從思科AMP看端點威脅檢測與響應市場 | WitAwards 2017「年度創新產品」參評巡禮

新聞 11-17

* WitAdwards 2017互聯網安全年度評選「大眾投票」已於11月1日正式開啟，歡迎準時登陸官網投票！

我們去年分析 Carbon Black 這家公司的時候，基本上已經把「端點安全」（或稱終端安全）的不同形態說得比較清楚了。就現在看來，已經沒有人認為「EPP（端點防護平台）」只是「AV（反病毒）」產品的一個營銷花樣。不過端點安全領域的營銷辭彙依然有不少，一般用戶看了大概都會眼花繚亂，比如說 NGAV（新一代反病毒）——不同廠商和機構對 NGAV 的定義都存在差別。但絕大部分營銷辭彙我們是可以忽略的，但有兩個詞不行：就是 EPP 和 EDR。

那篇文章中，我們就談到了 EDR（端點威脅檢測與響應）的概念：Carbon Black 很早期就提過這個概念，並且還得到了 Gartner 的認可，成為現如今端點安全產品的一個重要類別。從這個詞本身看來，其特徵在於對端點安全 Detection（檢測）和 Response（響應）的注重，而不再只是傳統 EPP 時代的 Prevention（預防）。

本屆 WIT 評選中的一個大熱門，來自思科的 AMP（Advanced Malware Protection，高級惡意軟體防護）for Endpoint，按照 Gartner 的分類主要從屬於 EDR 類別。不過思科將其稱作「新一代端點安全（Next-generation endpoint security）」產品——從我們的理解來看，這應該是指思科 AMP 不僅包含 EDR 的主要特性。但Gartner 在今年 6 月撰寫的一篇《The Evolving Effectiveness of Endpoint Protection Solutions（端點防護解決方案的有效性進化）》文章中認為，廠商普遍喜歡用「新一代」這個辭彙來裝點自己，「不要用『新一代』這類辭彙，現在並不存在新一代解決方案，也沒有新一代攻擊和新一代供應商」。[1]

不過這篇 paper 給予了思科 AMP 較高的評價，並且細數這一領域的供應商，在三大主要領域的能力：減少攻擊面、端點防護執行前的技術，執行後的技術。對於想要在端點安全解決方案方面有所投入的企業組織而言是有價值的。

我們這次期望藉由這篇針對思科 AMP for Endpoint 的解讀，來談一談 EDR 類別產品的實質，以及當代端點安全防護產品應該具備什麼樣的素質：恰巧 AMP 就是這類產品大而全的一個典型代表，更何況是在思科這種有網路設備基礎，以及企業安全防護全面部署的廠商這裡。

EPP 是什麼？是否即將被取代？

這裡需要指出的是，思科 AMP 並非僅針對終端設備部署的產品，我們在早前分析思科新一代防火牆產品時就提到過，思科現如今的防火牆就融入了 AMP 特性；與此同時，AMP 也面向思科的網路（IPS）、web、郵件等各種類別的安全產品（思科的 AMP Everywhere）。但 WIT 評選以及本文只針對 AMP for Endpoint，也就是部署在端點之上的 AMP。

首先我們有必要理一理究竟什麼是 EDR，以及什麼是 EPP——EPP 是當前有著廣泛認可度的端點安全防護產品，但由於當前攻擊方式愈加複雜暴露了更多傳統 EPP 解決方案的局限性，EDR 才開始出現。理解這兩者的概念，也便於我們理解 AMP 究竟在端點安全防護中處在何種位置。

思科更傾向於將 EPP 這類產品等同於 AV[2]，實際上早年傳統的 EPP 解決方案的確和 AV 存在諸多相似性。Gartner 對於 EPP 的定義是這樣的：

EPP（端點防護平台）是個將端點設備安全功能匯聚到一台設備的解決方案，這台設備將反病毒、反間諜程序、個人防火牆、應用控制和其他類型主機入侵預防（如行為阻止）能力融合為單一、結合的解決方案。更多高級 EPP 解決方案開始融入漏洞、補丁和配置管理能力，提供更為主動的防護。除了針對惡意程序之外，當代 EPP 產品還包含數據保護特性，如磁碟與文件加密、數據丟失防護（DLP）和設備控制。EPP 市場大部分專註於 PC 終端，但越來越多的解決方案開始瞄準其他移動設備，如平板和智能手機的管理和追蹤。[3]

