端点时代

这是我们网络安全系列的第二篇文章。您可以点击此处阅读我们关于网络安全形势的首篇文章。在本期中，我们将深入探讨终端安全领域。请务必订阅，以免错过未来关于云安全、身份未来等主题的深入探讨！

本文信息来源：contrary

• 网络安全显然是首席技术官和高管的首要任务：安全是2022年的一个重要主题。摩根士丹利2022年3月发布的年度首席信息官支出调查显示，安全软件是首席技术官和高管的第二大优先支出项目。摩根士丹利还预测，在未来12个月内，端点安全将成为云迁移支出的第二大受益者。
• 端点保护市场正在快速发展： 20 世纪 80 年代，第一批网络安全公司，例如 McAfee 和 Trend Micro，就提供了端点安全服务。到了 21 世纪，赛门铁克的诺顿崛起成为端点安全领域的早期先驱。如今，像 CrowdStrike 这样的公司已经利用云计算成为市场领导者。
• 市场机遇巨大且分散：网络安全领域最大的公司都将端点安全作为核心业务。300亿美元的端点安全市场代表着安全领域最大的市场机遇，2021年该市场增长了29%以上。IDC和CrowdStrike认为，未来5年，随着越来越多的设备和工作负载迁移到云端，该行业的潜在市场规模有望达到近1260亿美元。
• 新的范式和领域不断涌现：企业端点往往是针对组织的攻击媒介的目标。新型攻击的复杂性催生了MDR、SIEM、SOAR和SecOps等相关的端点子领域，而新技术和初创企业的快速发展则催生了扩展检测和响应 (XDR) 和云工作负载保护平台 (CWPP) 等领域。与此同时，运营技术和工业物联网端点设备也日益受到关注。
• 2021 年端点安全交易活动猛增：根据 Momentum Cyber 的2021 年报告，端点安全咨询和 MSSP 安全参与者在 2021 年占据了最大的并购交易份额。端点安全引领行业交易数量，而 SecOps 和威胁情报行业同比增长 171%，是安全领域中最大的增长。
• 端点保护和安全操作是理解网络安全的基础：要了解网络安全的未来，需要制定端点保护行业及其邻近行业的基础框架。

资料来源：Contrary Research

端点安全软件用于保护“端点”，即连接到公司网络的最终用户设备的入口点。端点设备可能包括台式机、笔记本电脑、智能手机、服务器、工作站、物联网设备、打印机以及其他此类设备。随着时间的推移，端点安全已从安装在台式电脑上的杀毒程序发展成为为设备、用户和云端提供全面保护的平台。

端点安全是组织最基础、最关键的安全要素，因为它位于人与机器的交汇处。因此，端点是公司的关键漏洞。如果恶意行为者能够利用端点，从而危及公司的设备和数据，那么对公司及其客户而言，损失可能是灾难性的。

本报告概述了现代企业中的端点安全形势。端点安全关注的是开发保护硬件、网络和用户的解决方案。

最成熟、最持久的安全公司都以端点安全为基础。然而，正如下文将深入讨论的那样，像 McAfee 和 Symantec 这样历史最悠久的网络安全公司未能保持主导地位，而像 CrowdStrike 和 SentinelOne 这样的新兴公司正在从端点托管公司手中抢占市场份额。

端点安全见证了多个相关行业的兴起，这些行业源于企业安全保护。本报告探讨了托管检测与响应 (MDR)、托管安全服务提供商 (MSSP)、安全信息和事件管理 (SIEM) 以及安全运营 (SecOps)。报告重点介绍了每个领域中的主导企业和高潜力初创公司。最后，报告最后探讨了端点安全行业的融合和未来发展。这种融合在扩展检测与响应 (XDR) 和云工作负载保护平台 (CWPP) 等新兴类别中最为明显。

端点安全是目前网络安全领域最大的市场机遇。CrowdStrike 、SentinelOne和Fortinet估计，2022 年的市场规模约为 250 亿至 300 亿美元，到 2024 年将扩大到 400 亿美元。根据 IDC 的数据，全球企业端点安全市场在 2020 年增长了 14%，2021 年增长了 29%。此外，主要端点保护公司的总收入从 2019 年的 70 亿美元增长到2021 年的100 亿美元。按市场份额计算，主要的端点公司包括 CrowdStrike、McAfee 和 Microsoft 等。

2020年和2021年，终端安全市场的增长主要由两大催化剂推动。首先是向云端迁移。随着工作负载向云端迁移、托管检测响应 (MDR) 服务的增长以及物联网设备的日益普及，终端安全的市场机遇正在持续增长。第二个催化剂是由于转向远程办公导致易受攻击的终端数量增加，远程办公将更多终端从相对安全的办公室分散到员工家中。远程办公迫使许多公司购买新的数字设备，以便员工远程连接到各自的公司网络，这进一步增加了攻击者可利用的终端数量。展望未来，这些催化剂丝毫没有放缓的迹象：根据IDC和CrowdStrike的估计，到2026年，终端安全市场规模预计将增长到1260亿美元以上。

