写在前面

这部分准备八卦下各个厂商内容，算是竞争分析吧，现在国内做端点安全产品的非常多，大厂小厂还有小团队的。这里我只挑一小部分八卦下，仅作为个人观点，希望不要在意别较真。（12-27增补了一些内容）

主要厂商

简单罗列了下厂商，分类不是很严谨不要太在意，算是八卦么。

厂商分析

1、典型终端安全厂商

现在国内做端点安全产品的传统典型厂商都会有的就是杀毒功能和其他检测、防护、管理功能，利用自己原有的端点能力再整合一批新功能，奔向全家桶式终端安全提供一站的解决方案，演进方向可能是XDR\MDR这类，或者让产品适配各种不同环境，一个平台申请好几个销售许可证。个人觉得奇安信、亚信、安全狗、北信源、江民等几家比较符合。

2、综合性网络安全厂商

这类厂商都有比较丰富的产品线，终端安全作为整体解决方案的组成部分，以网络或者端点管理为主连通SOC、态势感知。毕竟行业客户现在需要能够提供整体解决方案的有实力的厂商，没有端点能力无法把其他部分串起来。启明星辰、天融信、绿盟、安天、安恒、联软、长亭等等大概是这个路数。

3、云原生主机安全厂商

用云、做云的需要与云环境深度结合，分析检测能力强大，兼容性差点，国产化困难点。阿里、腾讯、华为

4、专做端点安全厂商

在特定行业、领域或区域有显著特点。青藤云、网思科平、杰思、安芯网盾等等

竞品厂家

启明星辰

1.简介

人员规模状况分析

截止2021年底，公司有员工6587人，较去年同期增加1200余人。研发人员数量：2464占比37.41%，在北京、上海、广州、杭州、成都、南京、长沙设有研发中心。

2、核心竞争力分析

2021年积极防御技术研究院已下设ADLab、蓝鲸、长庚、六道、破冰、谛听、太白、慧达、响箭、猎豹十个实验室，具备实战演练、脆弱性研究、工具开发、应急响应等安全能力，覆盖全国区域和行业的客户需求。

VenusEye威胁情报中心，以“数据驱动运营，情报赋能安全”为理念，以威胁情报生产技术、威胁情报数据知识、威胁情报运营体系为核心，综合运用沙箱集群、同源分析、知识图谱、人工智能等先进技术，聚焦高价值情报的生产和应用，赋能安全产品和运营服务。VenusEye威胁情报中心推出“情报蓝湖”的理念，融合威胁情报、安全产品、安全平台和运营服务，帮助客户建构具有自身场景特点和行业属性的威胁情报生态。

3、布局

启明通过并购等方式丰富产品线，增加客户资源、业务资质，提升企业业绩。跟随客户需求变化，专注于新安全领域，成立三大战略新业务：安全运营、工业互联网安全、云安全。

并购企业情况：

网御星云：防火墙、UTM产品线

书生电子：数据安全、数字签名

合众数据：布局大数据分析、大数据安全

安防高科：电磁信息安全，2018年后剥离

川陀大匠：终端安全、安全服务

赛博兴安：工控安全

Cloudmin：人工智能、云安全

智为信息：云安全

辰信领创：终端杀毒

2 产品

启明现有端点安全产品列表

辰信领创的终端杀毒产品尚未进入启明产线中，目前以独立产品销售。

3天珣EDR

能力&特点

1、全新采用无驱动、无HOOK的设计，客户端最轻至500K

2、与venuseye深度集成，所有终端采集上来的信息均会进行威胁情报碰撞，实时发现并上报呈现安全威胁。

3、基于ATT&CK攻击模型，对于APT、冰蝎等成链条、有动机的攻击行为进行检测。

规格&兼容性

1、管理中心

CentOS 8.0开发者系统中，采用Web方式进行管理。

2、客户端

Windows：Windows XP、Windows 7、Windows 8.1、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016

