日前,数世咨询正式发布《主机检测与响应能力指南》报告,首次定义了HDR品类,总结出HDR应具备包括Agent、安全视角的资产发现、安全检测、安全响应等四大关键能力,并从市场执行力和应用创新力两个维度进行评估,制定了HDR能力点阵图,梳理定位了来自11家厂商的主机安全类产品。其中,青藤云安全、奇安信在市场执行力方面遥遥领先其他安全厂商,但在应用创新力方面,微步在线与安芯网盾名列前三,已经超过了HDR市场绝大部分主流玩家,成为HDR市场的创新“黑马”。
据数世咨询发布的数据显示,相比于HDR在2020年的12.8亿营收,2021年营收规模达到了21.56亿,增长率高达68.44%,显著高于2021年整个网络安全行业18.6%的年复合增长率。尽管网络安全行业增速整体放缓,但企业出于合规、安全技术驱动、提升安全运行效率及实战攻防演练等旺盛需求,可预见的是,在未来2-3年,HDR细分市场仍将处于逆势增长阶段,年复合增长率显著高于网络安全行业其他细分市场。
什么是HDR?为何HDR需求旺盛?
HDR,Host Detection and Response,主机检测与响应,是指以主机侧为目标,以探针(Agent)为基础技术手段,采集网络、文件、进程等多种维度的数据并上传至管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。
数世咨询认为,“主机安全”高增长的驱动因素主要有两点:
● 新冠疫情加快了国内云计算进程,主机安全作为伴生需求也随之增长;
● 近年来持续的红蓝对抗实网攻防,对主机安全提供了有力的刚需支撑。
这些需求促使用户对主机安全的接受度越来越高,同时,也不断有新的能力“玩家”加入到这个细分领域。比如威胁情报是HDR的重要支撑技术,微步在线凭借在威胁情报领域的优势进军HDR市场;长亭科技则以红队技术闻名业内进而杀入HDR领域;安芯网盾则从主机内存安全检测技术切入。尽管都初入“主机安全”领域,但在应用创新力方面已经赶上甚至超过这个领域的“主力玩家”,受限于用户规模,在市场执行力方面还有待加强。
据数世咨询的调研,主机安全领域的用户群体主要集中在金融、运营商、科技互联网等行业,结合前面两个驱动因素,数世咨询总结出HDR产品的四大需求点:
● 满足合规要求:不仅是“等保2.0“对主机安全有明确要求,同时各行业监管部门对主机安全的重视程度日益提高,并逐渐以结果为导向,这是HDR的第一需求;
● 安全技术驱动:运营商、金融、电力等行业用户主机数量动辄百万台数量级,仅仅依靠边界防护早已无法满足安全需求,作为主机的最后一道防线,主机检测与响应也就成为技术发展的必然;
● 提升安全运行效率:安全团队希望通过 HDR 产品及相关解决方案,加强与各兄弟团队的沟通,提升安全运行效率。
● 实战攻防演练:实战化攻防演练加速了安全需求从合规到实战的转变。因此,HDR 需要的不再是基于特征匹配的传统 HIDS,而是结合安全基线与外部情报的有效检测能力,以及基于精准告警的快速响应能力。
这四大需求,再结合这些行业对于业务连续性的苛刻要求,使得传统EPP、HIDS、CWPP与PC端的杀软等安全方案都很难满足,由此催生了HDR这一主机安全新品类,及其必备的包括Agent、安全视角的资产发现、安全检测、安全响应等四大关键能力。
HDR四大关键能力,与用户需求紧密相关
HDR是基于用户需求而诞生的品类,这就意味着其关键能力必然与用户需求息息相关。在HDR的四大关键能力之中,探针(Agent)是最基础也是最重要的能力,因为HDR主要基于Agent收集的网络、文件、进程等多种维度数据进行关联分析并响应。
1、Agent是HDR基础:牢记三点衡量标准
而从用户需求出发,Agent最重要的衡量标准包括以下三点:
● 业务连续性是最高优先级,Agent必须轻量设计,以避免影响业务连续性。所以不管是老牌的青藤,还是微步在线等新加入者,都强调Agent轻量设计,且具备“自 杀”策略;
● 功能虽多,但资源占用率必须低。主机要抵御各种网络攻击风险,就需要尽可能多维的检测手段,但必须保证不能与应用争夺资源,所以不仅要轻量设计,还要“轻量”运行,Agent功能模块化设计也是一种有效手段;
● 功能效率是Agent的另一个加分项。尽管“轻量”是Agent的必备前提,但Agent的真正核心能力还在于安全,如何在“轻量”的前提下,尽可能提高安全能力就成为另一个衡量标准。也就是资源占用尽量少,功能却要尽量多,还必须有效。所以威胁情报、告警精准、少误报,乃至AI能力也是Agent的考量因素。