来源：CrowdStrike

计算机病毒的威胁在20世纪70年代首次出现。到1980年，计算机病毒已经能够自我复制并在网络中扩散。在互联网发展的早期，一切都是开放的，没有防火墙，这意味着一种病毒几乎可以传播到整个网络中所有联网的机器。为了应对这些早期病毒，第一代网络安全公司应运而生。

传统端点安全解决方案

端点安全第一时代的领先企业包括 McAfee、赛门铁克和趋势科技。这些早期的解决方案提供了防火墙、文件加密和基础设施安全服务。当时盛行的模式是基于签名的防病毒安全，适合本地基础设施。在此期间，McAfee 发布了首个针对桌面应用程序的消费者防病毒平台，这在当时被认为是尖端技术。

原始来源：SentinelOne 演示文稿

基于签名的检测技术通过匹配数据库中的已知模式来工作。安装后，这些安全解决方案会审查传入文档的签名，以检测它们是否与数据库中已知的恶意签名匹配，这意味着基于签名的防病毒解决方案只能防御其数据库中已收录的威胁。如果匹配，防病毒软件将拒绝并终止该进程或文件。由于这些第一代签名平台并非基于云，因此必须定期更新以防御新的威胁。

最终，网络犯罪分子学会了如何绕过基于签名的安全解决方案，他们不断修改病毒签名，并开发出能够规避杀毒软件的新形式的恶意软件。早期的终端安全平台也都部署在本地，用户必须更新到最新版本的杀毒软件才能检测到新形式的签名恶意软件。然而，随着恶意程序数量的增长，签名数据库的规模也随之扩大，导致设备上的杀毒程序对磁盘空间、CPU 和内存的消耗不断增加。

数十年来，传统的端点安全厂商一直依赖这些业务作为利润驱动力，却迟迟未能适应云计算和移动技术的兴起。部分原因在于其领导能力不足。例如，在担任行业领导者十年之后，迈克菲经历了数位高管离职、收入虚报丑闻，并在21世纪初经历了五任首席执行官的更迭。赛门铁克也在2013年左右失去了一些在公司早期发挥了重要作用的关键领导者。

结果，许多传统企业内部创新有限，鲜有初创企业被收购，最终未能维持其在终端市场的垄断地位。等到它们开始适应新世界时，像 CrowdStrike 这样的公司已经开始抢占市场份额。想要了解更多关于终端安全历史的信息，请参阅Trellix、Convequity和SentinelOne对此主题的解读。

尽管如此，传统厂商在过去十年中仍然成功守住了庞大的客户群。例如，根据2019 年 IDC 安全报告，趋势科技以约 11% 的市场份额领先于端点安全市场。然而，在过去十年中，传统厂商的市场份额有所下降，收入增长也放缓。与此同时，像 CrowdStrike 这样的现代 EDR 公司却经历了快速增长。从 2019 年到 2021 年，CrowdStrike 的市场份额从 5.8% 增长到 12.6%。截至 2022 年 11 月，CrowdStrike 报告的 ARR 超过20 亿美元，同比增长 59%。

颠覆者：现代终端参与者

到 2011 年，像 CrowdStrike 这样的新兴公司意识到了基于签名的防病毒软件的缺陷，并开始使用云解决方案。这些下一代平台在云端动态整合了基于签名的检测功能，而不是静态地在本地部署。基于云的安全解决方案的优势在于带宽更高，并且允许随时轻松地将软件更新推送到设备，而无需等到季度末再购买新软件。

新兴公司利用云计算和存储的快速发展，构建了更强大的终端安全防病毒产品，从而催生了一类全新的终端安全解决方案：终端检测与响应 (EDR)。EDR 是一种云原生终端安全解决方案，可持续监控终端用户设备，以检测并响应勒索软件和恶意软件等网络威胁。EDR 平台使用单一轻量级代理，可通过下载轻松安装到设备上。由于大多数已知威胁数据库都存储在云端，因此这些平台所需的设备内存和存储空间更少。因此，与静态且本地部署的传统解决方案相比，现代终端防护解决方案能够提供更全面的解决方案，以防御更广泛的网络攻击，例如数据丢失、网络钓鱼、无文件攻击、无签名恶意软件等。

现阶段，现代端点安全堆栈大致可分为六大类。本报告将更深入地探讨这些类别，并探讨其中的代表性参与者。

1. 端点检测和响应 (EDR)
2. 托管检测和响应 (MDR)
3. 托管安全服务提供商 (MSSP)
4. 安全信息和事件管理 (SIEM)
5. 安全编排和自动响应 (SOAR)
6. 安全运营 (SecOps)

资料来源：Contrary Research

端点检测和响应 (EDR)

在传统特征码防病毒软件风靡数十年之后，如今的高级防病毒解决方案已融合了端点检测与响应 (EDR) 和端点保护平台 (EPP)。在业界最终采用 EDR 之前，EPP 是第一个迭代版本。虽然这两个术语含义相似，但它们代表着不同的技术堆栈。

EPP 需要更强大的代理，虽然可以检测并消除威胁，但无法全面掌握设备上的威胁态势。EPP 的重点是检测漏洞并在攻击的第一个入口点阻止设备攻击。然而， 2019 年攻击者的平均驻留时间（即黑客入侵网络后被发现的时间）超过 56 天。因此，这些 EPP 解决方案存在缺陷。即使攻击者已经成功入侵网络而未被发现，也需要更强大的防护措施来应对。