Linux：CentOS 6系列32/64位,、RedHat 6系列32/64位、CentOS 7系列、RedHat 7系列

4整体技术发展趋势

5整体感觉

启明产品没啥特点，与目前国内EDR产品相比感觉还算不上，不过这不影响产品做为启明整体产品战略，作为集成项目中的端点补充又有杀毒可卖了还有这个天珣可卖，这对于启明来说差不多够了。

发展趋势里的这2点倒是比较亮眼，如果研发给力的话做成七七八八也是一个很好的尝试。

安全狗

1 简介

厦门服云信息科技有限公司（品牌名：安全狗）成立于2013年，致力于提供云安全领域相关产品、服务及解决方案，是国内最早引入云工作负载安全（CWPP）概念，并成功构建相应产品线的专业云安全厂商。

2 产品

拥有云安全、Web应用安全、安全大数据三大核心产品线。在云安全领域，依托(云)主机安全产品、公有云SaaS产品、私有云安全平台，结合容器安全、微隔离等最新技术，为公有云、私有云、混合云等各种复杂云环境下的用户提供整体解决方案及服务。在Web应用安全领域，通过新一代混合式WAF产品及防篡改系统，为用户的网站安全上云提供了全面的保障。在安全大数据领域，基于已安装部署产品（500万+主机、300万+网站）所获取的海量攻防数据，融合AI学习能力，构建多领域、多维度的安全态势感知平台，帮助用户有效预测风险、精准感知威胁、提升响应效率。

3 技术

安全狗服云产品，核心功能是对服务器系统和网站以及系统服务的可用性监控并实时告警。产品面对个人和中小型企业管理者，在服务器和网站系统的监控基础之上增加了网络防火墙和IPS防护功能，并扩展了传统的基于病毒特征码对比的防病毒功能和漏洞补丁管理功能。

安全狗服云产品对服务器系统的可用性监控，网站系统的可用性监控，以及服务器和网站的访问数据统计较为占据优势，对病毒防护和漏洞补丁管理水平与传统防病毒产品持平，不具备对新型病毒、特种木马、变种木马、ATP未知威胁的防护能力。

安全狗服云产品从终端覆盖范围上只适合服务器操作系统；从产品架构上标准版本只适合公网用户，内网环境无法部署使用，私有化版本功能相对标准版要少；从管理角度上，所有终端安全数据都需要传输到公网的控制中心处理，用户隐私问题无法保障。

4、整体感觉

安全狗做了很长时间产品了，但是一直不温不火的，产品也还行，市场也看的见，就是火不起来。感觉有能力的人员流动很大，平台不是很稳定。

安恒信息

1 简介

安恒信息成立于 2007 年，安恒信息以云安全、大数据安全、物联网安全、智慧城市安全、工业控制系统安全及工业互联网安全五大方向为市场战略。凭借强大的研发实力和持续的产品创新，已形成覆盖网络信息安全生命全周期的产品体系，包括网络信息安全基础产品、网络信息安全平台以及网络信息安全服务，各产品线及业务线在行业中均形成了强大的竞争力。主营业务收入连续三年保持近50%增长。2020年全年营收增速40%，净利润增速48%。

2 客户

安恒在政府、公安、教育、金融、运营商、企业、医疗、能有、互联网行业中100+大客户中都有大量案例。

3 产品

安恒云主机安全为物理服务器、虚拟化服务器和云服务器提供基于客户端的防护，提供主机系统防护与加固、主机网络防护与加固等功能，具备勒索专防专杀、网页防篡改、网络隔离与防护、补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。

产品功能还是集中在WEB安全防护能力上，篡改防护功能弥补了已有WAF产品的能力缺陷，整体上安恒端点安全产品是为了配合其他产品向用户提供整体解决方案的补充能力。

4 技术

目前安恒云为用户提供 19 种云安全能力，覆盖资产探测、漏洞扫描、网站监测等事前监测类产品，DDoS 防护、Web 防护、防火墙、主机安全防护等事中防护类产品，堡垒机、日志审计、数据库审计等事后审计类产品，全方位解决客户云上业务安全问题；同时全面兼容国内外 14 种云平台，并实现主机监控与自动运维、成本分析与优化、合规运维与审计等功能，通过对多平台云资源的一站式管理，完美解决信息孤岛问题。

