華為安全大咖談 | 華為終端檢測與響應(yīng)EDR 第01期：小身材如何撬動安全大乾坤

?本期講解嘉賓

2023年國家網(wǎng)絡(luò)安全宣傳周將于9月10日至16日在全國范圍內(nèi)統(tǒng)一舉行，其中包括網(wǎng)安周開幕式、網(wǎng)絡(luò)安全技術(shù)高峰論壇、網(wǎng)絡(luò)安全博覽會等重要活動。華為數(shù)據(jù)通信產(chǎn)品線安全產(chǎn)品領(lǐng)域也將在網(wǎng)絡(luò)安全宣傳周期間發(fā)布華為終端防護(hù)與響應(yīng)EDR新品。為了讓廣大華為安全愛好者更好地了解新品武器，華為安全專家齊聚一堂，推出EDR“大安全，新思路”系列文章，敬請持續(xù)關(guān)注。

網(wǎng)絡(luò)威脅最新趨勢

在2022年到2023年期間，最新的威脅攻擊有哪些？這些攻擊呈現(xiàn)出什么趨勢？從現(xiàn)網(wǎng)安全運(yùn)營和安全報告披露的數(shù)據(jù)看，勒索、挖礦、蠕蟲、竊密和遠(yuǎn)控木馬依然活躍，并呈現(xiàn)出隱蔽性、多樣性的特點(diǎn)。

根據(jù)《2023年惡意軟件準(zhǔn)備和防御報告》的調(diào)查結(jié)果顯示，企業(yè)面臨的頭號威脅是勒索軟件，其次是網(wǎng)絡(luò)釣魚和信息竊取程序，具體數(shù)據(jù)如圖1-1所示。三者“相伴相生”，互為攻擊的前后腳。如果問首先需要防御哪種類型的惡意軟件，很多組織可能很難回答。

圖1-1企業(yè)安全面臨的惡意軟件威脅排行榜

觀察幾款持久存活的惡意軟件，例如，國內(nèi)勒索感染排名第二的TargetCompay、挖礦竊密勒索遠(yuǎn)控復(fù)合惡意軟件DarkGate、銀行木馬LokiBot、Emotet僵尸網(wǎng)絡(luò)等，這些惡意軟件在進(jìn)化過程中，其真正的有效載荷變化不大，但初始入侵感染手段不斷翻新，融合了更復(fù)雜多變的技術(shù)，如釣魚、漏洞利用、被盜憑據(jù)、Shellcode、進(jìn)程挖空躲避等手段。因此，檢測這些惡意軟件的難度與日俱增。

整體上，當(dāng)前的威脅形式融合了三個變量：第一個是數(shù)字化先行，組織暴露出更多的風(fēng)險面；第二個是攻擊技術(shù)、生態(tài)系統(tǒng)和工業(yè)化程度的進(jìn)化；最后，更多攻擊組織參與到新的地緣政治沖突中，加速了高級威脅武器的應(yīng)用和民間濫用泛化。這些因素都加劇了網(wǎng)絡(luò)空間環(huán)境的惡化。如果企業(yè)設(shè)備不能保障安裝最新的補(bǔ)丁、部署下一代反惡意軟件，從攻擊者角度思考縱深應(yīng)對方案，那么如何建立“安全感”呢？

安全防御現(xiàn)狀和挑戰(zhàn)

為了應(yīng)對復(fù)雜的威脅界面，企業(yè)需要構(gòu)筑一套貫穿威脅攻擊全鏈路的自防御體系，在事前、事中和事后投入更多的人力和時間成本。但安全投資是有限的，如何從可視、防御、檢測和響應(yīng)多個層面來建設(shè)一套縱深安全體系，兼?zhèn)淦胶鈱?shí)效和成本呢？

2013年Gartner首次提出EDR（Endpoint Detection and Response，終端威脅檢測與響應(yīng)）的概念之后，該技術(shù)立即引起了安全界的廣泛關(guān)注。如圖1-2所示，EDR是一種新型的、智能化和快速迅捷的主動防御技術(shù)，遵循Gartner “預(yù)測、防護(hù)、檢測和響應(yīng)”的技術(shù)體系，其作用貫穿安全事件發(fā)生的全過程。由于終端是威脅攻擊的主要作用點(diǎn)，大部分攻擊都發(fā)生在各類端點(diǎn)計(jì)算設(shè)備上。以終端為錨點(diǎn)，可以達(dá)到撬動整個安全防御體系的效果。在2023年Gartner最新的終端安全魔術(shù)象限報告中，EDR被作為EPP（Endpoint Protection Platform，終端防御平臺）的關(guān)鍵特性，主流安全廠商已經(jīng)實(shí)現(xiàn)EPP與EDR的合一（后面文章以EDR統(tǒng)稱）。