为了解决这个问题，EPP 很快演变成了 EDR 解决方案。EDR 平台基于云原生架构构建，更加全面，提供先进的威胁防御、监控、检测和修复功能。EDR 使用轻量级代理，将遥测数据发送到云端进行分析，然后 SecOps（安全运营）团队可以远程确认威胁并将其消除。设备上的 EDR 端点代理可以执行各种操作，例如对黑客攻击采取行动、删除损坏的文件，以及在 SecOps 团队的协助下将系统恢复到之前的状态。这就是 EDR 与 EPP 相比，包含“检测和响应”元素的核心原因。

EDR 平台还集成了行为机器学习算法，例如 UEBA（用户端行为分析）、网络流量分析 (NTA) 和 AI/ML 算法，以提升威胁检测能力。EDR 旨在识别比传统防病毒软件更复杂的攻击，例如多态和无文件恶意软件。它们能够对大量设备进行持续监控，并不断收集遥测数据。

提供 EDR 端点安全解决方案的供应商大致可分为两类。第一类是云原生 EDR 平台，包括 CrowdStrike、SentinelOne 和 Cybereason。第二类是大型科技公司，它们将端点解决方案作为大型企业产品的一部分提供。这些公司包括Microsoft Defender、Palo Alto Networks Cortex、Blackberry、Fortinet、Sophos Intercept、Cynet和Deep Instinct。在市场领导地位方面，IDC将 CrowdStrike 的解决方案评为产品领域的领导者。要比较各种产品，请参阅Gartner Peer Insights 发布的评测列表。

来源：IDC

CrowdStrike

CrowdStrike 成立于 2011 年。它被广泛认为是行业先行者，因为它是首批推出基于云的轻量级代理（即监控软件无需在受监控终端上安装组件的架构）的安全公司之一。CrowdStrike 首席执行官 George Kuntz 在共同创立 CrowdStrike 之前曾在 McAfee 工作了7 年多，深知传统杀毒平台的缺陷。

CrowdStrike 的平台“Falcon”仅占用35MB 的存储空间，而传统基于签名的防病毒解决方案则需要超过 5GB 的存储空间。Falcon 使用机器学习来学习用户行为、阻止攻击并删除损坏的文件或恶意软件。然后，它可以将针对该恶意软件的解决方案共享到 CrowdStrike 网络上的所有其他端点，或进行攻击。因此，每个 CrowdStrike 平台都变得更加智能，因为它们不断学习新的威胁技术。这构建了重要的网络效应。

过去十年，CrowdStrike 一直是最成功的网络安全公司之一。在 2022 财年，该公司创造了超过23 亿美元的年经常性收入，同比增长 54%，截至 2022 年 11 月的过去 12 个月中，正营运现金流超过 7 亿美元。随着初期顺风增长开始放缓，CrowdStrike 的下一增长阶段将涉及进军邻近市场。该公司已开始通过收购Preempt、SecureCircle和Humio提供新服务，例如零信任安全服务、云工作负载保护平台 (CWPP)和身份安全。无印良品在Hhhypergrowth上发表了一篇博客文章，概述了他们年度 Falcon 大会的所有重要见解。

过去十年，该公司通过提供除最初核心产品之外的配套服务，发展成为一个重要的平台。它已从单一的端点安全单点解决方案转型为一家全方位整合的IT公司。

SentinelOne

SentinelOne成立于 2013 年。SentinelOne 为中小企业提供 EDR 服务，但其独特之处在于更注重安全自动化，并在解决方案中使用行为 AI。SentinelOne 是增长最快的终端公司之一，与 CrowdStrike 直接竞争。SentinelOne 使用 Singularity XDR 平台，该平台从不断扩展的众多不同内部和外部来源提取、关联和查询 PB 级的结构化和非结构化数据。SentinelOne 使用静态 AI，下载后可在用户系统上进行规范化并建立基线。

一个关键的区别是，SentinelOne 的产品既可以在云端使用，也可以在本地使用。SentinelOne 还参与了并购，收购了Scalyr，使其产品扩展至安全数据湖。此外，收购Attivo 网络使 SentinelOne 得以进入身份访问和数据存储市场。截至 2022 年 11 月，SentinelOne 的长期收入 (LTM) 超过 3 亿美元，尽管该公司仍在消耗现金，截至 2022 年 11 月，LTM 运营现金流为负1.34 亿美元。SentinelOne 仍然是该类别中值得关注的重要公司。

Cybereason

Cybereason是一个端点安全平台，提供各种 EDR、安全监控和托管检测服务。该公司最初由以色列国防军的前网络安全专家创立。Cybereason 的MalOps引擎可关联防火墙和 SIEM 等多个端点之间的数据，使安全团队能够比传统的 EDR 解决方案更快、更准确地识别威胁。他们还提供托管检测和响应 (MDR) 服务，这是针对中小企业的外包网络安全服务。

