徐老师@RSA最前线

打开第四天的话匣子

RSA大会今天进入尾声，徐老师决定要好好逛逛展台，尤其会以参观2022年Gartner EPP魔力象限的上榜厂商的展台为主，近距离聆听这些国际厂商对于端点安全和XDR的最新见解。

(相关资料图)

在去展台前，徐老师做了些功课，将参展厂商名称、在EPP 2023魔力象限的位置已经RSAC提供的赞助身份做了映射。徐老师希望通过展台造型观察、现场Booth讲解和厂商技术人员交流几个角度对各大厂商的现场表现进行报道。

CrowdStrike

2019年IPO后成为端点安全霸主，其Falcon猎鹰平台属于XDR SaaS平台，走的是Open XDR的路线，自行拥有的模块包括端点安全、云安全、身份安全等，其余XDR组件通过API接口与业界知名的安全厂商合作，例如邮件MailDR、NDR等，本次展会CrowdStrike在大力宣传推广云安全模块。

Microsoft

微软在2019年进入Gartner魔力象限的领导者象限，其EDR和云安全能力业界领先，并且能够跟Office 365绑定销售，端点安全市场占有率甚至高于CrowdStrike，微软宣称其Sentinel平台是SIEM+XDR的混合平台。

SentinelOne

SentinelOne在2022年的EPP魔力象限中排名从第四上升至第三名，今年的RSA大会上投入巨大来进行宣传，展台引导区放置了一辆F1赛车，极具人气。其展台造型和亮紫色调科技感十足。SentinelOne的XDR平台叫Singularity，包括了端点安全、云安全、身份安全等，走的也是Open XDR的路线，并且同AT&T等颇具实力的MDR服务商展开合作。本次展会SentinelOne在大力宣传身份安全ITDR的重要性，并且强调其Deception欺骗技术，是其与CrowdStrike等其他端点安全大厂差异性的优势所在。

SentinelOne安排的Booth现场讲解是属于连场的，听有颜值的市场小姐姐讲解Singularity XDR平台的架构，徐老师给SentinelOne点了大大的赞！

SentinelOne本次展会上力推身份安全，由三个部件组成身份安全模块：

Ranger AD是为AD域控做加固的；

ITDR（Identity Threat Detection & Response）实现比EDR、AV、XDR更为提前的身份攻击检测响应；

Hologram是来做身份欺骗和误导的。

徐老师现场跟SentinelOne的技术小哥做了互动交流，了解到SentinelOne的HoloGram可以软件部署，但是没能看到实际的demo效果，甚是可惜！

总体评价，SentinelOne的展台在徐老师心目中是本次RSA大会最出色的，没有之一，不论是人气、科技感、互动内容，尤其是抽奖奖品和小礼品发放部分，把CrowdStrike、Cisco之流甩了几条街。

Cybereason

Cybereason是一家以色列的端点安全公司，在2022年EPP魔力象限中首次冲入领导者象限，排名第四，由于软银日本为Cybereason投资成立了Cybereason Japan，因此在日本市场表现出色。Cybereason的XDR平台名称叫Defense，在宣传中主打的是勒索防护能力。

Cybereason的品牌logo是一头科技感十足的猫头鹰，令人印象深刻。

昨天徐老师还去参加了Cybereasond的主题演讲，题目为“勒索软件团伙当下如何躲避检测，他们未来可能怎么做”。演讲人首先对Cybereason追踪的勒索专业团伙进行了画像分析，然后对一起勒索攻击过程进行了深入讲解，徐老师也是印象深刻。

Cisco

Cisco在2022年EPP魔力象限中处于Visionary象限，Cisco的XDR平台名称是SecureX，包含了端点安全、网络安全和身份安全等模块，在展会上Cisco在宣传其针对O365防欺诈攻击的能力，其余能力还需要进一步研究。

PaloAlto Networks

PaloAlto Networks是NGFW的领导者，通过历史上的4次收购组合成EDR和XDR的解决方案，其EDR和XDR能力有待验证，不过其NFGW的市场带货能力毋庸置疑。