• AiLPHA 大数据智能安全平台

能够提供基于大数据技术的多源异构数据收集服务能力，依托于分布式复杂事件处理引擎进行安全建模分析与运营框架编排，实现安全事件攻击溯源与威胁回放并剔除误报，提升安全运维效率。平台集成包括资产管理、威胁情报、UEBA、多维态势可视化、专家分析和处置联动等模块，为客户搭建企业级安全数据中心，提供安全分析决策的数据支撑和安全运营监管的服务保障。

• 工控、物联网

安恒信息致力于打造覆盖设备安全、控制安全、网络安全、数据安全、应用安全等方面的全生命周期的整体解决方案，“大型火电机组工控网络和管理系统的智能安全防护技术”成果荣获工信部 2018 年工业信息安全十大优秀实践案例、2018 年 CAA科学技术进步二等奖，参与制定电力行业标准《发电厂监控系统信息安全评估导则》、《发电厂监控系统信息安全防护技术要求》、《发电厂监控系统信息安全管理技术指导》；参与国内首部发电厂工控安全专著《发电厂控制与管理系统信息安全》的编写。

• 解决思路

资产管理——进程和文件检测——漏洞扫描——微隔离——诱饵引擎（防勒索）

优势：

1、具备病毒库，可静态扫描文件，可替代杀软

2、系统漏洞扫描，能够扫描系统漏洞，并推送补丁

3、可以设置主机系统账号登陆防护，防止异常登陆

4、具备诱饵引擎，能发现勒索病毒加密文件

5、对web服务器有更强防护能力，网站漏洞防护

6、对主机间流量访问能够可视化展示

不足：

1、没有溯源功能

2、资源占用比大

3、对恶意软件利用445漏洞传播，安恒采用打补丁，封端口

4、没有基线检测、注册表检测、沙箱等功能

5、是病毒库对比，不是行为检测，依然是杀软

5主要感觉

创始人范渊计算机专业出身在WEB安全和数据安全方面有造诣，在公司技术能力建设上也是围绕“会什么干什么”的方式进行，与奇安信的哪里能赚钱在哪里干不同，安恒有较为明显的技术依赖特性，优势就是在特定领域中有较为深厚的技术优势和产品沉淀，缺点很难在新兴领域中有快速响应。自阿里入股以来这类现象有所缓解。

安恒在平台类产品上有信息和技术优势，在云安全方向上也在蓄力发展，在技术和产品演进过程中数据源和元数据的掌控变成数据分析的壁垒，从其他厂商产品中很难获取更多基础数据内容，安恒云主机安全产品弥补了这一问题并且在云\虚拟化场景中增加了终端安全解决方案内容。

同样安恒也选择了安全产品+安全服务的方式为企业用户提供分析、应急、运营的人工安全服务。

深信服

1 简介

深信服 2000 年成立至今，依托全渠道模式成功打造网络安全+云计算龙头服务厂商之一，多款产品如上网行为管理、下一代防火墙产品等均排名行业头部。2014-2020 年公司收入与归母净利润 CAGR 分别为34%/23%。公司从 2020 年开始推行 Xaas 战略即万物皆服务，积极向订阅制收费升级，公司的各种产品和服务都将逐步实现服务化交付。

2 客户

客户群体包括政府部门、事业单位和各类企业等在内的企业级用户。

3 产品

深信服从 VPN 产品切入，依托强大渠道能力实现业绩快速释放，陆续推出以虚拟化产品、超融合 HCI 产品、企业级分布式存储 EDS、软件定义终端桌面云 aDesk、大数据平台、数据库服务平台等为代表的多款创新产品，并向用户提供包括托管云、私有云等云数据中心方案。