圖1-2EDR自適應(yīng)安全體系

EDR集成了下一代AV、行為分析、機(jī)器學(xué)習(xí)、誘騙、XDR（Extended Detection and Response，可擴(kuò)展威脅檢測與響應(yīng)）大數(shù)據(jù)日志存儲和分析、沙箱、威脅信息、網(wǎng)絡(luò)安全聯(lián)動和自動恢復(fù)響應(yīng)等最先進(jìn)的技術(shù)。它可以覆蓋辦公終端、服務(wù)器、虛擬機(jī)、云Workload和容器監(jiān)控，甚至擴(kuò)展到IOT設(shè)備等對象。部分安全廠商還添加了身份保護(hù)、釣魚防護(hù)和微隔離等特性，為EDR注入更多新的涵義。EDR“小小”身材，可撬動端、網(wǎng)、云大安全。在2023年最新的攻防演練熱點(diǎn)話題中，“如何防范0-Day打穿網(wǎng)絡(luò)，從主機(jī)層面如何阻斷已經(jīng)攻入內(nèi)網(wǎng)的紅隊(duì)”成為了主要關(guān)注點(diǎn)?？梢姡珽DR從不同層面被賦予了厚望，主流安全廠商也紛紛布局EDR產(chǎn)品。

盡管業(yè)界廠商提供的終端安全功能繁多，從業(yè)界實(shí)踐總結(jié)（參考Gartner）和客戶反饋中，以下幾個方面被認(rèn)為是EDR產(chǎn)品的核心能力：

01防御和阻止安全威脅，包括已知惡意軟件、無文件利用。 02具備行為分析能力，覆蓋設(shè)備活動、應(yīng)用程序、身份和用戶數(shù)據(jù)，集成威脅信息能力，檢測和預(yù)防未知威脅。 03在攻擊被實(shí)錘前，提供進(jìn)一步事件調(diào)查和溯源能力。 04具備攻擊響應(yīng)恢復(fù)能力，如惡意軟件感染后文件恢復(fù)能力。 05支持多種操作系統(tǒng)和終端類型，并且支持多種部署模式，包括線下On Premise、云端和混合部署。

更多高級能力包括XDR整合聯(lián)動，以及部分EPP傳統(tǒng)功能的反向整合，例如安全基線、漏洞管理、數(shù)據(jù)防泄密等。其中，XDR整合能力在業(yè)界普遍還不成熟，它包含了集成SOAR、IT服務(wù)管理、網(wǎng)絡(luò)整合等功能。

從業(yè)界實(shí)踐來看，針對不同類型客戶，在應(yīng)對不斷變化的威脅攻擊時，如何做到低誤報高檢出、還原攻擊鏈、自動響應(yīng)和恢復(fù)，部分EDR產(chǎn)品還存在不少差距。例如，針對安全不成熟的客戶，易用性是一個關(guān)鍵考量，但不少廠商缺乏自動分析攻擊鏈、一鍵自動響應(yīng)和修復(fù)能力、無預(yù)定義威脅搜索和感染文件恢復(fù)等功能。針對中大型客戶，很多廠商的EDR在現(xiàn)網(wǎng)應(yīng)用中，上報數(shù)據(jù)噪聲大、行為檢測誤報高、ATT&CK覆蓋不全，無法真正攔截變種惡意軟件和未知威脅；缺乏對多個操作系統(tǒng)和新的工作負(fù)載（如容器）的支持；與安全工作流程整合不夠緊密，缺乏可定制的Playbook和行為規(guī)則能力。此外，XDR整合聯(lián)動還停留在宣傳層面，終端、應(yīng)用和網(wǎng)絡(luò)安全管理界面分離，遠(yuǎn)沒有達(dá)到消除跨團(tuán)隊(duì)、系統(tǒng)和數(shù)據(jù)孤島的目的。

華為終端檢測與響應(yīng)EDR產(chǎn)品亮點(diǎn)

EDR的防御理念是很好的，與經(jīng)典的PPDR（Predict 、Prevent 、Detect、Response，預(yù)測、防護(hù)、檢測、響應(yīng)）的安全防御模型完全吻合，但是將這種思想轉(zhuǎn)化為具體的產(chǎn)品并達(dá)到實(shí)效，還需要不斷在組織、管理流程和技術(shù)上進(jìn)行實(shí)踐和迭代創(chuàng)新。從EPP到EDR，再到二者的合體，在終端安全發(fā)展的起承轉(zhuǎn)合中，誰才是真正具備實(shí)效、可對抗未知、易用性高的產(chǎn)品？