思科將 EPP 和 AV，也就是傳統反病毒解決方案放在一起不是沒緣由的。EPP 提供的主要能力在於 Prevention，是個預防工具，很大程度依賴基於簽名的檢測方案，或者各種具有明確指向的 IoC。Gartner 在今年 EPP 魔力象限報告中提到過：

除了 Visionary 象限中的某些新興供應商，太多 EPP 解決方案的病毒檢測技術仍然過度依賴於 IoC，如 IP 地址、URL、文件哈希、註冊表鍵值等。這種靜態指標對於攻擊者而言，要變更是很容易的事情。[4]

這種比較傳統的預防方案，對於有針對性的，以及高級複雜攻擊而言是收效甚微的，而且當前的一類攻擊趨勢是無文件攻擊，利用基於腳本的攻擊，都是常規的 Windows 工具，如 PowerShell，都可以在不投遞可執行文件的情況下進行攻擊，這樣就能躲避傳統的惡意文件檢測。

另外一點值得一提的是，FreeBuf 在以往和思科的合作中注意到，思科的安全理念的一大基點在於：入侵和安全事件總會發生，這些事件並不是會不會發生的問題，而是何時會發生的問題。

這個理念事實上帶來了思科安全產品覆蓋攻擊前、攻擊中和攻擊後的思路

，其核心在於，安全產品只做預防是沒用的，攻擊進入到企業內並不稀奇，所以把更多精力投入到檢測和響應上才是正確的。我們在先前的很多文章和報告中也闡明過這個理念，這也符合 Gartner 近些年倡導在檢測和響應上投入更多精力的思路——但並非所有安全廠商都認同這一理念。

所以在思科針對端點設備的 AMP 之上，這個思路也得以延續，即對「攻擊中」和「攻擊後」時期有了更多的關注，並著力縮短檢測和響應之間的時間窗口。這本身也是 EDR 和傳統 EPP 的重要差異所在，EDR 的 D 代表的是檢測，R 代表的是響應。

但當代 EPP 的具體情況已經比較複雜。一方面，很多供應商的 EPP 解決方案開始變得完備和多樣化，比如比較領先的 EPP 解決方案現如今還增加了漏洞修復程序和應用控制；許多新興的供應商已經開始給 EPP 加入非基於簽名的防護方案（雖然在標準測試中似乎並沒有表現出多大的威力）；另一方面，大量 EPP 開始融入 EDR 特性，比如說專註於內存利用防護、腳本分析和行為 IoC，針對攻擊者的行為方式指標進行檢測，包括攻擊者的工具、策略和技術。

所以我們不能說 EPP 是過時的方案，即便是思科 AMP 這類以 EDR 見長的產品也融入了不少 EPP 的預防安全特性。Gartner 也在今年的 EPP 市場分析中提到，某些企業組織開始考慮用新方案完全替代傳統 EPP 方案，這種做法過於激進，很多最新解決方案存在局限性，部分新興供應商並不提供 EPP 的完整特性，比如個人防火牆、USB 埠防護、數據保護、應用控制、漏洞檢測或者企業移動管理方案；且基於簽名的防護方案仍然是有效和必要的。所以許多企業組織傾向於將新方案比如 EDR 作為傳統 EPP 的補充存在。

就這一點值得一提的是，思科 AMP 在傳統 EPP 特性方面包含反惡意程序漏洞評估、應用控制與應用沙盒、應用代碼行為監控、端點檢測與修復技術；但也存在 EPP 特性缺失，如個人防火牆、埠與設備控制、企業移動管理（EMM）、內存保護、全盤與文件加密（和移動數據保護）、DLP。[2]這一點其實並不讓人感覺意外，畢竟思科是做網路設備出身的廠商，而且 AMP 在網路、防火牆、web、郵件等中間設備之上也具有普適性，它並不完全針對端點設備。思科更期望用戶能夠在企業內部完整部署思科的全套安全解決方案，這可以一定程度彌補 EPP 方案的缺失。