4 技术

• 人才研发投入

4个研发中心：深圳、北京、长沙、硅谷；20%营收投入研发；40%研发、30%硕博学历。

雪豹团队：安全研究、检测技术、防御技术、攻防对抗；凤凰团队：云计算、网络、存储、计算；

• 基于人工智能

LSTM算法比N-gram有显著提升，僵尸网络检出率99.7%

• 云端+管理平台+agent+第三方联动

终端检测响应平台（EDR）是深信服公司提供基于云安全的服务器安全解决方案，方案由轻量级的端点探针和云端的管理平台共同组成。轻量级的端点探针 agent 需要安装在所有的服务器上，包括所有的物理主机、虚拟机、云主机等。管理平台可以部署在本地，或使用Sangfor的 SaaS服务云。端点探针记录大量主机和网络事件，并将这些数据发送到管理平台，然后由管理平台进行全面的安全分析，根据已知攻击指示器(IoC)、行为分析和机器学习等技术来检测安全攻击行为，并对这些攻击做出快速的响应动作。解决方案将对主机进行持续的安全检测，并对发生的安全事件进行自动响应加固。

5主要感觉

作为国内快速崛起的安全企业，从开始专注VPN市场到上网行为管理、应用交付、防火墙、超融合等产品，深信服一直都是在关注热点领域和新兴市场。同奇安信一样都致力于增强用户粘性，奇安信主要采用天擎终端安全产品的切入方式，深信服则通过产品与客户业务协同，产线间的高度协同联动属性让产品能够明确定位切合用户需求。

深信服在云业务相关安全产品和能力上投入了相当多资源，在虚拟化和虚拟化存储、云桌面等方面取得了较大成果，但与其他大厂相比后续持续性和产出方面可能会有很多困难。深信服超融合技术作为私有云解决方案在服务器虚拟化、网络虚拟化、分布式存储、安全虚拟化等方面都有区别于其他厂商的优势表现。产品更多的还是在业务应用和管理方面，没有更多的安全检测、攻防转换能力体现。

2018年投入200人团队打造的EDR端点安全产线在2021年减配不到50人，依托强大的渠道和产品线间的协同联动能力在个别行业中应用广泛，但后续产品演进和基础安全技术、分析能力上没有持续跟进，在后续市场占有率中可能会逐步减少。

深信服拥有行业最强大的渠道体系，全国几千家渠道代理分布全国各地。深信服为渠道代理公司提供的不仅是技术、产品支持还有市场、人员的培训、督促，捆绑粘性非常高。常年技术培训和市场支持为代理商培养了大量骨干成员，同时各代理公司的技术骨干能够顺畅的进入深信服工作解决了人才引进和培养问题。

奇安信

奇安信在研发上的投入力度是国内安全企业中最高的，目标是打造具备内生安全能力的协同联动防护体系，几乎覆盖了目前市场上所有安全产品细分领域。研发、技术人员众多使奇安信从产品到技术开发都能够快速迭代，保持持续增长适应快速扩张的市场和用户需求。

从2004-2021年奇安信逐步创建了10个安全团队来进行基础安全技术研究，为其他各产线提供基础安全数据和分析结果，这些内容也是安全产品能力的保障，目前安全技术研究和安全服务团队人数以达到约3000人。用户对安服的需求和攻和技术实力的直观感受都让奇安信在众多行业用户和政企用户中得道广泛认可。随着用户需求由安全产品使用到整体安全运营方向的转变安全服务和攻防技术基础研究的作用会逐步显现。

“天擎”终端安全仍是奇安信的最核心安全产品，奇安信通过对天擎持续更新、打造，吸收了多家终端安全产品的优势能力，持续的研发、营销投入让天擎成为国内最大终端安全产品。已经拥有5000万政企终端用户的规模，为后续的大数据分析和各种模型、算法及各种资产库、数据库等提供了强大基础数据支撑。奇安信通过天擎切入新用户环境利用端点产品的粘性逐步扩大其他产品在用户环境中的占有率，使奇安信能够向用户提供比其他厂商更全面和便利的整体解决方案，打通的云、管、端模式让采用虚拟化、云等架构的用户更倾向采用这种一体化整体解决方案。