華為安全推出EDR新品，致力于在網(wǎng)絡(luò)空間抵御新型威脅攻擊。作為大安全的錨點(diǎn)和托底，整合網(wǎng)絡(luò)安全、云端大數(shù)據(jù)安全深度分析能力，深度協(xié)同，形成感知、防御、檢測、和響應(yīng)多層面的自適應(yīng)防御閉環(huán)。依托OneAgent統(tǒng)一終端平臺，以小身材，撬動安全大乾坤。

華為終端檢測與響應(yīng)EDR產(chǎn)品具備如下優(yōu)勢：

01輕量化、易部署

EDR足夠輕、上報噪聲低、在主機(jī)操作系統(tǒng)上留下的足跡足夠小，才能對用戶業(yè)務(wù)影響最小，有效收斂信號，將安全風(fēng)險面收到最小。華為終端檢測與響應(yīng)EDR輕量級Agent，支持分鐘級批量部署上線，實(shí)時防護(hù)CPU占用小于1%，內(nèi)存占用??；它基于可信進(jìn)程樹、白名單自學(xué)習(xí)和威脅圖降噪專利技術(shù)，能夠在各類數(shù)據(jù)采集無損的條件下，去除80%以上的噪聲和冗余數(shù)據(jù)，單終端平均數(shù)據(jù)上報小于20MB/天，大大提升云端檢測的有效性，降低云端存儲成本。

02集成下一代AV檢測引擎

華為終端檢測與響應(yīng)EDR產(chǎn)品集成了自主研發(fā)的下一代AV引擎CDE（Content-based Detection Engine，內(nèi)容檢測引擎），可實(shí)時掃描發(fā)現(xiàn)勒索、挖礦、遠(yuǎn)控等早期的惡意載荷投遞，阻止進(jìn)一步釋放有效惡意載荷；基于內(nèi)核級文件寫入、運(yùn)行阻斷查殺技術(shù)，在有效載荷落盤或運(yùn)行前高速掃描，確保惡意代碼不運(yùn)行下的高查殺率。CDE采用MDL（Malware Detection Language，惡意軟件檢測語言）專有病毒語言，以少量資源精準(zhǔn)覆蓋海量變種；集成專有在線神經(jīng)網(wǎng)絡(luò)等高精度AI算法、反躲避等技術(shù)，可檢測深度隱藏、嵌套、壓縮的病毒，并具備未知病毒檢測能力；借助華為乾坤云端強(qiáng)大的文件安全生產(chǎn)系統(tǒng)，基于10種以上自動化簽名算法和專家經(jīng)驗(yàn)，對海量樣本進(jìn)行高效高質(zhì)覆蓋，持續(xù)對抗分析每日百萬級新樣本，準(zhǔn)確檢測流行勒索、挖礦、木馬、僵尸、后門、蠕蟲等各類惡意軟件。CDE在對抗檢測、AI檢測算法、簽名泛化能力和掃描性能方面處于領(lǐng)先地位。

03創(chuàng)新威脅溯源圖捕獲未知威脅

據(jù)統(tǒng)計(jì)，有20%的惡意軟件可以成功繞過殺軟的檢測。未知行為檢測是對抗殺軟繞過的關(guān)鍵能力。要想有效地防御未知威脅，首先要精確感知終端行為異常，并且采集的數(shù)據(jù)越全面、越深入，檢測的上限就越高。華為終端檢測與響應(yīng)EDR產(chǎn)品支持進(jìn)程、文件、網(wǎng)絡(luò)、DNS、注冊表等細(xì)粒度的數(shù)據(jù)采集，并支持API、Shellcode和內(nèi)存深度采集。即使威脅攻擊采用隱蔽性極高的躲避技術(shù)，如內(nèi)存型無文件攻擊、白加黑、Shellcode注入、直接系統(tǒng)調(diào)用、合法工具或Powershell命令等進(jìn)行躲避，也能被EDR采集器感知。

終端行為是一張以進(jìn)程為中心的網(wǎng)狀行為圖。華為終端檢測與響應(yīng)EDR產(chǎn)品獨(dú)創(chuàng)內(nèi)存威脅溯源圖，對單終端進(jìn)程樹、文件、憑據(jù)等對象訪問行為鏈進(jìn)行實(shí)時捕捉，擬合成網(wǎng)狀行為“快照”；基于這張“影子”快照圖，華為終端檢測與響應(yīng)EDR可執(zhí)行毫秒級上下文關(guān)聯(lián)，覆蓋原始事件可疑信號和主機(jī)IPS行為打點(diǎn)告警，信號實(shí)時沿圖傳播匯聚，結(jié)合威脅打分和威脅根溯源算法研判，輸出高置信度惡意威脅事件，研判準(zhǔn)確率可達(dá)99%以上。大大消除誤報和“告警疲勞”，將90%的未知攻擊實(shí)時阻斷閉環(huán)在終端側(cè)。

