IDC报告：奇安信天擎EDR获国内市场份额和策略双第一

10月26日，国际权威咨询机构IDC发布《IDC MarketScape: 中国终端安全检测与响应市场 2020，厂商评估》报告。在本次 IDC MarketScape 评估中，IDC 调研汇总了十余家终端安全提供商，并基于策略（未来能力规划，包括增长、创新、交付、资金等）和能力（包括客户满意度、客服交付、平台适配、功能特性）等多个关键指标进行打分，奇安信终端安全检测与响应（EDR）产品获得策略和市场份额双第一，位居领导者象限。

图注：圆圈大小代表市场份额大小

IDC认为，长期以来，基于特征签名技术的终端安全防护技术在广大企业及个人用户的网络安全防护体系中，占据着重要的位置，但对复杂性和隐蔽性均显著提升的各类网络威胁，传统的终端安全防护平台（EPP）产品逐渐显得有些力不从心，EDR技术应运而生。EDR凭借其强大的终端安全信息检测、分析、响应与溯源能力，能够有效发现那些隐蔽且复杂的恶意威胁，弥补 EPP 产品的不足，帮助企业提升对高级持续性威胁（APT）、零日威胁、无文件攻击等复杂威胁的检测与响应能力。

目前，EDR 工具的作用和重要性已经在全球得到了安全企业及最终用户的广泛认可，并将成为未来几年终端安全市场持续增长的重要推动力之一。IDC建议，政企机构在采购EDR产品时需要关注EDR提供商相关产品的核心技术能力、威胁可见性、安全专家能力、托管安全服务能力以及安全防护的统一和整体性。

IDC调研结果显示，作为天擎终端安全管理系统的一个重要的业务模块，奇安信 EDR 具备未知威胁检测能力，依托于奇安信集团云端的海量数据，以国内高水平安全研究实验室人员的技术支撑，通过机器学习与自动化数据处理技术，持续发现未知威胁，并将多种攻击特征实时生成规范化格式的可机读威胁情报，用于驱动终端在第一时间内对威胁进行及时检测和响应。

在技术方面，奇安信EDR具备威胁行为检测规则模型，可基于异常行为、机器学习权限分析、内存指令集监测等能力，从事件关联的设备、恶意进程到每个进程运行的详细信息进行清晰呈现，还原威胁全貌并评估响应范围，帮助安全分析人员对威胁建立全面、清晰的认识。根据终端威胁告警的类型及扩散的程度，奇安信EDR可提供不同等级的响应手段，如进程隔离、进程删除、样本加黑、网络隔离等，并支持将单次响应固化成全局策略，实现安全基线提高，以持续拦截威胁。

同时，奇安信EDR能够通过对指定终端进行实时深度调查，获取当前设备最新的安全状况信息，包括终端登录信息、计划任务、正在运行的服务、启动项、开放端口等。帮助安全分析人员对异常终端进行远程问题排查及定位，提升调查分析的效率。

在协同联动方面，奇安信EDR通过标准化接口可与奇安信自有的流量威胁分析设备天眼、安全运营中心（NGSOC）等多种安全管理平台进行联动，协同处置已知的流行威胁和未知的高级威胁，构建从网络威胁检测到终端威胁分析、响应、溯源的完整威胁处理流程，形成立体式高级威胁处置闭环。

IDC中国网络安全市场研究经理赵卫京表示，EDR 作为传统终端安全防护产品的重要补充，凭借其对终端安全信息的持续监测与分析，有效弥补了传统杀毒软件的功能不足，已经成为终端安全市场规模持续增长的重要驱动力。同时，EDR 在企业中的应用场景也在不断丰富，包括传统物理网络、虚拟化/云计算平台、智能移动终端、工业控制系统及物联网设备等，这就要求技术提供商的 EDR 产品/工具能够全面适配不同类型基础架构、操作系统和业务环境。

据统计，奇安信帮助政府、运营商、金融等行业超过5000万终端，构建了多种混合场景下，针对终端威胁的检测、响应和鉴定的高级威胁对抗能力。IDC数据显示，奇安信天擎以22.9%和23.5%的市场份额，已经连续两年（2018、2019）夺得国内终端安全市场份额第一，并且仍处于上升阶段。