在云安全产品及解决方案方面，奇安信做的主要在云安全管理、安全服务和安全运营方向上持续投入，但在容器安全、虚机管控和云平台等方面并未看到具体产出而是不断打造运管平台整合已有产品融合一体化的方式。解决了众多云平台系统的兼容性和国产化适配等问题后将会快速扩大用户群体并整合更多适配云环境的安全产品作为云管平台的防护组件或检测能力融合在一起。

奇安信发起的《信息安全技术零信任参考体系架构》在标准和产品研发上都是国内开始最早的，但零信任在实际应用和产品研发上还有很长的路要走，与其他应用、产品和用户实际环境的改造、融合仍需要更多研究和实践工作。国家零信任相关标准的发布将会是零信任市场的主要推动力。

随着通用安全产品技术成熟，奇安信通过天工、巽丰两个实验室的技术能力输出对物联网、工控环境下的安全问题打造适配产品提供解决方案，通过前期几个项目的反馈会在工控、物联网以及车联网领域加大投入。威努特、六方云等专注工控安全的厂商在安全服务、应急响应、攻防演练、安全评估和安全风险分析等方面存在于奇安信等综合型安全厂商明显的技术和人员差距，在工控、物联网环境需求把控和产品研发上奇安信等综合型安全厂商会随着研发资源的投入逐渐占领市场。

CrowdStrike

1 简介

CrowdStrike是一网络安全服务提供商，由反病毒公司McAffee的前CTO George Kurtz及前副总裁Dimitri Alperovitch创建成立于2011年，团队主要成员来自于信息安全产业（如微软(MSFT)、亚马逊(AMZN)）以及情报执法机关（FBI）。总部位于加州Irvine。

2 客户

CrowdStrike 早期客户群体是大型的企业，后来通过免费试用的营销方式加大中小型公司的拓展，2017年公司为潜在客户提供15天免费试用Falcon Prevent。

3 产品

crowdstrike 四个类型的产品服务：终端安全、威胁情报、安全和 IT 运营以及云安全。Crowdstrike 的产品是基于云的 SaaS 终端安全产品，CRWD采用采用终端轻量级代理+云端AI大数据分析模式，企业可以实现快速海量终端部署，在云端助力比本地产品效果更好，该模式部署非常快，功能模块化扩展持续提升用户保留率，同时终端安全领域采用大数据收集进行AI分析解决了持续的安全能力提升。

Crowdstrike 与传统的网络安全软件最大的不同，是它在单纯软件服务之外提供了新一代网络安全平台，基于订阅+服务的模式研发布局产品线，覆盖终端安全完整产品线。2017年之后，产品研发由单一产品转向多模块平台的研发，大力研发覆盖端点安全、IT运营、托管服务、威胁情报和云安全的项目，实现交叉销售和多模块集成订阅，避免了单独软件售卖的客户留存尴尬，公司得以差异化产品定价，长期持续获得订阅收入。

4 技术

CrowdStrike是目前网络安全行业的独角兽，其业务领域主要是端点安全，采用终端轻量级代理+云端AI大数据分析模式实现持续领跑。CrowdStrike通过采用一种应用于现代技术（如人工智能，AI，云计算和图形数据库）的众包数据的网络效应，建立了Falcon平台来检测威胁并阻止攻击。其Falcon平台是一个基于大数据分析的端点主动防御平台，可监控企业的数据，侦测零日威胁，并防止定向攻击造成的破坏。平台还可以识别未知恶意软件，学习攻击者特征，然后形成一套响应措施，提高对方攻击的风险和代价。