華為終端檢測與響應(yīng)EDR聯(lián)動云端，可撬動乾坤云對跨終端、異構(gòu)數(shù)據(jù)源（資產(chǎn)、威脅信息）進(jìn)行時空層面的綜合關(guān)聯(lián)和溯源，結(jié)合AI算法和云端強(qiáng)大的威脅知識庫，通過全局威脅溯源圖深度歸因，自動還原攻擊意圖和攻擊鏈條，檢測多主機(jī)橫向移動、和高級持續(xù)隱蔽型攻擊。針對0-Day，華為終端檢測與響應(yīng)EDR產(chǎn)品支持多層漏洞防御，在漏洞執(zhí)行關(guān)鍵路徑打點(diǎn)，通過細(xì)粒度行為檢測斬?cái)郣OP攻擊鏈；結(jié)合未知Shellcode采集，識別攻擊意圖；最后一道防線是端云結(jié)合的白程序行為基線學(xué)習(xí)，即使系統(tǒng)被漏洞攻陷也能識別異常，結(jié)合溯源圖進(jìn)一步研判。

針對中大型客戶，華為終端檢測與響應(yīng)EDR產(chǎn)品端側(cè)威脅溯源圖、主機(jī)IPS、誘餌、云端關(guān)聯(lián)分析和全局溯源圖引擎，均支持客戶依據(jù)現(xiàn)網(wǎng)業(yè)務(wù)特點(diǎn)，自定義檢測算法和策略，提升場景化防御的業(yè)務(wù)適應(yīng)性。

04華為乾坤云統(tǒng)一威脅聯(lián)動分析和響應(yīng)

華為終端檢測與響應(yīng)EDR后臺是基于乾坤統(tǒng)一威脅分析和管理平臺研發(fā)，該平臺同時支持邊界防護(hù)、威脅信息、網(wǎng)絡(luò)威脅評估、漏洞掃描等多安全APP部署。通過華為乾坤統(tǒng)一安全運(yùn)營中心，可天然支持多安全APP的日志中心化存儲、檢索、統(tǒng)一分析和可視。跨產(chǎn)品管理控制后臺統(tǒng)一，可基于一套管理界面配置策略。通過跨域關(guān)聯(lián)分析規(guī)則和算法，實(shí)現(xiàn)XDR跨域威脅研判，以及一鍵自動化編排響應(yīng)。比如在典型勒索攻擊場景，防火墻在勒索攻擊初始訪問階段，識別勒索下載器的C2外聯(lián)，華為乾坤云通過告警日志，實(shí)時聯(lián)動EDR對失陷主機(jī)進(jìn)行一鍵響應(yīng)，終止惡意代碼片段進(jìn)程、隔離文件，對網(wǎng)絡(luò)訪問進(jìn)行阻斷，抑制下載器二次復(fù)發(fā)帶來的被勒索風(fēng)險。

05獨(dú)創(chuàng)勒索加密文件恢復(fù)

勒索加密家族LockBit最高可在4分鐘加密10萬個文件，檢測的速度必須足夠快和準(zhǔn)。針對不斷變異進(jìn)化的勒索軟件，要確保數(shù)據(jù)零損失，提供加密文件恢復(fù)是一個有效的兜底技術(shù)。華為終端檢測與響應(yīng)EDR產(chǎn)品獨(dú)創(chuàng)內(nèi)核級勒索行為捕獲技術(shù)，可動態(tài)感知非受信程序的可疑文件訪問模式，如誘餌文件訪問、批量文件遍歷、修改后綴名等，實(shí)時觸發(fā)本地文件備份。支持輕量化勒索AI動態(tài)行為本地分析，在勒索攻擊正確研判后，針對勒索病毒整個進(jìn)程鏈自動執(zhí)行處置，并將備份文件回滾，確保恢復(fù)到正確的文件修改版本，備份單文件<10ms，將數(shù)據(jù)損失數(shù)量減少到個位數(shù)或0損失。

結(jié)束語

威脅攻擊持續(xù)演進(jìn)，防御對抗是長期性的。華為終端檢測與響應(yīng)EDR產(chǎn)品撬動云、網(wǎng)、端三方協(xié)同，將核心的PPDR防御邏輯、知識和能力流程化、自動化。在事前、事中和事后提升數(shù)字韌性和反攻擊雙向能力，獲取攻防主動權(quán)，對各類新型攻擊進(jìn)行常態(tài)化治理，守護(hù)組織和企業(yè)的數(shù)字資產(chǎn)安全。

在后續(xù)推文中，我們會逐一展開介紹華為終端檢測與響應(yīng)EDR產(chǎn)品的黑科技，敬請期待。

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！