开年了，先来个热身

说说安全圈最近比较火的EDR产品

EDR即端点检测与响应

是终端安全领域的新兴技术

↓

↓

那么，EDR到底哪家强？

开局一张图

我们先来了解一下

一、 EDR最新的市场格局

↓

这张图数据源于IDC年前新鲜出炉的报告

《IDC MarketScape：中国终端安全检测与响应市场2020，厂商评估》

这份报告基本上囊括了

国内市场上活跃的EDR产品&服务供应商

比较有特色的是

除了大家熟悉的“传统”安全厂商之外

还评估了几大公有云服务商

总计14家，看点十足！

 

14家厂商根据能力和战略评分

被划分成了4档

↓

第1档，领导者，9家

奇安信、阿里云、亚信安全、深信服

腾讯、华为云、卡巴斯基、绿盟、天融信

第2档，主要厂商，4家

安天、安恒信息、杰思安全、厦门服云(安全狗)

第3档，竞争者，1家

江民科技

第4档，参与者，0家
……

孰强孰弱，一图了然

 

二、再来看看，这些EDR玩家的战斗力

在MarketScape图中

气泡大小反映的是

相关企业2019年的EDR市场营收

这个数据更为直观

我们可以得到一份营收排名

↓

第一集团军的竞争相当惨烈

根据MarketScape图的玩法

横轴代表战略，纵轴代表能力

位置越在右上角就越牛掰

奇安信、阿里云、亚信安全

可算作EDR综合实力（能力+战略）前三甲

 

除了“图说”

这份报告对14家入选厂商

都进行了详细的优势和挑战点评

就不在这里啰嗦了

大家可以下载报告查看

 

三、买EDR，怎么选？

在这份报告中

IDC给出了对技术买家的建议

↓

①技术为王

优先考虑并全面评估产品核心技术能力

在充分“POC”的基础上

选择高性价比的产品和服务

☆划重点：要做POC验证，不要轻信忽悠

 

②提升威胁可见性

什么意思呢？

买EDR产品的目标

绝非仅仅对终端信息进行简单收集和存储

更重要的是

提升对潜在威胁的监测和取证能力

☆划重点：存储和收集信息不是目的

提升威胁时间的响应和处置效率更关键

 

③安全专家至关重要

EDR不可能一劳永逸

处理所有的威胁判定和响应

还需要专业安全人员参与其中

对自动化输出的威胁信息进行深入分析

☆划重点：采购和部署了产品并非万事大吉

还需要培养企业安全专家或者引入专业服务

 

④托管安全服务是大势所趋

IDC定义了三种托管安全服务

驻场安全服务、本地托管安全服务

云托管安全服务

☆划重点：自家专业安全人员不足怎么破？

利用托管模式，找安全服务商当外援

 

⑤安全防护关注统一和整体性

一方面，企业终端类型越来越多

EDR需要“照单全收”

把各种类型的终端都纳入

另一方面

终端安全不能孤立于整体方案之外

需要和企业整体安全方案联动

☆划重点：企业不能为了EDR而EDR

终端安全只是整体安全方案的一块拼图

 

四、最后，再科普一下

EDR究竟是个啥，咋就火了？

EDR，英文全称是

Endpoint Detection & Response

端点检测与响应

这是一种“主动式”的端点安全方案

所谓端点，其实是各种类型的终端

 

按照IDC的评估范围，EDR所保护的端点类型

不仅包含传统PC、智能移动终端、嵌入式终端

还包括传统服务器端、虚拟机/云主机

随着云的普及

云上“新端点”的保护，是个新趋势

 

那么，既然是对终端进行保护

和传统终端安全产品EPP有啥不一样？

 

传统EPP产品，侧重点是“防御”

主要是识别和阻断已知威胁

而EDR产品，侧重点是“检测”和“反应”

它保护的并不局限于端点本身

而是以端点为基础，收集更多信息

结合大数据和机器学习的技术

发现潜在的未知威胁，并作出响应

它会贯穿安全威胁事件的整个生命周期

事前监控/加固、事中检测/分析/响应、事后追溯

将威胁检测的时间线进行了延长

有效发现那些隐蔽且缓慢进行的恶意威胁

因此

对于当下APT、0day、无文件攻击等复杂威胁

EDR产品能够起到较好的防御作用

 

从端点安全的发展史看

传统防病毒是第一代

EPP平台是第二代

而EDR属于第三代

但是，EDR相对于EPP和AV

并非完全替代关系

老中青三代组合拳

共同来保障终端/端点的安全

 

在EDR之后，还有XDR的概念被提出来

其实是将威胁检测和响应的范围扩得更广

不止局限于“端点”

但凡事总有利弊，XDR加戏太多

画饼容易，落地却不容易

成熟还需要假以时日

 

五、如果你是大甲方，你会选择谁？

IDC在研究报告中

把国内的EDR玩家划分为4种出身

↓

而目前，EDR落地最广泛的行业是

政府、通信、金融、能源…

都是妥妥的“大甲方”啊

 