EDR 是什麼？這仍是個新興解決方案

當然了思科 AMP 也提供 EPP 應有的常見預防特性，比如基於簽名的檢測、首次檢測的文件處置，以及實時的惡意程序阻止特性。但這些其實不是思科 AMP 的主要價值所在。思科 AMP 的著力點在於提供端點之上文件行為的可視性、檢測惡意行為，並能夠對其進行控制並阻止——這就不是傳統 EPP 可以做到的事情了。這其中體現思科理念的點就在於，即便某個文件已經通過了初次惡意程序檢測，但 AMP 依然對此進行全程追蹤。思科安全業務團隊 AMP 產品營銷經理 John Dominguez 在講解視頻中說：

「我們知道，我們無法阻擋 100% 的攻擊，高級惡意程序總能進入內部。所以 AMP 持續記錄和分析所有文件在端點之上的行為、進程和通訊，來快速檢測入侵。這種持續性記錄和分析，為安全團隊提供所有端點產品，包括 PC、Mac、Linux 和移動設備之上，所有活動的歷史視圖。」[5]

這話談的其實是一般 EDR 類別產品的「檢測」屬性。有關思科 AMP 在這部分的差異化，我們後面還會仔細談到。不過從這番話已經不難發現，EDR 建立於這樣一個事實：阻擋攻擊無法做到 100%，所以傳統 EPP 和反病毒解決方案那一套是無法抵禦高級惡意程序的。這裡我們就可以引出 EDR 的概念了。

EDR 是這樣一種解決方案：記錄端點系統級別的行為和事件（如用戶、文件、進程、註冊表、內存和網路事件），並將這些信息存儲於終端或中央資料庫。將已知的 IoC 資料庫，與行為分析技術用於持續查詢數據，識別入侵前期徵兆（包括內部威脅），並對這些攻擊進行快速響應。這些工具也能幫助快速調查攻擊範圍，並提供響應能力。[6]它主要包含的是上圖的下半部分。

Gartner 認為，EDR 解決方案需要具備下面四個主要能力：

1.檢測安全事件。一般通過端點和應用行為違規，或者通過確認內部或外部發現的 IoC 來自我檢測。理想情況下，這種解決方案會基於機密性、嚴重性和風險，為安全分析人員，對檢測到的事件進行優先順序排序，以便安排響應行為；

2.在端點上對事件進行控制。這一點確保了網路流量或者進程執行可被遠程控制，並將系統與企業網路其餘部分進行隔離；

3.調查安全事件。這裡的調查功能，必須包含覆蓋所有監控端點主要端點事件的歷史時間線，這樣才能確定技術層面發生的變化（如文件、註冊表、網路、驅動和執行活動），以及對業務的影響（如客戶數據損失、交易欺詐）。

4.讓端點恢復到感染之前的狀態。理想情況下，解決方案需要移除惡意文件、回滾及修復其他變化。至少，這類解決方案必須為團隊建立修復知道方案，用其工具集施行這樣的方案。

某些情況下，我們可以認為 EDR 是 EPP 能力的一次擴張，或者說這兩者本身就在發生結合。而 EDR 在端點安全領域還是個新興方案。Gartner 在調查中提到，截至 2016 年年末，30 家 EDR 供應商授權的 EDR 產品數量大約是 4000 萬——而同期 EPP 端點防護產品授權數量為 4 億。所以 EDR 對 EPP 的市場滲透大約僅有 10%。預計 2016 年末這一市場規模大約為 4.98 億美元。調查中有 10 個供應商佔到市場份額的 75%，即便這些供應商在這一市場的年增長近 2 倍，但 EDR 到目前為止也並非主流市場產品，這與 EDR 產品對安全人員的技能要求較高有關。所以 Gartner 認為專門的 EDR 市場增速可能到 2019 年仍然會比較緩慢。