2021年7月，Cybereason在F轮融资中筹集了2.75亿美元，估值约为30亿美元。该公司也备受关注，在2021年Gartner终端保护平台魔力象限中被评为“远见者”，并在Forrester的MDR报告中被评为“高绩效者”。尽管取得了成功，但Cybreason推出其EDR平台的时间比Crowdstrike、微软或SentinelOne晚得多，直到2017年才推出其解决方案。因此，它尚未取得与早期进入者同等程度的成功。要了解有关Cybereason的更多信息，您可以阅读Contrary Research关于该公司的完整报告。

钛

Tanium 为企业提供统一的 IT 服务管理端点平台，以简化端点安全和配置合规性。Tanium 是一家较为成熟的网络安全公司，成立于 2007 年。Tanium 解决方案可以部署在本地或云端。该平台旨在通过实时关键端点数据的单一视图，统一安全和 IT 运营团队。它涵盖了从资产和威胁发现、客户管理、合规性管理到威胁搜寻等所有功能。

Tanium 的一个关键点在于，它的大部分技术并非直接用于检测和保护用户免受黑客攻击，这与 Crowdstrike 不同。Tanium 主要专注于 IT 基础设施管理、错误配置监控或追踪、补丁管理以及 IT 设备资产监控，以确保其能够有效应对实际黑客攻击。他们确保公司遵守标准法规并及时修补任何漏洞。a16z 的 Steven Sinofsky 撰写了一篇关于 Tanium的概述，进一步阐述了 Tanium 平台。

深层本能

Deep Instinct 成立于 2015 年，致力于将人工智能深度学习框架应用于网络安全终端。其深度学习技术能够精准防御零日威胁和 APT 攻击。Deep Instinct 能够保护企业的终端，例如移动设备或基础设施，无论它们是否连接到互联网。

据报道， Deep Instinct 的产品解决方案能够在不到 20 毫秒的时间内预测并阻止已知、未知和零日威胁，比最快的勒索软件加密速度快 750 倍。Deep Instinct 的零日准确率超过 99%，误报率低于 0.1% 。这有望突破端点安全市场的极限。

通过将深度学习技术应用于网络安全，企业现在可以防御来自任何来源的未知和规避型网络攻击。根据 Forrester Consulting 对 Deep Instinct 高级端点安全解决方案的总体经济影响研究，一家组织可以在三年内获得 350 万美元的收益，而成本仅为 60 万美元，净现值 (NPV) 高达 290 万美元，投资回报率高达 446%。在普通 CPU 机器上，数百兆字节的深度学习模型能够将威胁检测率降低至 20 毫秒，这对于端点安全而言是一个重要的里程碑。

托管检测和响应 (MDR)

MDR 可以被视为 EDR 平台的人工延伸。MDR 是外部网络安全服务，通过安全分析师、工程师或研究人员等安全专业人员提供全天候的高级技能和服务。这些专业人员提供更高水平的专业知识、安全分析、主动威胁搜寻以及针对主机或网络级别情况的事件响应。

MDR 的出现源于中小企业无力承担全栈安全运营中心 (SOC) 或 IT 安全部门的运营成本。此外，安全专业人员的短缺也进一步推动了该行业的发展，这使得 MDR 变得至关重要，尤其是在企业面临新型网络攻击并需要专家协助消除威胁时。

MDR 和 EDR 之间的关键区别在于谁负责底层监控、检测和响应功能。如果将这些功能外包给安全提供商，则称之为 MDR 服务。如果内部完成，则称之为 EDR 平台。MDR 服务依赖于与公司 IT 运营团队更直接的沟通。

安全中的人为因素将继续在未来的网络安全中发挥至关重要的作用。唯一需要注意的是，如果XDR解决方案中的AI功能继续呈指数级增长，MDR终究有可能被XDR平台取代。然而，大量证据表明，这仍然遥不可及。

例如，在 CrowdStrike 2023 财年第一季度的季度收益电话会议上，CrowdStrike 提到其 MDR 业务在所有模块中表现出最强劲的增长势头。首席执行官表示：“客户希望通过能够为其提供建议的 MDR 组件来补充他们的 EDR 解决方案。” 根据2022 年 IDC 调查报告，首席技术官被问及“贵公司在 2022 年以下 IT 服务上的计划支出[预算]将如何变化？”，约 45% 的公司计划在 2022 年比 2021 年增加 MDR 支出。

MDR 的主要参与者包括 CrowdStrike、Deloitte、Palo Alto Networks、eSentire、Arctic Wolf、Red Canary和Critical Start。

资料来源：Truist Securities 和 IDC

关键开始

Critical Start是一家专注于帮助客户提升安全能力的 MDR 公司。他们利用其“防御网络”框架，帮助各种规模的组织确定其安全就绪状态。Critical Start 提供托管安全服务、事件响应、专业服务响应和研究部门。Critical Start 的平台与多家终端 (EDR) 供应商（例如 CrowdStrike）以及安全信息和事件管理 (SIEM) 平台（例如 Splunk）集成，从而帮助客户更深入地了解公司网络的监控情况。