那么，如果你是大甲方，会如何选择？

郑重提醒：新来的朋友可以关注我，文章仅为个人不成熟的观点和总结，请朋友们阅读指正，建议仅供参考，大家切勿当作投资决策依据，投资有风险，请自行决策。

强制安装EDR？

EDR即汽车事件数据记录系统，也就是俗称的“黑匣子”，这套系统主要负责记录车辆碰撞前、碰撞时、碰撞后三个阶段的汽车运行数据，包括速度、ABS状态、方向盘的转向角度、气囊状态、车辆制动状态等。

根据《机动车运行安全技术条件》规定，从2022年1月1日起，国内所有新生产的乘用车都强制要求配备EDR。国外很多国家是强制要求配备的，美国欧盟韩国等都是要求强制安装。

很多人不理解，为何有了行车记录仪还要装EDR？其实这两者区别很大，EDR记录的数据更详细，还有行车记录仪没办法记录的数据，比如车辆碰撞过程中的车速、车辆运行状态等。

另外随着以后无人驾驶的普及，汽车出了事故之后，EDR可以更准确的还原真相。

EDR千亿市场规模待爆发

2020年，我国汽车产量达2522.5万辆。根据特斯拉披露的数据，EDR的套装价格是1200美元，相当于7600元人民币。如果按照国内单价5000元—10000元人民币计算。那么，整个市场一年规模约1260亿—2522亿。所以今天相关概念股大爆发也就在情理之中了。

EDR概念股梳理

启明信息

核心逻辑：国内唯一一家专门从事汽车管理软件研发、制造的高科技企业，在管理软件研发和车载信息系统研制两个领域内处于行业领先地位。公司有成熟的EDR相关数据存储类产品，并大量应用在商用车上（EDR+华为汽车+智能驾驶）。

锐明技术

核心逻辑：公司主要产品有车载视频监控设备、驾驶主动安全套件、司乘交互终端等智能车载设备及管理平台软件，以及一系列面向城市公交、网约出租、两客一危等商用车辆营运场景的行业信息化解决方案。EDR的部分功能公司产品有体现（EDR+车联网+AI）。

威帝股份

核心逻辑：公司是国内领先的客车车身电子控制产品提供商。公司自主开发的具有数据处理、存储、记录和管理功能的汽车行驶记录仪，率先在国内进行产业化推广，使我国汽车拥有了自己的“黑匣子”。（EDR+车联网）。

四维图新

核心逻辑：公司致力于打造国内最好的位置信息大数据+算法+计算能力平台，成为国际一流的高精度地图、车联网及自动驾驶综合解决方案提供商。（EDR+车联网+MCU+华为汽车）。

启明星辰

核心逻辑：国内成立最早、最具实力并拥有完全自主知识产权的综合性信息网络安全企业，公司在互动平台上表示，在多个新兴的安全领域布局取得了明显成效，EDR销售增长了200%（EDR+信息安全+车联网）

国民技术

核心逻辑：主营业务USBKey 安全主控芯片、mPOS 金融支付终端安全主控芯片的研发生产销售。公司MCU芯片产品可用于汽车EDR，相关芯片已在部分客户完成导入（EDR+车联网+MCU）

【免责声明】本资讯为个人不成熟观点，仅为个人笔记与复盘总结，不能作为投资决策依据，不构成任何建议，据此入市风险自担。

什么是EDR？

端点检测与响应，是一种安全工具，监视与网络相连的终端用户硬件设备上的可疑活动与行为，并自动响应以阻断察觉到的威胁，同时为进一步调查留存取证数据。

EDR平台对发生在端点设备上的一切，如进程、DLL（动态链接库）和注册表设置的变化、文件及网络活动，都具备深度可见性。同时，结合了数据的聚合与分析能力，来识别威胁，或自动化处理或人工介入。这里的端点是指任何终端用户的设备，如笔记本、智能手机，以及IoT设备。

普遍认为，EDR的概念最初是由Gartner分析师Anton·Chuvakin在2013年发的一篇博客而来，他当时试图“为一些工具起一个通用的名称，主要用于检测与调查主机或端点上的可疑活动（包括追踪）”。当时他用的名字是“端点威胁检测与响应”，但言简意赅的EDR最终变得非常流行。

EDR与防病毒以及EDR与EPP

一个更好理解EDR的方法，是与其类似技术相比较。比如防病毒或EPP（端点保护平台）。尤其是EPP，它整合了防病毒/防恶意软件、防火墙、入侵防护等产品能力。这些产品有一个共同点，基于签名（基于规则）的被动防护。

随着威胁的多样和灵活，针对已知威胁的静态规则库的方法开始失效，这就是EDR的产生背景。端点上发生的活动，配置的变化、进程的发起或终止、文件的访问/复制/渗漏等，都可能是黑客行为。EDR则为安全运维人员第一时间发现这些活动，同时具备自动化响应的能力。

EDR的工作机制是，在终端用户设备上安装agent（探针），这些探针监视终端活动并返回信息给中心服务器，服务器可以在本地也可以在云端。中心服务器自动检测问题，或者试图纠正这些问题或者发警告给安全运维人员。EDR还具备仪表盘的显示功能，为安全团队提供监控能力。