但當前企業組織數據泄露事件時有發生，企業高管對此擔憂也在增加。一些高級和有針對性的攻擊能夠繞過傳統的預防控制，並且在企業內部長期駐留不被發覺，這是 EDR 解決方案增長的契機。另外，如前文所述，EPP 供應商還會持續進入這一市場，但與很多新興的、專門打造 EDR 方案的供應商相比，在這一項的能力上仍然有所不及。比如思科就更偏向於專門打造 EDR 的供應商。

所以 Gartner 總體上認為，EDR 市場就目前來看仍然是不成熟的。不管是供應商本身在達到上述四個能力方面仍存在上升空間，且企業組織的 SoC 也沒有相應技能的安全分析人員能夠對 EDR 產生的事件做處理——未來的 EDR 產品也會因此發生一些變化，比如檢測能力持續強化、並且更高的自動化程度幫助事件響應人員減負、高可信度事件基於風險進行優先順序排序等。

EDR 市場的主要供應商包括有思科、Carbon Black、Check Point、CrowdStrike、FireEye、Cybereason、賽門鐵克、趨勢科技等。

這部分最後值得一提的是，如 Carbon Black 的前身 Bit9 火起來的原因是，這家公司在端點安全方面專註於白名單方案，而且維護當時據說是全球最為大型的軟體哈希資料庫；像 FireEye 這類企業，其知名度和客戶積累依靠的是沙盒技術；還有近些年很火的安全初創公司，靠機器學習、行為分析之類的技術成為香餑餑。但我們無一例外地會發現，這些企業都在轉型，至少絕對不再固步自封於當年發家致富的獨門絕技。

思科 AMP 解決方案本身就結合了沙盒分析、機器學習、威脅情報、持續分析、無文件檢測等各類技術。實際上，各類安全產品的玩法早也已經不是多年前，憑藉單項技術的領先就可以成為熱門的。思科終端安全產品市場經理 Joe Malenfant 特彆強調，像機器學習這樣的技術，雖然是這些年的熱門，但絕非「銀彈」——思科就一直在用機器學習，包括 AMP for Endpoint 產品中，用於分析 web 流量、識別網路中運行的惡意程序，但單一的技術無法解決所有問題。[7]不光是機器學習，當前應對複雜網路攻擊的任意某一種技術都是無法解決所有問題的，這本身也是 EDR 這類產品出現的原因之一。

思科 AMP 的持續可視性

從產品所能解決的問題和大趨勢來看，EDR 未來必然會成為 EPP 解決方案的一大特性。如果只用一句話來說 EDR 究竟要解決什麼問題，那就是提升終端的安全事件可視性和對安全事件的響應能力。這些就目前看來對於企業安全團隊的技術要求是比較高的。這種提升是怎麼做到的呢？

實際上，IoC 檢測的自動化已經比較普遍了，傳統 EPP 都能這麼干。但如前文所述，攻擊者可以很快就修改文件哈希、IP 域、註冊表鍵和其他各種 IoC。但是攻擊者的行為方式，或者叫 tradecraft 是比較穩定的，執行的一些操作典型如文件加密、數據獲取和轉移、入侵管理員賬號等。這些行為本身很難變化，這就是惡意行為的指標。

對安全團隊的技術要求高，是因為檢測「行為」這件事本身就比較複雜，而且準確度不高，這方面的人才要求就會比較高。大部分企業組織應該也不會花大量精力去招攬或培訓具備這種能力的人才。所以 SoC 外包服務需求伴隨增長，所以 EDR 市場的一大趨勢還在於，大部分 EDR 供應商還會和 MSSP 供應商合作（安全託管服務提供商），某些 EDR 供應商還會提供自家的增值服務，比如 FireEye as a Service。

說了這麼多，接下來就該正式聊一聊思科 AMP for Endpoint 在這類產品實現上的實施措施了。思科 AMP 本身脫胎自思科 2013 年收購的 Sourcefire。思科保留了 Sourcefire 當年收購的技術領導和工程團隊。我們認為，AMP 在滿足 Gartner 提到的這些針對 EDR 類別產品的要求方面，思科是在所有 EDR 供應商中為數不多能夠達到要求，而且在實現方式上比較豐富、全方位的廠商。

