?本期講解嘉賓
2023年國家網(wǎng)絡(luò)安全宣傳周將于9月10日至16日在全國范圍內(nèi)統(tǒng)一舉行,其中包括網(wǎng)安周開幕式、網(wǎng)絡(luò)安全技術(shù)高峰論壇、網(wǎng)絡(luò)安全博覽會等重要活動。華為數(shù)據(jù)通信產(chǎn)品線安全產(chǎn)品領(lǐng)域也將在網(wǎng)絡(luò)安全宣傳周期間發(fā)布華為終端防護(hù)與響應(yīng)EDR新品。為了讓廣大華為安全愛好者更好地了解新品武器,華為安全專家齊聚一堂,推出EDR“大安全,新思路”系列文章,敬請持續(xù)關(guān)注。
網(wǎng)絡(luò)威脅最新趨勢
在2022年到2023年期間,最新的威脅攻擊有哪些?這些攻擊呈現(xiàn)出什么趨勢?從現(xiàn)網(wǎng)安全運(yùn)營和安全報告披露的數(shù)據(jù)看,勒索、挖礦、蠕蟲、竊密和遠(yuǎn)控木馬依然活躍,并呈現(xiàn)出隱蔽性、多樣性的特點(diǎn)。
根據(jù)《2023年惡意軟件準(zhǔn)備和防御報告》的調(diào)查結(jié)果顯示,企業(yè)面臨的頭號威脅是勒索軟件,其次是網(wǎng)絡(luò)釣魚和信息竊取程序,具體數(shù)據(jù)如圖1-1所示。三者“相伴相生”,互為攻擊的前后腳。如果問首先需要防御哪種類型的惡意軟件,很多組織可能很難回答。
圖1-1企業(yè)安全面臨的惡意軟件威脅排行榜
觀察幾款持久存活的惡意軟件,例如,國內(nèi)勒索感染排名第二的TargetCompay、挖礦竊密勒索遠(yuǎn)控復(fù)合惡意軟件DarkGate、銀行木馬LokiBot、Emotet僵尸網(wǎng)絡(luò)等,這些惡意軟件在進(jìn)化過程中,其真正的有效載荷變化不大,但初始入侵感染手段不斷翻新,融合了更復(fù)雜多變的技術(shù),如釣魚、漏洞利用、被盜憑據(jù)、Shellcode、進(jìn)程挖空躲避等手段。因此,檢測這些惡意軟件的難度與日俱增。
整體上,當(dāng)前的威脅形式融合了三個變量:第一個是數(shù)字化先行,組織暴露出更多的風(fēng)險面;第二個是攻擊技術(shù)、生態(tài)系統(tǒng)和工業(yè)化程度的進(jìn)化;最后,更多攻擊組織參與到新的地緣政治沖突中,加速了高級威脅武器的應(yīng)用和民間濫用泛化。這些因素都加劇了網(wǎng)絡(luò)空間環(huán)境的惡化。如果企業(yè)設(shè)備不能保障安裝最新的補(bǔ)丁、部署下一代反惡意軟件,從攻擊者角度思考縱深應(yīng)對方案,那么如何建立“安全感”呢?
安全防御現(xiàn)狀和挑戰(zhàn)
為了應(yīng)對復(fù)雜的威脅界面,企業(yè)需要構(gòu)筑一套貫穿威脅攻擊全鏈路的自防御體系,在事前、事中和事后投入更多的人力和時間成本。但安全投資是有限的,如何從可視、防御、檢測和響應(yīng)多個層面來建設(shè)一套縱深安全體系,兼?zhèn)淦胶鈱?shí)效和成本呢?
