搜尋此網誌

2009年5月31日 星期日

[Gartner MQ] Endpoint Security Platform 市場報告

端點安全 (Endpoint Security Platform – EPP) 絕對是近幾年資安市場最熱門的主題之一,在這份五月份出版的報告中,Gartner 比較了目前市場上主要的一些 EPP 廠商/產品。Gartner MQ 系列報告的特色之一,就是其分析的目標不只是產品本身,包含廠商的執行力、願景、產品策略、價格策略、支援能力…等等,你可以想的到的項目幾乎都包含了。

市場定義

在Gartner的定義中,EPP 至少包含了企業用防毒軟體、防間諜程式軟體、個人式防火牆與主機型入侵防禦系統 (HIPS) 這些功能。整體市場的產值在2008年為25億 (2.5 billions) 美元,而且預估的年複合成長率 (compound annual growth rate) 達到8%。目前市場的主要領導者皆為以前是屬於防毒軟體的廠商-McAfee、 Symantec、Trend Micro,此三家廠商所擁有的市占率高達85%。雖然有很多新進的廠商在這個市場 (包含 Microsoft) 努力,但是要挑戰這些領導廠商的市場地位並不是一件容易的事情。

產品功能評估項目

雖然 Gartner MQ 的分析報告涵蓋各個面向,但是對於許多客戶而言,功能依舊是相當重要的一環,所以我特別列出在這份報告中針對產品功能有哪些評估項目。

  • 以特徵值為依據的反惡意程式能力 (Anti-malware Signature Capabilities)。Gartner 特別指出雖然特徵值的偵測方式存在不少問題,而且其有效性越來越低,但是依舊是大部分使用者所注重的能力,所以納入評估的項目之中。
  • 主機型入侵防禦系統能力 (HIPS Capabilities)。這裡指的是非特徵值的偵測/防禦能力。
  • 個人防火牆的能力 (Personal Firewall Capabilities)。
  • 管理與報表能力 (Management and Reporting Capabilities)。 PC Life Cycle Configuration Management – PCLCM 是一個重要指標。PCLCM 就像是比較複雜的資產管理,包含軟體管理、設定管理、弱點管理等功能。
  • 資料與資訊的防護 (Data and Information Protection)。包含硬碟加密(非檔案加密)、DLP 與外接埠/設備管理。

重點整理

  • 惡意程式發展迅速,不但以特徵值偵測的方式有效性越來越低,包含啟發式或主機入侵防禦系統也很難有效地加以對抗。
  • 儘管問題的嚴重性越來越高,IT 部門通常還是因為懼怕增加管理負擔而排斥導入功能更為強大的產品。
  • 因應 Web 平台成為惡意程式的主要散播來源,自動化加以判斷安全的網站、應用程式與檔案的能力也越來越受重視。
  • PCLCM 對端點安全的重要性越來越受重視,良好的資產管理可以減少可供攻擊的目標。而弱點評估與修補管理系統可用來有效支持應用程式管控的需求。
  • 有些廠商 (Trend Micro、McAfee、F-Secure與Prevx) 利用雲端運算的技術來解決判斷的即時性與準確性問題。有些則是將(特徵碼)更新的時間縮短以期解決即時性的問題,但是準確性的問題光靠縮短更新時間並沒有辦法解決。
  • Rootkit 偵測能力依舊是一個重要的區分項目,而且是部分廠商的主要改進方向。
  • BigFix 與 LANDesk 透過合作或併購的方式來增強產品特徵式偵測能力與主機型入侵防禦能力。然而大部分的廠商對於整合以進入新的市場仍舊採取相對謹慎的態度。
  • 利用白名單的方式來加速判斷應用程式是否安全,以及做為允許網路使用的依據受到重視。Bit9 甚至僅允許所知安全的程式才能執行,而Gartner 也預測這樣的技術將會在明年 (2010) 被其他技術方面領先的廠商所應用。
  • 雖然 DLP 跟 EPP 兩者是不同性質的概念與產品,但是 DLP 已經成為 EPP 不可或缺的一個功能。包含硬碟加密(非檔案加密)、DLP 與外接埠/設備管理。
  • 雖然 EPP 的產品多有限制網路存取的功能,但是大多數仍舊稱不上屬於 NAC 的產品,因為不具備限制未受管理或外來電腦的能力。其中 Check Point、McAfee、Sophos 和 Symantec 具有 NAC 的功能。
  • 透過功能整合與技術的演進, EPP 減低了對使用者產生的影響(尤其是效能的影響)。此外,管理性的提升與支援平台的增加,讓管理人員在使用上更具彈性。儘管如此,目前依舊很難達成支援廣泛平台的需求。

結果摘要

Gartner MQ 系列的報告會將廠商分為4種類型 (所以稱之為 Magic Quadrant – MQ),其中領導者 (Leaders) 表示在執行力與願景等都有突出的表現,講得簡單一點就是綜合分數比較高的廠商。結果不令人意外,四家落於此區的廠商其中三家正是市場的領導者,而另外一家也是從防毒軟體出身的 - Sophos。LANDesk 則位於夢想家 (Visionaries) 這一區,也就是願景的表現高於執行力。對於比較年輕的廠商,這樣的評價已經是很好的了。因為年輕的廠商通常沒有太多的歷史來磨練/證明其執行能力,但是能夠提供好的技術願景,未來依舊有很好的機會。完整的廠商評估結果請參見下圖。

Gartner MQ - Endpoint Protection Platform


相關連結:

About