首先還是來看一看思科 AMP for Endpoint 的主體構成，針對預防、檢測和響應三部分，其布局是這樣的：

預防（Prevent），也就是阻擋惡意程序。

這部分原本主要隸屬於 EPP，雖然並非 AMP 的重頭戲，不過思科 AMP 在這部分也有幾個看點：

其一是全球威脅情報，威脅情報由思科研究團隊持續提供；其二是文件沙盒，藉由超過 700 種行為指標在沙盒中分析未知文件，檢測、自動阻止隔離惡意文件；

在主動防禦部分，AMP 會展示終端所有軟體可被利用的安全問題，通過應用控制來實現加固。另外在惡意程序阻止方面，AMP for Endpoint 就是採用傳統的簽名、fuzzy fingerprinting、機器學習，還有反病毒檢測引擎。

檢測（Detect），這部分可算是 AMP 的精華所在了，也是 EDR 類產品的精華。

持續監控與分析：

當某個文件抵達終端後，AMP 會持續觀察、分析、記錄所有文件行為，不管該文件在剛進入時的檢測結果如何。如果在觀察過程中檢測到惡意行為，AMP 能夠自動在所有端點之上阻止該文件，並給安全團隊呈現完整的惡意程序行為記錄。

在記錄中，可以看到該文件來自哪裡，現在在哪裡，在所有端點設備上都做過什麼（包括 PC、Mac、Linux、移動設備），讓安全團隊充分理解其影響範圍，並快速響應。這部分由於是 AMP 產品的著力點所在，所以後面還會提到。

無代理檢測（Agentless Detection）：

AMP for Endpoint 提供無代理檢測，這是一種在客戶環境中檢測危害的一種能力，即便一台端點設備沒有安裝代理。採用思科的 CTA 技術，AMP 會檢查 web 代理日誌，來發現如內存惡意程序、僅在 web 瀏覽器中活躍的感染情況。

無文件檢測：

惡意利用包括 Windows 工具等在內的合法應用來啟動可執行程序，比如說用 vssadmin 來刪除影子副本（shadow copies）或者禁用安全啟動、還有基於 Powershell 的 exploit 等。這一項本身也是 Gartner 特別提到 EDR 類別產品應該擁有的能力。

響應（Respond）

威脅捕獲更容易：

AMP 基於雲的 UI 之上可以跨域所有端點進行威脅搜索，這對於排查、減少管理複雜性都是有幫助的；跨越端點和雲來查找文件、IoC、威脅情報數據，發現惡意程序生態系統中的痕迹，理解攻擊範圍和上下文；

自動化修復：

AMP 發現某個威脅後，可跨所有端點設備進行控制和修復。進行一些簡單的點擊操作，就能在選定的系統或者整個範圍內禁止某個文件，禁止惡意程序家族，控制作為惡意程序入口的應用（已被入侵的應用），阻止再度感染，阻止惡意程序進行遠程通訊——對公司網路外部的遠程終端也能發揮作用。

針對以上三個環節，我們選一些尤為值得一提的談一談。主要是其中的持續可視性（Continous Visibility）。思科將這種持續可視性和「時間點（point-in-time）」的預防技術做對比，這裡所謂的時間點，就是某個反病毒產品只在文件進入端點（或網路入點）時對文件進行檢測，即便採用沙盒檢測之類的技術，鑒於目前比較複雜的惡意程序具備檢測自身是否處在沙盒環境，且不在沙盒環境下觸發惡意行為；至於簽名、更多文件特徵之類的匹配方案，對於複雜多變的惡意程序更加無效。這樣的文件在進入到端點內部後，對傳統「時間點」的安全方案來說，就不再對其進行檢測了。