CrowdStrike规划扩展完善的猎鹰平台核心能力模块包括：

端点安全：猎鹰预防 - 下一代杀毒软件、猎鹰洞察-端点检测和响应；

安全和IT运营：猎鹰守望者-托管威胁搜寻、猎鹰发现-深入探索应用程序、帐户和资产、猎鹰聚光灯-漏洞评估；

威胁情报：猎鹰X-威胁情报、猎鹰X-侦察机-数字风险监控、猎鹰沙盒-自动恶意软件分析；

云安全：猎鹰地平线-简化多云环境的状态管理、猎鹰云工作负载保护、容器安全-针对Devops优化；

SentinelOne

1 简介

SentinelOne 由网络安全和防御专家精英团队于 2013 年创立，他们开发了一种全新的、突破性的端点保护方法，总部位于加州帕洛阿尔托。SentinelOne 强项在于监测勒索恶意软件，为客户推出安全担保服务，SentinelOne 开发了一套反病毒软件，可以前瞻性地预判出终端安全，而不是等待发现问题之后再做出反应。

2 客户

产品行业覆盖汽车制造业、卫生保健行业、政府、金融行业、服务业、教育行、非营利组织、航空等4000+客户，包含前十强4家全球2000强数百家

3 技术

在 2020 年 MITRE Engenuity ATT&CK 评估中，SentinelOne 成为第一家提供 100% 攻击可见性的 EDR 供应商，连续 2 年进行最多的分析检测。 Singularity 平台将 174 个步骤的活动整合为 7 个开箱即用的控制台警报，自动为分析师提供他们需要的上下文和关联，而无需进行大量设置。

优势:

1. 防范当前和未来的网络威胁,设备商强大的静态AI和行为AI与云端的流AI模型相结合,可应对不断变化的威胁环境中的全方位攻击,包括勒索软件,已知未知恶意软件,木马,黑客工具,内存漏洞利用,脚本滥用等等
2. 实现对所有数字资产的保护和可见性,sentinelone的平台提供了一套完整的实时威胁预防,检测和修复功能,涵盖所有端点,云工作负载,服务器和操作系统,并为客户提供对其所有网络资产的可见性包括管理中的和非管理中的.
3. 提供资助保护和修复,sentinelone的代理能自主和实时的保护并修复端点,通过停止恶意进程,隔离,补救甚至回滚时间,以像做手术一样保持端点安全
4. 四是启用便利和全自动的时间调查和主动威胁搜寻.sentinelone平台使安全屯对能够通过单击界面在其it资产中搜索行为指标.sentinelone的深度可见性和上下文数据使各种技能水平的安全分析师能够以非常快的速度运行查询,并快速了解最复杂威胁背后的根本原因
5. 提供进行彻底不久的能力.sentinelone以极低成本的方式将丰富的上下文数据保留长达三年,这些取证数据可以帮助可以调查已经悄悄渗入其组织并在数月内未被发现的违法行为.它使他们能够确保任何时间都得到了完全修复,而无需重新映像或更换其IT基础架构
6. 提供卓越的客户体验.直观,简洁的用户界面,一键提供上下文的能力以及高度自动化的结合使客户无论具有怎样的安全水平都能够使用sentinelone的平台.因此,客户满意度得分是97分
7. 快速实现价值,通过部署sentinelone的平台,客户可以在三年内获得353%的投资回报,投资回收期不到3个月
8. 多样化快速部署,部署灵活,sentinelone可以部署在客户选择的各种环境中,包括公有云 私有云 混合云,使其适用具有不同合规性和法规要求的各种规模的组织,并且无需大量配置或维护.
9. 转悠的数据堆栈.sentinelone现代,创新和可扩展的数据堆栈使sentinelone能够有效的摄取,处理和分析大量的各种数据类型.
10. sentinelone独立的,组件驱动的架构使其能够利用公有云基础设施的持续创新快速发展,同时控制创新路线图和客户体验的各个方面
11. 可以深入嵌入在客户的it堆栈中,sentinelone的api优先方法和Singularity Maketplace使其客户能够轻松的将智能,分析,自动化和其他第三方业务应用程序与sentinelone的平台集成
12. 丰富的合作伙伴生态系统
13. 高质量网络安全和人工智能人才的储备

以上都是各家公开信息汇总和个人观点