2017年的勒索病毒事件爆发到网络安全法的发布，终端安全已经成为了安全领域最核心的部分，也俨然成为了信息技术发展的下一个风口，但终端安全产品与简单家庭计算机保护的区别在于，终端上的安全工具由企业IT集中管理。安全措施在两个层上运行：有在终端上运行的软件代理 ，以及监视和控制代理的集中式终端安全管理系统 。

终端安全产品化聚焦点在于威胁事件事前、事中和事后三个方面

事前：

1.复杂攻击的防御与响应

当前的网络环境黑客的恶意攻击往往是蓄谋已久的，攻击类型多种多样同时具备在内网快速传播的特点，这时候对于类似ssh+smb爆破攻击这种类型的攻击，如何在内网大范围传播前快速隔离主机修复漏洞，结合本身服务器或主机的复杂环境尽可能小的影响业务，EDR未来在这方面还需要找到一种完善的解决方案。

2.网络安全，终端安全，数据安全一体化，立体化防御

终端安全不应该是独立的，对于网络安全和终端安全和数据安全应该形成立体化的防御体系，黑客的攻击链条是由网络发起到终端再到数据文件，在这个基础上搭建进行多层次的防御体系对网络的三维空间进行立体化保护。

事中：

1.数据安全

即使世界上最强大的EDR也不能保证可以防御住所有的威胁，一旦黑客进入到你的内网你的数据就变成了黑客的囊中之物，所以终端安全未来要聚焦于终端内的数据安全，数据安全主要目的在于防止泄露，即使黑客攻入你的主机也拿不到你的数据文件或者即使黑客拿到了你的数据文件也没办法进行操作，这是在事中对数据进行的处理。

2.行为检测（阻断攻击链）

在病毒进程的运行过程中如何成功识别到防御是EDR在事中的机制之一，病毒进程很可能和正常的进程一样访问文件但是一旦它的行为涉及到了系统的注册信息或者引起了终端的相应异常流量访问和对终端的异常操作，EDR要去识别是否恶意操作然后在供给链条完成之前对终端执行安全操作。

3.AI对攻与防御

我们EDR部署在终端上面，理论上有比攻击者更丰富的主机资源和权限，这时候面临黑客的攻击如何用AI突破攻击者的主动性，从被动防御到封锁攻击甚至于对攻场景，这是AI应用于EDR的另一个趋势。攻击者什么时间发动攻击是未知的，但是作为机器的安全中心（EDR）如果真正做到用攻击者的方式思考终端的安全策略，由AI来平衡计算机的资源和风险进行和远程攻击者的对抗，这将是终端安全突破性的进展。

4.降低引擎的误报

这个问题有多核心？一是很多用户无法识别引擎识别到的是否是病毒文件，一般用户很难选择清除等危险操作，如果是误报很可能对业务系统产生不可修复的影响；另一方面，黑客可以通过引擎本身这种不稳定性定向发动攻击，可能通过引擎的误报间接暴露系统的很多攻击点。

事后：

1.溯源总结反馈

作为威胁事件之后的关键操作，溯源已经成为了EDR的标配，但是现在的溯源远不能达到未来的APT溯源效果，未来的威胁事件不是独立的攻击事件而是复杂的持续性攻击，如果独立进行溯源分析那么无法应对APT的发展，所以需要溯源做到针对性溯源，对威胁之间的关联性进行分析，得到用户最需要的最完整的APT攻击链条。

2.EDR的产品化与商业化

EDR作为安全厂商的产品提供给企业客户，如果更好地将技术资源产品化，是安全厂商需要考虑的问题，客户购买了产品如何将产品的工作价值更好地呈现，SaaS模式如何应用于EDR产品中，让企业信任EDR，让EDR帮助企业维护终端安全。