埃森蒂尔

eSentire是一家新兴的加拿大 MDR 服务提供商。其 MDR 服务方法专为零信任分段、基于策略的执行和自动化解决方案而设计。他们提供对客户网络的手动监控，以实时检测和阻止网络攻击。其功能包括实时深度包检测、人工辅助机器学习、基于行为的异常检测、基于签名的入侵检测和预防以及频繁的分析师沟通。该公司的产品结合了机器学习 XDR 技术、全天候威胁搜寻和安全运营服务，以缓解业务攻击。该公司认为其易于部署是其竞争优势，平均遏制主动网络安全威胁的时间不到15 分钟。

托管安全服务提供商 (MSSP)

MDR 的下一个发展方向是 MSSP。MSSP 与 MDR 类似，它们也为企业提供外包网络安全服务。然而，MSSP 专注于更具操作性、级别更低的安全任务，这些任务可以增强或取代组织的内部安全团队。

MSSP 运营着一个安全运营中心 (SOC)，提供全天候安全监控、日志数据汇总和安全事件支持。MSSP 市场已成为网络安全生态系统的重要组成部分，主要是因为企业面临内部安全技能短缺，而网络攻击日益增多。根据 Cybersecurity Ventures 的就业报告，截至 2021 年底，全球约有 350 万个网络安全职位空缺，其中 50 万个在美国。

为了克服这一困境，许多 CSO 将 MSSP 视为一种途径，既能获得专业的安全专业知识和全天候监控能力，又能降低运营成本。该行业的一个关键驱动因素是降低成本——企业会选择 MSSP，因为它们可以降低员工的总体拥有成本，并使他们能够及时了解监管要求的合规性。

MDR 和 MSSP 之间存在一些关键差异。MDR 平台提供商专注于帮助组织主动应对威胁，而 MSSP 则旨在在发生违规行为时采取应对措施。与 MSSP 不同，MDR 服务专注于高级检测、响应和威胁搜寻，而不是安全警报监控。

根据 Truist Securities 发布的《2022 年及以后的网络安全》报告估计，MSSP 市场仍然高度分散，没有一家供应商的市场份额超过 5%。这种分散性主要源于该行业的进入门槛较低。值得关注的主要市场参与者包括Arctic Wolf、Optiv、IBM、Verizon、Wipro、TCS 和Infosys。

北极狼

Arctic Wolf目前是最大的 MDR 和 MSSP 云监控服务提供商。该平台提供持续安全监控和安全防护等解决方案。它引导客户网络流量通过公司安全的云基础设施，并在其中进行分析并与外部数据源关联。这些产品功能包括威胁检测与响应以及风险管理服务。Arctic Wolf 是业内领先的提供商之一，并持续推出支持其 SecOps 领域客户的新技术。

安全信息和事件管理 (SIEM)

SIEM 是一种集中式技术，用于持续收集安全日志，并将来自网络、系统和设备日志的不同事件关联起来，以生成实时监控和警报。SIEM 帮助组织在攻击对企业造成损害之前识别潜在的安全威胁和漏洞。SIEM 最初实际上是一个合规性工具，而不是一个真正的威胁防护软件，后来才被用作安全解决方案。

随着企业技术堆栈日益复杂，SIEM 工具可通过识别和分类整个企业的安全事件、日志和数据，帮助安全运营团队监控平台。根据 2021 年 IDC 安全 SOC 工具调查，SIEM 平台面临的一些主要挑战围绕人员配备、数据提取和专业知识。正如上文所述，MSSP 和 MDR 正是在这一领域利用 SIEM 工具来协助他们进行日志监控、漏洞扫描和涉及聚合信息的编排任务。具有更高级数据提取功能和高级日志聚合功能的下一代 SIEM 平台包括Panther Labs、Exabeam、Securonix、Demisto（Palo Alto Networks 旗下）和 Hunters AI 等新兴初创公司。

来源：IDC

Splunk

Splunk 是一个软件平台，用于搜索、分析和可视化从网站、应用程序、传感器、设备等收集的 IT 基础设施数据。Splunk 成立于 2003 年，是首批为 IT 团队提供从各种来源聚合和可视化数据能力的公司之一，并于2012 年首次公开募股 (IPO)。因此，Splunk 多年来一直是 SIEM 领域的领导者，并在大型企业中积累了定价权。如今，Splunk 已成为企业预算中最昂贵的平台之一。

2020 年，Gartner 在 IDC 全球 SIEM 市场份额报告中将 Splunk 评为第一大供应商。该平台对普通企业而言，成本高达数亿美元，具体取决于数据消耗量。客户评论显示，由于平台记录和提取数据的方式，Splunk 的定价受到了各类客户的广泛批评。由于多年来一直处于领先地位，Splunk 一直被认为比较自满。Panther Labs 和 Hunters AI 等新兴企业则专注于从 Splunk 手中分得一杯羹。“ Splunk 大捆绑”等文章表明，SIEM 市场正在发生巨大的变革。

豹

Panther Labs 是一个用于 SIEM 的云原生威胁检测平台。Panther 使用人工智能来集中、规范化和分析安全数据，使网络安全团队能够大规模检测、调查和监控安全威胁和错误配置。