EDR应用场景

一个典型的EDR应用场景就是，威胁活动以多种形式展开时，EDR并非只看某种特定的病毒或是防火墙被突破的单一行为，EDR看的是威胁活动的套路。比如，通过网络钓鱼邮件能盗取登录凭证的攻击者能够正常的登录系统，甚至执行恶意程序，而不触发任何警报。这种行为一开始并不在终端上体现，但之后的提权和横向移动就会被好的EDR平台警觉，至少也会留下可被安全人员发现的痕迹。

在2016年Gartner分析师Chuvakin的博客上，列出了最为典型的EDR应用场景：

# 检测可疑活动（EDR里的D）

# 辅助自动化搜索及数据调查（EDR里的R）

# 甄别可疑活动

# 通过数据分析进行溯源捕捉

# 自动阻断与控制恶意活动

EDR的通用能力

做为一个大的产品类别，EDR平台有着多种能力属性，很难说具体哪种能力最为基础和重要。所以，从EDR主流厂商提供的能力来看( Digital Guardian, Cybereason, Carbon Black, Microsoft )，以下能力最为主流：

# 可疑活动检测。EDR的核心能力。当发生某些不好的事情时，安全人员需要及时知道。

# 高级威胁阻断。仅仅检测到威胁是不够的，对抗威胁的有效办法是实施阻断。

# 甄别与过滤警告。应对警告疲劳，需要对可能的危险信号做重要性分级，并只在真正需要人工介入的时候再提升其重要性。

# 多种威胁防御。抵御多种形式的攻击，比如不能只防范勒索软件或恶意软件，因为许多高级攻击者会不断的尝试使用各种攻击工具。

# 威胁捕捉与事件响应。帮助安全人员通过数据取证来查找潜在攻击。

# 可见性。上述所有能力都需要可见性的支撑。想要追踪恶意活动，EDR要能看到所有端点以及端点之间的联系，

# 数据统一。可见性的实现需要数据的一元性，把不同来源的信息连贯起来拼成一张图。

# 与其他工具整合。这属于EDR的扩展能力，可以帮助用户令原有的安全工具更加有效。好的EDR应该是一个能力放大器，而不是只能单独使用。

全球市场规模

全球的EDR市场已经很大，而且在不断增长。调研机构Statista预计，今年（2020年）EDR的全球市场规模能达到15亿美元。而Gartner认为，EDR将会是大型企业的必备安全平台，甚至还给出了具体的预期，凡是超过5000台端点以上的机构组织，有70%的比例会部署EDR软件。

EDR实际上是一个把不同种类的安全工具集合一起的联合体，因此很难有固定不变的标准定义，而是会根据市场需求和技术演进而不断的变化（比如从EPP到EDR）。但从市场发展的角度来看，这种变化反而会促进“统一端点保护”（与之类似的是UEM，统一端点管理）市场的兴起。仅从已有的“个人安全软件+EPP+EDR”来看，这个市场至少是70亿美元的规模。

数世咨询

 

汽车EDR概念，无异是上周末最火爆的话题，不管视频传播还是文字体裁传播，可以说是掩盖了其它的任何消息，哪EDR到底是什么东西呢？

EDR（汽车事件数据记录系统），能够记录车辆事故前后数据，被称为汽车的“黑匣子”。

EDR能够提供的信息远胜于行车记录仪，支持记录的数据有：汽车速度、方向盘转向角度、发动机运作状态、油门踩踏位置、安全带使用状态、气囊状态、驾驶辅助系统状态以及车辆发生碰撞后的车速变化等信息。

从以上的EDR论述来看，它就是一个类同于飞机黑匣子的东西，功能也基本相同，从明年起所有新上市乘用车都必须安装这个设备，对于我们现在的汽车年产量来说，这是一个增量将近200亿的新市场，不和其它设备冲突，不管未来哪个企业瓜分到这个市场，都会让这个企业取得不错的发展，特别是目前经营规模小的企业，可能倍级几倍级的增长都有可能。

A股中EDR分类的企业有哪些？质地又怎么样呢？

依目前上市公司的表现来看，启明信息、锐明技术、得润电子、天迈科技、协创数据、鸿泉物联等，应该属于目前市场认可的EDR概念股。

 

 

上面依次为，启明信息、锐明技术、天迈科技、鸿泉物联的K线图，都在放量上涨，说明主力资金还在陆续进入，为什么只放这四个图呢？我认为这四家企业是未来EDR市场的可能最大获益者，因为相对经营的比较单纯并且目前规模都不大，只要未来它们能够在EDR市场中占有一席之地，可能对于它们的业绩来说就是几倍级的增长，在股市肯定也会出现几倍或者更高的市场表现。

上周五，启明信息和锐明技术出现了连板走势，目前来看属于龙头股，但后市的真龙我认为还是要在这四个里面出现，后市拭目以待。

上一篇：短线点金之三(短线点金徐文明)

下一篇：天津自贸区定位(天津自贸港概念股)