企業的終端安全需求和策略可被稱為“終端安全連續統一體”。該連續統一體的一端是高級威脅預防，也可稱之為“下一代殺毒軟件(AV)”，因為其中使用了機器學習、威脅情報集成等技術，改善了傳統AV產品的威脅預防功能。

統一體的另一端，凸顯的是高級檢測與響應，也就是業界稱之為終端檢測與響應(EDR)的東西。EDR的重點不在于阻止漏洞利用和惡意軟件，而在于監視終端以檢測可疑活動，并捕獲可疑數據以進行安全取證及調查。安全廠商正往終端安全套裝中加入終端檢測及響應(EDR)，因為CISO們確實需要EDR，雖然他們不確定以何種方式使用它。

在早些時候EDR這個領域有如下結論：

• 市場中75%-80%的企業會傾向于高級預防，而20%-25%的企業則會關注EDR。對高級預防的偏重是因為大多數企業都沒有構建復雜EDR項目所需的技術團隊和資源。
• 最終，供應商會提供覆蓋從高級預防到EDR的產品套裝，彌合該終端安全連續統一體。而當這一切真正來臨時，企業將會買入整套產品。

時間推進到2018年，從企業戰略集團(ESG)的調查研究結果來看，這些結論成真了：

• 87%的企業計劃購置包含從高級預防到EDR整個終端安全連續統一體的全套終端安全產品

被問及整個終端安全套裝中最具吸引力的功能是什么時，28%的網絡安全人員選擇了EDR。EDR在所有潛在回答中占比最高。于是，繼高級預防功能之后，EDR正成為企業安全又一需求。

那么，是不是可以認為，下一代AV產品就會納入EDR，以全面的終端安全套裝形式發售呢?那倒未必，只能說，有這個可能性吧。大多數企業想要EDR功能確實不假，但大部分企業依然缺乏部署成熟EDR產品所需的人才和資源也是真的。

三類EDR產品

基于此市場現狀，EDR可能會迎來市場細分，最終歸為如下3類：

1. 企業級EDR

此類產品收集、處理并分析所有終端活動。企業EDR依托企業內部基礎設施(比如收集器、服務器、存儲等等)。此類產品仍然是一個利基市場(約20%-25%)，重點針對高安全嚴監管行業的大型企業。

2. 輕量級EDR

這種模式下，EDR是“觸發式”的。當行為分析、SIEM或UEBA規則被觸發，EDR就會開始收集可疑系統上的行為數據。這有點像是當前有些企業應用過程特性分析軟件包(PCAP)的方式。輕量級EDR特別適合正在打造安全運營及分析平臺架構(SOAPA)的企業，因為終端安全數據將可支持其他分析功能。很多企業和中級市場公司(市場占比40%-50%)都會選擇此類EDR。

3. 托管EDR

適合想要全功能EDR卻又沒有必須的人手和資源的企業。托管EDR市場將來會進一步細分。一些服務提供商會僅專注檢測，另一些則全力主攻威脅響應和緩解。有些提供商會將托管EDR作為托管檢測與響應(MDR)產品的一部分提供。另一些則會專精托管威脅追捕。總而言之，25%-40%的市場將會選擇某種形式的托管EDR。

也有可能有廠商會提供從全功能產品到完全托管服務的完整選擇。這種混合產品線對在不同地域需要不同功能的大型跨國公司最具新引力。

無論如何，企業安全經理需先評估自身需求、資源和人才，再決定選擇何種EDR。產品很豐富，CISO需謹慎。