而所謂的持續可視性，即如前文所述，是全程監視文件行為的——即便已經通過了第一步的檢查也依舊如此。這一點實際上也是 EDR 類產品的某個共同屬性，在我們針對 Carbon Black 的分析文章中就提到過，Carbon Black 採用一種輕量級的「端點感測器」來持續、實時記錄端點每時每刻的變化。這麼做的好處是，可以對事件進行「倒帶」，在檢測到威脅或可以行為時，可以去追溯攻擊發生的整個過程，對風險有全方位的分析和理解。

思科 AMP 這方面的持續可視性，包括以下幾個重點[8]：

回顧（Retrospection）：在初始時間點，以及隨後全程進行分析，且不僅限於文件，還包括對進程、通訊和其他數據的分析——這一點主要就是和「時間點」模型相對的；

攻擊鏈組合：將文件、進程和通訊流進行結合，隨時間推移來捕捉其中的關係。其中的行為模式 IoC，不是靜態特徵，而是實時捕捉到的攻擊鏈組合複雜行為；行為 IoC 在這些行為發生時實時進行檢測；

軌跡（Trajectory）：追蹤、枚舉時間點事件列表，展示事件發生的位置。軌跡所描述的是惡意程序的連續路徑，這對於展示惡意程序波及的範圍，及關係，包括在哪裡、做了些什麼會比較有效。上面這張圖所展示的，就是這樣的軌跡，相關於惡意程序切入點、惡意行為、影響特定終端的二進位和可執行程序。這則信息會進行關聯，並與整個網路進行共享。這本質上就是一種倒帶能力，如下圖，這樣就能夠展示惡意程序的擴散情況。這些信息對於探明感染規模和根本原因都有價值。

在這種持續性可視性的基礎上，很多後續的分析和控制就變得比較便利了。比如思科 AMP 的自動化高級分析，對惡意行為模式和 IoC 進行識別，結合 Threat Grid 沙盒技術進行（思科宣傳中提到超過 700 種行為指標用於屏幕文件行為，不僅是其結構，還包括未知惡意程序相關的 HTTP 和 DNS 流量、TCP/IP 流、影響的進程、註冊表活動），可確定風險處理優先順序。

這張圖展示了內置沙盒文件分析的細節信息，有關文件行為，包括行為嚴重性、原始文件名、惡意程序執行截屏、樣本包獲取；有了這些信息，對於控制惡意程序蔓延、進一步阻止攻擊，會產生更好的理解

這張圖展示可操作控制面板，從風險角度描述影響，以及與業務的關聯性；在此視圖下，可以看到 IoC 優先順序、主機檢測惡意程序和網路威脅等

再比如對惡意程序的感染控制（所謂的 Outbreak Control），有了持續可視性，鎖定源頭，要阻止惡意程序蔓延就會更容易，一路針對攻擊路徑進行控制，關閉感染入口（可能是某個被入侵的應用）——在這個過程中，應用阻止列表就能執行應用策略（比如在某個端點發現惡意程序，想要阻止整個網路上該惡意程序在所有端點上的執行，那麼只需要將其加入阻止列表，所有端點之上都會被隔離）；後續響應操作還包括可以利用定製簽名來阻止惡意程序家族，阻止惡意程序進行通訊——尤其針對企業網路外部的遠程端點。

最後，這款端點安全產品也包含 API，可將其與其他安全工具或 SIEM 進行同步。而且因為 AMP 是思科所有安全產品部署中的一部分，也就可以與思科的 IPS、防火牆、web 或郵件網關等進行信息關聯和共享了。這其實是思科在安全領域構建以來就有的優勢。

如何評價思科 AMP for Endpoint？

如前文所述，這種持續性分析能力並非思科獨有，EDR 同類產品都有——這裡進行列舉是為了更好地闡明 EDR 這個類別的產品特性，不過各廠商在這方面的實現也不盡相同。我們之所以說思科 AMP 在產品功能構成上更為全面，源於 AMP 不僅融入了部分 EPP 的特性，在與同類 EDR 對比中，從檢測、預防、響應、威脅情報、集成性幾個方面都優於目前的主要競爭對手。比如在「軌跡」這一點上，某些競品的表現方式就相對受限，或者功能並沒有這麼全面；另外思科由於資金方面的優勢，在某些單項技術上有自家產品，如 Threat Grid 沙盒，而很多 EDR 產品供應商在動態文件分析方面需要依賴合作夥伴，或根本沒有這些項目。這一點也可能是思科將 AMP for Endpoint 稱作「新一代端點安全」產品的原因，畢竟其形態相對一般 EDR 更為完整。