2013年Gartner首次提出EDR(Endpoint Detection and Response,終端威脅檢測與響應(yīng))的概念之后,該技術(shù)立即引起了安全界的廣泛關(guān)注。如圖1-2所示,EDR是一種新型的、智能化和快速迅捷的主動防御技術(shù),遵循Gartner “預(yù)測、防護(hù)、檢測和響應(yīng)”的技術(shù)體系,其作用貫穿安全事件發(fā)生的全過程。由于終端是威脅攻擊的主要作用點(diǎn),大部分攻擊都發(fā)生在各類端點(diǎn)計(jì)算設(shè)備上。以終端為錨點(diǎn),可以達(dá)到撬動整個安全防御體系的效果。在2023年Gartner最新的終端安全魔術(shù)象限報告中,EDR被作為EPP(Endpoint Protection Platform,終端防御平臺)的關(guān)鍵特性,主流安全廠商已經(jīng)實(shí)現(xiàn)EPP與EDR的合一(后面文章以EDR統(tǒng)稱)。
圖1-2EDR自適應(yīng)安全體系
EDR集成了下一代AV、行為分析、機(jī)器學(xué)習(xí)、誘騙、XDR(Extended Detection and Response,可擴(kuò)展威脅檢測與響應(yīng))大數(shù)據(jù)日志存儲和分析、沙箱、威脅信息、網(wǎng)絡(luò)安全聯(lián)動和自動恢復(fù)響應(yīng)等最先進(jìn)的技術(shù)。它可以覆蓋辦公終端、服務(wù)器、虛擬機(jī)、云Workload和容器監(jiān)控,甚至擴(kuò)展到IOT設(shè)備等對象。部分安全廠商還添加了身份保護(hù)、釣魚防護(hù)和微隔離等特性,為EDR注入更多新的涵義。EDR“小小”身材,可撬動端、網(wǎng)、云大安全。在2023年最新的攻防演練熱點(diǎn)話題中,“如何防范0-Day打穿網(wǎng)絡(luò),從主機(jī)層面如何阻斷已經(jīng)攻入內(nèi)網(wǎng)的紅隊(duì)”成為了主要關(guān)注點(diǎn)??梢姡珽DR從不同層面被賦予了厚望,主流安全廠商也紛紛布局EDR產(chǎn)品。
盡管業(yè)界廠商提供的終端安全功能繁多,從業(yè)界實(shí)踐總結(jié)(參考Gartner)和客戶反饋中,以下幾個方面被認(rèn)為是EDR產(chǎn)品的核心能力:
01防御和阻止安全威脅,包括已知惡意軟件、無文件利用。 02具備行為分析能力,覆蓋設(shè)備活動、應(yīng)用程序、身份和用戶數(shù)據(jù),集成威脅信息能力,檢測和預(yù)防未知威脅。 03在攻擊被實(shí)錘前,提供進(jìn)一步事件調(diào)查和溯源能力。 04具備攻擊響應(yīng)恢復(fù)能力,如惡意軟件感染后文件恢復(fù)能力。 05支持多種操作系統(tǒng)和終端類型,并且支持多種部署模式,包括線下On Premise、云端和混合部署。
更多高級能力包括XDR整合聯(lián)動,以及部分EPP傳統(tǒng)功能的反向整合,例如安全基線、漏洞管理、數(shù)據(jù)防泄密等。其中,XDR整合能力在業(yè)界普遍還不成熟,它包含了集成SOAR、IT服務(wù)管理、網(wǎng)絡(luò)整合等功能。
從業(yè)界實(shí)踐來看,針對不同類型客戶,在應(yīng)對不斷變化的威脅攻擊時,如何做到低誤報高檢出、還原攻擊鏈、自動響應(yīng)和恢復(fù),部分EDR產(chǎn)品還存在不少差距。例如,針對安全不成熟的客戶,易用性是一個關(guān)鍵考量,但不少廠商缺乏自動分析攻擊鏈、一鍵自動響應(yīng)和修復(fù)能力、無預(yù)定義威脅搜索和感染文件恢復(fù)等功能。針對中大型客戶,很多廠商的EDR在現(xiàn)網(wǎng)應(yīng)用中,上報數(shù)據(jù)噪聲大、行為檢測誤報高、ATT&CK覆蓋不全,無法真正攔截變種惡意軟件和未知威脅;缺乏對多個操作系統(tǒng)和新的工作負(fù)載(如容器)的支持;與安全工作流程整合不夠緊密,缺乏可定制的Playbook和行為規(guī)則能力。此外,XDR整合聯(lián)動還停留在宣傳層面,終端、應(yīng)用和網(wǎng)絡(luò)安全管理界面分離,遠(yuǎn)沒有達(dá)到消除跨團(tuán)隊(duì)、系統(tǒng)和數(shù)據(jù)孤島的目的。
華為終端檢測與響應(yīng)EDR產(chǎn)品亮點(diǎn)
EDR的防御理念是很好的,與經(jīng)典的PPDR(Predict 、Prevent 、Detect、Response,預(yù)測、防護(hù)、檢測、響應(yīng))的安全防御模型完全吻合,但是將這種思想轉(zhuǎn)化為具體的產(chǎn)品并達(dá)到實(shí)效,還需要不斷在組織、管理流程和技術(shù)上進(jìn)行實(shí)踐和迭代創(chuàng)新。從EPP到EDR,再到二者的合體,在終端安全發(fā)展的起承轉(zhuǎn)合中,誰才是真正具備實(shí)效、可對抗未知、易用性高的產(chǎn)品?