像 Panther Labs 这样的公司之所以能够崛起，很大程度上得益于其利用了 Snowflake 计算和存储的现代架构，这显著降低了数据存储成本。过去几年，数据量呈指数级增长，这使得像 Splunk 这样的平台价格越来越高。客户意识到他们可以使用像 Panther 这样的平台，这些平台的架构建立在三大云提供商的存储层之上，并且可以利用 Snowflake 的速度。像 Splunk 这样的平台构建于 21 世纪初，无法轻易地替换其传统架构以匹配现代数据基础设施，从而实现更便宜的存储。因此，Panther 的速度和更便宜的存储越来越吸引客户。要了解有关 Panther Labs 架构和平台的更多信息，请阅读我们的备忘录。

Exabeam

Exabeam 利用围绕用户行为的分析来提供威胁检测。Exabeam 的平台基于云，将用户实体行为分析 (UEBA)、SIEM日志数据和分析功能整合到一个平台中，以增强其威胁检测能力。

该解决方案利用现有日志数据追踪员工在网络上的活动，然后运用机器学习、全状态用户追踪、自动用户会话组装和附加风险评分来创建用户配置文件。当检测到异常和可疑行为时，它还会发出安全警报。Exabeam 的 SIEM 产品获得了专业人士的高度评价，其中包括入选2021 年 Gartner SIEM 魔力象限。它凭借其产品的复杂性，在领导者类别中获得了最高评价。该公司成功的一个关键原因是，大多数 SIEM 的设计初衷是提供功能，而非结果。借助 Exabeam 打包的用例和内容，安全团队可以通过自动化和附加上下文来管理 Exabeam 威胁检测、调查和响应 (TDIR) 工作流中的每个步骤，从而实现可重复的结果。

安全编排和自动响应 (SOAR)

SOAR 是指帮助组织简化安全运营的技术。SOAR 工具有助于收集 SIEM 监控的输入，并协助确定事件响应警报的优先级。SOAR 为安全运营团队的手动和重复性任务带来了自动化和编排功能。

安全团队每天收到的持续警报数量正在不断增长。根据 IDC 2021 年 11 月的安全报告，不同组织的安全人员每天都会收到数百条警报。SecOps 人员平均要花费 30 分钟来处理每条可操作的警报，而追踪每条错误线索则要浪费 32 分钟。因此，效率和效果至关重要。SOAR 是一种分类服务，可帮助收集数据并自动响应较低级别的安全事件或误报。它将高级别的威胁留给安全专业人员处理，从而让 IT 团队有时间专注于更重要的优先事项。

SIEM 产品有助于全面了解整个组织的情况，但响应警报的过程仍然高度依赖手动操作。IT 安全人才的持续短缺以及企业管理大量安全产品的困难，加剧了对 SOAR 工具的需求。

总结一下 SIEM 和 SOAR 之间的区别。SIEM 解决可见性和监控问题，而 SOAR 解决自动化操作和补救问题。SIEM 整合并关联日志数据。SOAR 创建了一个系统和流程，用于从 SIEM 收集数据，以定义、确定优先级并自动化事件响应活动和工作流程。

此类别的主要参与者包括Splunk Enterprise Security、Sumo Logic Cloud SIEM、Elastic SIEM、FireEye Helix、Cyware、ReliaQuest和Swimlane、Tines。

安全运营 (SecOps)

SecOps 是一个集中式流程，负责管理企业所需的安全技术、查询、基础设施和应用程序。SecOps 将安全流程与更广泛的运营系统（例如 ServiceNow）融合在一起。安全运营团队可以是公司内部的，也可以是外部的。SecOps 的关键作用是收集遥测数据，并持续监控组织网络、应用程序和设备的日志数据。这些分散的数据集合由团队的安全运营中心 (SOC) 管理，以识别最高优先级的安全警报和风险。SOC 使用的工具会全天候扫描网络，以标记 SOAR 和 SIEM 系统已标记的任何异常或可疑活动。

SecOps 的主要参与者包括Awake、Exabeam和Darktrace。SecOps团队有时也会使用Datadog、New Relic和Sentry等应用程序监控软件。

塞库罗尼克斯

Securonix 是一款新兴的 SecOps 工具。它提供了一个云原生安全分析和运营平台，旨在将安全管理与风险情报相结合。该平台将日志管理、用户和实体行为分析 (UEBA)、SIEM、EDR 和 SOAR 整合到一个完整的平台中，可供安全运营团队使用。Securonix 采用开放式模块化架构构建，以支持各种混合 IT 基础架构。该平台在部署、集成和数据存储方面具有灵活性。客户可以掌控并透明地使用其数据，并利用分离式架构解决方案将数据存储在自己的云解决方案中。

驱逐

Expel 提供 SOC 即服务 (SOC-as-a-Service) 平台，为多云环境提供安全监控和响应。Expel 利用来自客户的安全信号，帮助企业从现有安全投资中获得更多价值。它通过 API 而非代理远程连接到客户的系统，因此其 SOC 可以在数小时内开始监控客户的环境，让内部团队专注于更具战略性的安全优先事项。

Expel 为客户提供全天候 (24x7) 的云应用程序、基础设施、网络和端点服务。该公司在Forrester Wave 2021 年第一季度 MDR 报告中被评为领导者，并在 2021 年 IDC MarketScape 美国检测和响应服务供应商评估报告中被评为领导者。Expel 的战略基于自动化推进方法，可加快响应和修复时间。在过去两年中，该公司扩展了其平台，每天可处理的安全事件数量增长了 82%以上，技术合作伙伴和集成数量也翻了一番。

