中的標配。

隨著紅藍對抗實網攻防在用戶側常態(tài)化演練越來越多，業(yè)務、運維等兄弟部門對 Agent 接受程度也會越來越高;主機側的自動化響應能力逐漸增強，特別對安全格外重視的行業(yè)，一定程度的自動化響應能力會越來越多得到應用;威脅情報的作用與地位會進一步凸顯……這些都促使HDR在應用場景方面，以結果為導向將成為主流。

最后，雖然當前用戶對HDR的自動響應能力并沒有太多要求，但隨著主機安全需求擴展到其他行業(yè)，由于網絡攻擊復雜性、安全團隊能力參差不齊、威脅情報準確性進一步提高、AI等新興技術深入應用等因素的綜合作用，總體而言，HDR將與EDR趨于整合，并且，各類端點側的安全能力，都將整合為一體化的端點安全能力。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！