當前 Gartner 還沒有專門針對 EDR 類別產品的魔力象限，不過好在 IDC 今年對「端點專門威脅分析和防護」供應商進行過一次評估[9]。這份評估報告，主要針對的就是非簽名（signature-less）端點威脅檢測、預防、響應和補救能力。IDC 給出了包括下面這些評價：

「採用思科 AMP for Endpoint 的客戶數量 2016 年大量增加…客戶對於其部署的便利性，以及和思科網路安全設備的關聯性比較滿意…思科已經證明其郵件、web 網關或者網路方面檢測和預防的價值，所以一家企業組織在這些攻擊向量之上如果對思科 AMP 部署比較熟悉，內部團隊時間響應和補救工作流有所提升，他們就會採用 AMP for Endpoint…其優勢主要在於：

「- …產品為安全事件分析人員，提供了翔實的背景信息，以及執行「追溯」的能力——通過歷史數據進行搜索，將先前的活動與最新檢測到的威脅進行關聯…

在端點、web、通訊、網路級攻擊方面，思科提供能夠識別和阻止攻擊者行為和高級惡意軟體的產品組合，是當前最具綜合能力的產品之一；

思科在安全行業，其銷售渠道合作夥伴是最為龐大，最具技術實力的之一。思科在渠道方面砸重金，針對產品技術提供培訓。許多合作夥伴提供託管和專業服務，可協助客戶部署和配置 AMP for Endpoint。

「而面臨的主要挑戰則在於：

「- 思科著力為諸多大型企業組織客戶提供綜合性端點安全產品。要獲得思科 AMP for Endpoint 的真正價值，企業組織需要採用全套 AMP 組合方案。這套解決方案顯然不是以那些沒有 IT 安全團隊的中型規模組織和企業為目標的，唯有 IT 安全團隊才能受用思科 AMP 提供的豐富數據信息。這些企業組織如果採用思科 AMP for Endpoint 就需要再行選擇 MMSP（安全託管服務供應商）；

IDC 客戶表示，思科 AMP for Endpoint 在減少誤報方面需要投入較多的調整工作。在多個位置更大規模的部署可能需要專業服務。」

這些優缺點，我們基本也已經在這篇文章里說清楚了，其核心在於思科針對 AMP 的整體策略（面向企業安全各個層面的部署），以及 EDR 產品對於企業的安全團隊技術能力本身就有著一定的要求，以及 EDR 產品必然帶來 MMSP 的共同推進。從思科在 IDC 這張圖中的位置亦可見其綜合表現不錯。

目前 EDR 市場整體環境仍然沒有大規模發展起來，即便它必然會成為 EPP 的未來。當前就 EDR 這一產品類別，Gartner 在建議中提到，成熟的 SoC，以及 MSSP 供應商應該對 EDR 解決方案進行投入，主要就其規模化的數據管理於搜索、與其它安全系統可整合的 API，以及高級工作流程能力；而安團隊相對沒那麼成熟的企業組織，則應該著意於包含 EDR 特性的 EPP 解決方案，針對事件響應和威脅影響可視性，以及提供補救參考會有不錯的能力。

註：本文將 prevention 統一翻譯為預防，將 protection 統一翻譯為防護，後者相較前者具備廣得多的含義。

參考來源：【閱讀原文】

* FreeBuf官方出品，作者：歐陽洋蔥，轉載請註明來自 FreeBuf.COM

WitAwards 2017「公眾投票」通道現已開啟

WitAwards年度互聯網安全評選活動由國內信息安全新媒體領導者FreeBuf.COM主辦。評選周期歷時3個月，評委包括頂尖行業專家、行業媒體和安全從業者，頒獎盛典將在FreeBuf 互聯網安全創新大會（FIT 2018）舉辦。「FIT 2018大會官網」