華為安全推出EDR新品,致力于在網(wǎng)絡(luò)空間抵御新型威脅攻擊。作為大安全的錨點(diǎn)和托底,整合網(wǎng)絡(luò)安全、云端大數(shù)據(jù)安全深度分析能力,深度協(xié)同,形成感知、防御、檢測、和響應(yīng)多層面的自適應(yīng)防御閉環(huán)。依托OneAgent統(tǒng)一終端平臺,以小身材,撬動安全大乾坤。
華為終端檢測與響應(yīng)EDR產(chǎn)品具備如下優(yōu)勢:
01輕量化、易部署
EDR足夠輕、上報噪聲低、在主機(jī)操作系統(tǒng)上留下的足跡足夠小,才能對用戶業(yè)務(wù)影響最小,有效收斂信號,將安全風(fēng)險面收到最小。華為終端檢測與響應(yīng)EDR輕量級Agent,支持分鐘級批量部署上線,實(shí)時防護(hù)CPU占用小于1%,內(nèi)存占用??;它基于可信進(jìn)程樹、白名單自學(xué)習(xí)和威脅圖降噪專利技術(shù),能夠在各類數(shù)據(jù)采集無損的條件下,去除80%以上的噪聲和冗余數(shù)據(jù),單終端平均數(shù)據(jù)上報小于20MB/天,大大提升云端檢測的有效性,降低云端存儲成本。
02集成下一代AV檢測引擎
華為終端檢測與響應(yīng)EDR產(chǎn)品集成了自主研發(fā)的下一代AV引擎CDE(Content-based Detection Engine,內(nèi)容檢測引擎),可實(shí)時掃描發(fā)現(xiàn)勒索、挖礦、遠(yuǎn)控等早期的惡意載荷投遞,阻止進(jìn)一步釋放有效惡意載荷;基于內(nèi)核級文件寫入、運(yùn)行阻斷查殺技術(shù),在有效載荷落盤或運(yùn)行前高速掃描,確保惡意代碼不運(yùn)行下的高查殺率。CDE采用MDL(Malware Detection Language,惡意軟件檢測語言)專有病毒語言,以少量資源精準(zhǔn)覆蓋海量變種;集成專有在線神經(jīng)網(wǎng)絡(luò)等高精度AI算法、反躲避等技術(shù),可檢測深度隱藏、嵌套、壓縮的病毒,并具備未知病毒檢測能力;借助華為乾坤云端強(qiáng)大的文件安全生產(chǎn)系統(tǒng),基于10種以上自動化簽名算法和專家經(jīng)驗(yàn),對海量樣本進(jìn)行高效高質(zhì)覆蓋,持續(xù)對抗分析每日百萬級新樣本,準(zhǔn)確檢測流行勒索、挖礦、木馬、僵尸、后門、蠕蟲等各類惡意軟件。CDE在對抗檢測、AI檢測算法、簽名泛化能力和掃描性能方面處于領(lǐng)先地位。
03創(chuàng)新威脅溯源圖捕獲未知威脅
據(jù)統(tǒng)計(jì),有20%的惡意軟件可以成功繞過殺軟的檢測。未知行為檢測是對抗殺軟繞過的關(guān)鍵能力。要想有效地防御未知威脅,首先要精確感知終端行為異常,并且采集的數(shù)據(jù)越全面、越深入,檢測的上限就越高。華為終端檢測與響應(yīng)EDR產(chǎn)品支持進(jìn)程、文件、網(wǎng)絡(luò)、DNS、注冊表等細(xì)粒度的數(shù)據(jù)采集,并支持API、Shellcode和內(nèi)存深度采集。即使威脅攻擊采用隱蔽性極高的躲避技術(shù),如內(nèi)存型無文件攻擊、白加黑、Shellcode注入、直接系統(tǒng)調(diào)用、合法工具或Powershell命令等進(jìn)行躲避,也能被EDR采集器感知。
終端行為是一張以進(jìn)程為中心的網(wǎng)狀行為圖。華為終端檢測與響應(yīng)EDR產(chǎn)品獨(dú)創(chuàng)內(nèi)存威脅溯源圖,對單終端進(jìn)程樹、文件、憑據(jù)等對象訪問行為鏈進(jìn)行實(shí)時捕捉,擬合成網(wǎng)狀行為“快照”;基于這張“影子”快照圖,華為終端檢測與響應(yīng)EDR可執(zhí)行毫秒級上下文關(guān)聯(lián),覆蓋原始事件可疑信號和主機(jī)IPS行為打點(diǎn)告警,信號實(shí)時沿圖傳播匯聚,結(jié)合威脅打分和威脅根溯源算法研判,輸出高置信度惡意威脅事件,研判準(zhǔn)確率可達(dá)99%以上。大大消除誤報和“告警疲勞”,將90%的未知攻擊實(shí)時阻斷閉環(huán)在終端側(cè)。