未来十年，端点安全市场将快速发展，并向多个领域融合。这些领域包括 XDR、云工作负载保护以及利用工业物联网实现的边缘安全。

扩展检测和响应 (XDR)

XDR 可以被视为旨在聚合和融合本报告前面讨论过的不同端点安全领域的技术。Gartner 将XDR 定义为“基于 SaaS、特定于供应商的安全威胁检测和事件响应工具，它将多种安全产品原生集成到一个统一的安全运营系统中，并统一所有许可组件。”

此定义指的是一个能够采用统一方法响应整个组织威胁的集中式平台。管理孤立、分散的安全应用程序以及日益增多的误报是人手不足的SOC团队面临的挑战。XDR解决了这些问题。XDR将可见性和保护控制扩展到终端之外，还涵盖了网络防火墙、云、SaaS应用程序和电子邮件等其他领域。XDR的目标是全天候不间断地从这些点收集数据，并将其持续输入机器学习模型。模型训练完成后，即可自动化并响应威胁，从而减少SOC团队管理的警报数量。

来源：CrowdStrike

XDR 技术有三个关键组成部分：摄取、检测和响应。

摄取：首先，集成或摄取是使用 API 合并不同的遥测源，以吸收来自上述所有设备的数据，包括来自电子邮件、桌面、容器、网络、监控工具（如 SIEM）和第三方软件应用程序的数据。

检测：其次，在从广泛来源采集、解析并映射到模式之后，大部分数据将使用嵌入到架构中的机器学习进行分析。人工智能会对所有遥测数据进行规范化和关联，以查找异常值。XDR 平台能够主动学习威胁，并开发快速高效地应对威胁的方法。然后，它有助于确定向安全运营 (SecOps) 团队发出警报的优先级。

响应：最后，嵌入式代理能够响应和补救平台上的任何攻击，或根据预先构建的工作流将案例分类给 SecOps 团队。它能够立即采取行动来阻止、遏制和回滚威胁。XDR 将 EDR、MDR、MSSP、SIEM 和安全运营的不同组件整合到一个平台中。最终目标是提高本已人手短缺的 IT 安全团队的工作效率，并提高威胁检测平台的复杂性。正如我们在最初的网络安全报告中所讨论的，XDR 是朝着网络安全生态系统持续聚合和整合迈出的一步。主要的 XDR 参与者包括 CrowdStrike、SentinelOne、Anomali、Cynet和FireEye XDR。最重要的是，值得注意的是，XDR 仍然是端点安全所追求的愿景，并且业界仍需要时间才能实现完整的“XDR”平台。

安全与数据基础设施融合

安全正日益成为一个数据问题。网络安全公司和数据基础设施公司之间可能会更加融合。例如，该领域最近的一个发展是亚马逊网络服务 (AWS)刚刚宣布推出 Amazon Security Lake，这似乎是安全行业的一个重大进展。Snowflake 也宣布了其网络安全工作负载。此外，另一方面，我们看到 Crowdstrike收购了 Humio，SentinelOne收购了 Scalyr。这些都是安全与数据基础设施功能和平台融合的几个例子。

这里的主要主题是，公司需要一个集中式数据湖或平台，能够将安全数据、反馈和日志与人力资源、市场营销等其他业务部门的数据相结合。公司希望整个公司拥有一个统一的数据湖。业界已经意识到能够在更广泛的公司环境中分析和关联安全数据的重要性。例如，在网站泄露的情况下，拥有关于 GitHub 等 DevOps 应用的数据可以为身份安全团队提供更多背景信息，以了解用户的登录权限以及谁访问了哪些内容。拥有的数据越多，您可以审查的信号就越多，从而对泄露事件进行彻底调查，或防患于未然。

安全与数据基础设施融合催生出一种趋势，那就是下一代 SIEM 平台的兴起。正如报告前面所讨论的，Panther Labs、Securonix 和 Hunters AI 等平台正在开始取代 Splunk 等成熟产品在传统 SIEM 预算中的部分支出。在 Hadoop 时代（即云时代之前），存储安全数据历来成本高昂、速度缓慢，并且需要仔细甄别哪些数据需要保留。然而，由于现代云基础设施的兴起以及存储和计算定价的分离，安全平台可以提供数据优先的解决方案，而无需担心过高的成本。

如今，企业能够利用数据湖的廉价存储，并且只需在分析已发生的事件时支付查询安全数据的计算时间费用。一些新公司开始采用这种方法，包括 Dropbox、DoorDash、TripActions 和 Figma 等。要了解更多关于数据基础设施的历史，以及像 Snowflake 这样的公司如何利用其平台拓展网络安全领域，请阅读我们的深度探讨。

云工作负载保护平台 (CWPP)

越来越多的端点和工作负载正在迁移到云端。近年来，我们看到端点保护厂商开始提供更多旨在解决云端安全威胁的解决方案。例如，CrowdStrike 的CWPP 解决方案或 Palo Alto 的云工作负载解决方案。