2014年收购以色列网络安全公司Cyvera，构建具备机器学习能力的防病毒产品；

2017年3月收购LightCyber，构建具备EDR能力的端点安全产品；

收购Secdo，构建具备XDR检测响应能力的XDR平台；

2019年11月以5.6亿美元收购Demisto，构建具备自动编排能力的XDR SOAR平台。

VMware

VMware通过收购CarbonBlack来构建自己的端点安全能力，遥想2018年徐老师首次参加RSA大会时，感觉CarbonBlack和CrowdStrike是一个级别的EDR公司，但是被收购后就泯然于VMware的海洋里了，徐老师记得到VMware官网上查询EDR的产品页面要点多次才能到达，其在VMware产品战略中的地位可见一斑。

Fortinet

Fortinet是UTM的领导者，跟PaloAlto类似都缺乏端点安全的基因，虽然可以构建XDR的整体解决方案，但在XDR体系中的核心并非EDR，相比于靠端点安全EDR起家的CrowdStrike、SentinelOne、Cybereason等厂商，Fortinet在端点安全侧的能力还需进一步提升。

Trellix

徐老师到Trellix展台聆听的booth的现场讲解，Trellix在强调其EDR和XDR的能力。

徐老师跟Trellix的技术专家现场做了互动交流，徐老师讲的是中国口音英语，接待徐老师的技术人员讲的是印度口音英语，双方表示在技术交流方面毫无障碍。这位技术人员为徐老师demo了如何通过Trellix的EDR来自动化阻断勒索病毒，并且通过快照备份和还原。相谈甚欢之际，徐老师还询问了从Trellix内部如何看待McAfee和FireEye的合并，从技术人员答复来看是积极的，即McAfee强在端点的AV和EDR能力，FireEye强在咨询和合规，双方能力是互补的，预祝Trellix作为新的端点安全和XDR安全品牌能够越来越好。

Bitdefender

BitDefender是防病毒时代的强者，已推出GravityZone XDR的解决方案，亮点是引入了邮件安全作为XDR的组件，同时也支持基于AD域控的身份安全，对于依赖钓鱼邮件为主要前置的勒索攻击，有较好的防护场景能力。

Deep Instinct

Deep Instinct是一家以色列的网络安全企业，现场booth讲解中小姐姐强调了深度机器学习，对高于99%的未知威胁能够实现自动防御，具体是否如此，还需要市场的进一步检验。

ESET

ESET是上一个防病毒时代的强者，但是在EDR大行其道的时代掉队了，目前在Garner象限中的技术处于垫底状态，徐老师到ESET展台上跟接待人员做了简单交流，ESET还在强调其防病毒能力，感觉再这样下去的话，靠吃防病毒时代的老本是很难在EDR/XDR时代存活下来的。

expel

expel在Forrester的MDR厂商评估中处于绝对领先地位，徐老师现场跟expel的人员进行了互动交流，了解到expel在去年是第一次参加RSA大会。徐老师跟其技术主管人员交流了EDR和NDR作为XDR组件的高误报率问题，以及如何通过降噪和XDR内部规则编写来实现7*24托管服务可运营的目标。

徐老师跟expel的技术经理交流得很开心，双方合影留念，祝愿expel在MDR的服务赛道上一直领先下去。

Binary Defense

Binary Defense是一家提供XDR托管运营服务的公司，徐老师现场跟Kevin进行了深度交流，就如何降低EDR误报率，通过XDR检测规则检测真实威胁，以及从MDR服务商角度如何看待XDR与SIEM的区别进行了深度交流，双方相见恨晚，最后合影留念。

徐老师在逛展台时偶遇了这位有着猛虎背景图的参展厂商小伙儿，当他听说我来自中国时，介绍说他在新冠疫情发生前在中国的西安工作了3年，非常怀念肉夹馍、凉皮和biangbiang面这些美食，而且小伙儿是用中文说的喔，一下子就拉近了双方的距离，合影留念！疫情结束，预祝小伙儿能再来中国品尝美食:)

在这家号称“Protect JaveScript”的安全厂商展台，徐老师偶遇了美女小姐姐一枚，当她听说我来自China后，马上自行切换至中文频道跟我聊起来，原来她在就读Master Degree时是在天津的南开大学，在中国待了5年，虽然徐老师不懂如何保护JavaScript，但并不影响我和小姐姐合影留念的心情:)