華為終端檢測與響應(yīng)EDR聯(lián)動云端,可撬動乾坤云對跨終端、異構(gòu)數(shù)據(jù)源(資產(chǎn)、威脅信息)進(jìn)行時空層面的綜合關(guān)聯(lián)和溯源,結(jié)合AI算法和云端強(qiáng)大的威脅知識庫,通過全局威脅溯源圖深度歸因,自動還原攻擊意圖和攻擊鏈條,檢測多主機(jī)橫向移動、和高級持續(xù)隱蔽型攻擊。針對0-Day,華為終端檢測與響應(yīng)EDR產(chǎn)品支持多層漏洞防御,在漏洞執(zhí)行關(guān)鍵路徑打點(diǎn),通過細(xì)粒度行為檢測斬?cái)郣OP攻擊鏈;結(jié)合未知Shellcode采集,識別攻擊意圖;最后一道防線是端云結(jié)合的白程序行為基線學(xué)習(xí),即使系統(tǒng)被漏洞攻陷也能識別異常,結(jié)合溯源圖進(jìn)一步研判。
針對中大型客戶,華為終端檢測與響應(yīng)EDR產(chǎn)品端側(cè)威脅溯源圖、主機(jī)IPS、誘餌、云端關(guān)聯(lián)分析和全局溯源圖引擎,均支持客戶依據(jù)現(xiàn)網(wǎng)業(yè)務(wù)特點(diǎn),自定義檢測算法和策略,提升場景化防御的業(yè)務(wù)適應(yīng)性。
04華為乾坤云統(tǒng)一威脅聯(lián)動分析和響應(yīng)
華為終端檢測與響應(yīng)EDR后臺是基于乾坤統(tǒng)一威脅分析和管理平臺研發(fā),該平臺同時支持邊界防護(hù)、威脅信息、網(wǎng)絡(luò)威脅評估、漏洞掃描等多安全APP部署。通過華為乾坤統(tǒng)一安全運(yùn)營中心,可天然支持多安全APP的日志中心化存儲、檢索、統(tǒng)一分析和可視。跨產(chǎn)品管理控制后臺統(tǒng)一,可基于一套管理界面配置策略。通過跨域關(guān)聯(lián)分析規(guī)則和算法,實(shí)現(xiàn)XDR跨域威脅研判,以及一鍵自動化編排響應(yīng)。比如在典型勒索攻擊場景,防火墻在勒索攻擊初始訪問階段,識別勒索下載器的C2外聯(lián),華為乾坤云通過告警日志,實(shí)時聯(lián)動EDR對失陷主機(jī)進(jìn)行一鍵響應(yīng),終止惡意代碼片段進(jìn)程、隔離文件,對網(wǎng)絡(luò)訪問進(jìn)行阻斷,抑制下載器二次復(fù)發(fā)帶來的被勒索風(fēng)險。
05獨(dú)創(chuàng)勒索加密文件恢復(fù)
勒索加密家族LockBit最高可在4分鐘加密10萬個文件,檢測的速度必須足夠快和準(zhǔn)。針對不斷變異進(jìn)化的勒索軟件,要確保數(shù)據(jù)零損失,提供加密文件恢復(fù)是一個有效的兜底技術(shù)。華為終端檢測與響應(yīng)EDR產(chǎn)品獨(dú)創(chuàng)內(nèi)核級勒索行為捕獲技術(shù),可動態(tài)感知非受信程序的可疑文件訪問模式,如誘餌文件訪問、批量文件遍歷、修改后綴名等,實(shí)時觸發(fā)本地文件備份。支持輕量化勒索AI動態(tài)行為本地分析,在勒索攻擊正確研判后,針對勒索病毒整個進(jìn)程鏈自動執(zhí)行處置,并將備份文件回滾,確保恢復(fù)到正確的文件修改版本,備份單文件<10ms,將數(shù)據(jù)損失數(shù)量減少到個位數(shù)或0損失。
結(jié)束語
威脅攻擊持續(xù)演進(jìn),防御對抗是長期性的。華為終端檢測與響應(yīng)EDR產(chǎn)品撬動云、網(wǎng)、端三方協(xié)同,將核心的PPDR防御邏輯、知識和能力流程化、自動化。在事前、事中和事后提升數(shù)字韌性和反攻擊雙向能力,獲取攻防主動權(quán),對各類新型攻擊進(jìn)行常態(tài)化治理,守護(hù)組織和企業(yè)的數(shù)字資產(chǎn)安全。
在后續(xù)推文中,我們會逐一展開介紹華為終端檢測與響應(yīng)EDR產(chǎn)品的黑科技,敬請期待。
點(diǎn)擊“閱讀原文”,了解更多華為數(shù)據(jù)通信資訊!
原文標(biāo)題:華為安全大咖談 | 華為終端檢測與響應(yīng)EDR 第01期:小身材如何撬動安全大乾坤
文章出處:【微信公眾號:華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
-
華為
+關(guān)注
關(guān)注
215文章
34128瀏覽量
249465
原文標(biāo)題:華為安全大咖談 | 華為終端檢測與響應(yīng)EDR 第01期:小身材如何撬動安全大乾坤
文章出處:【微信號:Huawei_Fixed,微信公眾號:華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論