云工作负载保护是监控和管理云工作负载上威胁的过程。它旨在保护云上的一系列工作负载（微服务应用程序、容器、虚拟服务器和 Kubernetes）。根据 ETR 2022 年 5 月的调查结果，Kubernetes 和容器安全的采用率在过去一年中大幅提升。这主要是因为开发人员正在寻求更经济、更高效的软件构建和部署方式，从而减少服务器虚拟化。

云工作负载安全更深入地保护虚拟机及其性能，包括基础设施、软件供应链、系统工具、系统库和运行时，以抵御网络攻击。它能够进一步保障容器镜像、主机、运行时、注册表和编排平台的安全。

CWPP 提供对工作负载和容器事件的全面可见性。如果事件无法被看到，就不可能检测、阻止或响应。一旦启动虚拟机或容器，即使镜像已正确配置并验证，也可能受到威胁。CWPP 确保这些机器在持续集成/持续交付 (CI/CD) 工作流的整个软件生命周期内受到保护。随着云采用率的不断提高，端点安全解决方案将在应用程序级别提供更高的安全性。

边缘安全：运营技术和物联网

边缘安全正在为端点安全开辟另一条增长途径。运营技术 (OT) 负责保护工业基础设施、设备和资产。工业控制系统 (ICS) 包含用于控制和保护工业技术的系统。随着勒索软件攻击者意识到针对关键基础设施（包括许多制造和能源公司）进行攻击的价值，OT 环境中的勒索软件攻击正在日益频繁。这些基础设施价值高昂，且对停机风险的容忍度较低。这些攻击者利用这种低容忍度，试图更持续地从受害者那里勒索赎金。

根据Dragos 发布的《2021 年工业控制系统运营 (ICS) 网络安全年度回顾》，在 2021 年的所有工业领域中，勒索软件组织针对制造业的攻击数量最多，几乎是其他工业领域总和的两倍。即使泄露的运营 (OT) 数据相对较旧，但网络物理系统的典型寿命也为 20 至 30 年，因此泄露的数据对于侦察工作而言可能长达数十年——比泄露 IT 基础设施信息的时间要长得多。

物联网安全

根据2022年物联网分析报告，预计到2022年，全球联网物联网设备数量将增长18%，达到144亿台。联网设备和传感器技术的兴起，扩大了网络攻击者的终端攻击面。这促使企业要求提高资产可视性和资产控制能力。2021年一项针对1.6万多名IT安全专业人士的调查发现，80%的物联网应用程序和71%的移动应用程序仍未进行漏洞测试。物联网安全的关键领域包括渗透测试、端到端加密、用于设备身份验证的数字证书、更新和代码签名、无代理设备扫描以及物联网网络微分段。

推动物联网安全的关键因素在于，物联网设备正在被部署到网络边界之外。因此，传统的终端产品并不总是能够对其进行监控。近年来，物联网设备已成为分布式拒绝服务 (DDoS) 攻击的载体，这些攻击已对一些大型企业造成影响。根据IDC 的物联网预测，到 2025 年，联网设备数量将达到约 420 亿台，但其中许多设备将缺乏足够的防御措施。

Tanium 和 CrowdStrike 等终端公司有机会在物联网终端上部署软件代理，通过安全网关保护所有进出设备的流量，并将所有物联网数据聚合到云端或数据中心。主要的 OT 安全厂商包括Dragos、Claroty、Tenable.ot、Star Lab、Palitronica Palisade、Armis、Regulus、Bastille和Karamba Security。

例如， Claroty是一家工业 OT 安全公司，致力于帮助客户保护和管理其 OT、IoT 和 IIoT 资产。该公司的平台可与客户现有的基础设施和程序无缝连接，同时提供全方位的工业网络安全控制，涵盖可视性、威胁检测、风险和漏洞管理以及安全的远程访问，并显著降低总拥有成本。

Dragos是另一个例子。Dragos 是 OT 安全领域的威胁检测平台。Dragos 是一个工业控制系统 (ICS)，可提供对网络资产的深度可视性。其主要功能包括 OT 设备的网络映射、基于行为分析的威胁检测、威胁运营服务和事件响应。此外，他们还拥有先进的资产发现和识别功能，能够以高保真度映射工业资产，并通过特定于资产类型的各种属性进行区分。Dragos 主要提供工业物联网 (IIOT) 服务。

终点即起点

端点安全是网络安全市场中规模最大、最分散的部分之一。它通常是黑客入侵组织的切入点，并且已成为企业的关键组成部分。向云端迁移加剧了组织面临的端点安全挑战，同时也改进了端点安全解决方案的技术堆栈。

随着时间的推移，端点安全技术已从传统的基于签名的防病毒技术发展到端点检测技术，并最终统一为XDR。由于技术的快速发展，趋势科技和迈克菲等大型老牌企业逐渐被取代，而CrowdStrike和SentinelOne等新兴企业则迅速从这些领先企业手中夺取市场份额。这催生了端点保护行业相关的市场，例如云工作负载保护和工业物联网。能够跟上技术发展步伐、并了解黑客不断变化策略的公司，将成为该市场的长期赢家。

安全领域的下一个前沿是什么？保护云。请务必订阅，以免错过我们网络安全系列的下一篇，该系列将深入探讨云和网络安全。