В январе 2017 г. «сэр Гартнер» обнаружил [1] новый перспективный рынок информационной безопасности и назвал его Endpoint Detection & Response (EDR). Согласно продаваемому отчету под названием «Competitive Landscape: Endpoint Detection and Response Tools» («Ландшафт рынка EDR-инструментов»), объем мирового рынка EDR в 2016 г. уже превысил 500 млн долл. и тем самым показал почти двукратный рост с 238 млн долл. в 2015 г. При этом четыре лидера рынка – компании Tanium, FireEye, CrowdStrike и Carbon Black – покрывают более половины этого рынка [2]. Правда, коллективный производитель под маркой «Другие» оказался все-таки на первом месте, опередив Tanium. Это означает, что рынок пока еще не консолидированный и плохо структурирован.
Что же аналитики Gartner подразумевает под EDR? По своей сути это инструменты, которые следят за действиями корпоративных пользователей с помощью специального агента и записывают их для дальнейшего расследования инцидентов. Они должны обнаружить угрозу (в том числе и неизвестную), локализовать ее, определить источник и методы проникновения, а также зафиксировать все другие обстоятельства для дальнейшего расследования и принятия мер. Из российских производителей ближе всего к этой категории продуктов подошла компания Cezurity, входящая в группу InfoWatch, но аналогичные по целям инструменты есть и у Group-IB, и у Positive Technologies.
Аналитики Gartner отмечают, что рынок имеет три источника: классический Endpoint Security с расширением функционала по мониторингу пользователей; анализаторы пользовательского поведения (с хорошей аббревиатурой UEBA – User & Entity Behavior Analytics) с добавлением функционала реагирования; инструменты мониторинга событий на клиенте (HIPS) с добавлением информации о пользователях и инструментов анализа. Две последние технологии не получили широкого распространения как самостоятельные продукты, поэтому им может быть дан шанс в виде рынка EDR, если они добавят недостающие пользователям функции. Впрочем, у специалистов по ИБ есть сомнения в самостоятельной ценности EDR, поскольку концепция реагирования на обнаруженные угрозы (особенно неизвестные) не очень понятна. Скорее всего, она сведется просто к информированию дежурной смены или аутсорсеров о подозрительной активности с предоставлением подробной аналитики с помощью небольших BigData-инструментов, но мечта об автоматической защите от неизвестных угроз останется несбывшейся.
Аналитики выделяют такой сегмент рынка, как управляемые сервисы, обеспечивающие выявление и расследование инцидентов с помощью сторонних специалистов. Следует отметить, что именно по такой схеме построен бизнес Cezurity – облачный сервис анализа событий, происходящих на компьютеров клиентов. При этом анализ данных выполняется в облаке производителя с помощью технологий больших данных.
Для российского рынка инструменты подобного класса достаточно привлекательны, что связано с движениями в сторону защиты критической информационной инфраструктуры и развертыванию системы ГосСОПКА. Последняя явно стимулирует потребность в организации центров реагирования, ядром которых вполне могут стать продукты EDR. К тому же есть как собственные разработки в этой области (указаны выше), так и представители международных лидеров. В частности, FireEye, Cisco и RSA как минимум имеют собственные каналы продаж на территории России. Таким образом, и российский рынок EDR вполне может состояться.
- http://blogs.gartner.com/avivah-litan/2017/01/12/booming-500-million-edr-market-faces-stiff-challenges/
- http://blogs.gartner.com/avivah-litan/files/2017/01/EDRmarketrevenuerunrate.gif