2、事前预防:安全视角出发的资产发现能力
基于安全视角的资产发现与管理,是有效检测与响应的前提。针对这些入账资产,要进行主机层、系统层、应用层乃至Web 层等各细化层级的资产清点,为后面做到安全基线梳理、快速精准检测、快速发现威胁、快速做出响应打好基础。
所谓“基于安全视角”,不能只从攻防角度来考虑资产重要性,还应当结合业务优先级、强合规等要求,从更高的安全敏感度考虑资产重要性,对发现的资产进行分类分级、统一管理。
3、全面的检测能力是精准响应前提
由于应用环境的多样性特点让主机运行的环境极其复杂,可被网络攻击利用的方式也呈多样化趋势,作为主机的最后一道防线,这就要求HDR要具备全面的检测能力。主要包括以下四点:
● 结合情报的脆弱性检测:通过外部的威胁情报、漏洞情报等来发现主机及其应用存在的漏洞、弱密码、开放端口以及不当配置等风险点,通过修复风险点来实现攻击面收敛目的,降低被攻击几率;
● 基于基线的攻击入侵检测:经实践证明,通过HDR可有效降低“噪音”减少误报,显著缩短安全团队的MTTD/MTTR(平均检测时间/平均响应时间),主要包括系统完整性监测、横向移动检测、兼容性与可扩展性等。
● 内存安全检测:“内存马”等无文件攻击方式已经成为今年国家级攻防演练中的红队常用攻击方式,针对内存安全的检测也成为HDR的必备检测能力。
● 容器安全检测:有别于物理主机和云主机,容器主机是一种较为特殊的主机应用方式,通常安全行业针对容器安全有针对性解决方案,一般HDR也具备一定的容器安全防护能力。
4、精准响应能力:向主动安全运营转变
基于主机侧的安全响应与终端不同,其难点并不在于传统的攻防技术或安全服务,而在于保证业务连续性的前提下,结合威胁情报进行准确分析与判断,利用 HDR 产品与各团队的协同,将传统被动应急,转变为主动安全运营。其主要包含以下三点:
结合威胁情报的分析与诊断:Agent采集的数据,会根据主机侧安全运行基线来筛选掉正常数据与噪音,利用威胁情报对疑似异常数据进行自动化分析。提升“自动化分析”的检测准确率(缩短MTTD),能够为后续提升响应时效(缩短MTTR)带来极大助力。其中威胁情报的准确性是极其关键的因素。
HDR产品与各团队的协同:主机侧的安全响应,一定要能够通过HDR产品与业务、网络、运维等兄弟团队进行同步、协同,这是 HDR 响应能力的重点。其应包括可视化、核心业务、灵活维护策略、丰富的报告以及本身的安全性等功能。
基于主机侧的安全运营:从威胁检测到应急响应,从分析诊断到部门协同,前述各项产品能力要结合“人”形成安全运营能力。基于主机侧相对稳定的业务、运维、网络环境,以主机资产为核心,以事前收敛、事中控制、事后追溯为原则,结合威胁情报能力,实现一定程度标准化的预防、检测、响应闭环。
HDR未来发展趋势
如前文所述,用户加速主机安全类产品的采购主要基于三点因素:网络安全法、等保及关基条例明确要求的合规性需求;业务上云后需要提升主机安全能力;以及实战化红蓝对抗攻防演练中,主机安全已经成为最后也最重要的一道有效防线。这些因素驱动HDR未来在市场供需方面,将出现需求与投入双增长的态势。
内存马、无文件攻击等新的攻击形式,内存安全检测成为近两年实网攻防演练中的必备能力;同时,疑似攻击行为在内存中一旦形成攻击链条,会具备更高的可信度。因此,从技术能力方面,内存安全能力将逐渐成为HDR中的标配。
随着红蓝对抗实网攻防在用户侧常态化演练越来越多,业务、运维等兄弟部门对 Agent 接受程度也会越来越高;主机侧的自动化响应能力逐渐增强,特别对安全格外重视的行业,一定程度的自动化响应能力会越来越多得到应用;威胁情报的作用与地位会进一步凸显……这些都促使HDR在应用场景方面,以结果为导向将成为主流。
最后,虽然当前用户对HDR的自动响应能力并没有太多要求,但随着主机安全需求扩展到其他行业,由于网络攻击复杂性、安全团队能力参差不齐、威胁情报准确性进一步提高、AI等新兴技术深入应用等因素的综合作用,总体而言,HDR将与EDR趋于整合,并且,各类端点侧的安全能力,都将整合为一体化的端点安全能力。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
