聚焦網(wǎng)安周 | 華為終端檢測與響應(yīng)系統(tǒng)（EDR）新品發(fā)布，勒索全進(jìn)程回滾等黑科技引爆全場

[中國，福州，2023年9月12日]，在福州舉辦的2023年國家網(wǎng)絡(luò)安全宣傳周網(wǎng)絡(luò)安全博覽會期間，華為重磅發(fā)布了全新安全產(chǎn)品——終端檢測與響應(yīng)系統(tǒng)（EDR），在網(wǎng)絡(luò)安全大講堂上，華為帶來最新的安全建設(shè)理念和創(chuàng)新防御技術(shù)，現(xiàn)場華為展臺提供了實(shí)物演示環(huán)境，讓廣大參會者近距離體驗(yàn)新品EDR在防勒索、防挖礦等場景的實(shí)際應(yīng)用效果。

?

華為數(shù)據(jù)通信產(chǎn)品線EDR產(chǎn)品經(jīng)理談晶發(fā)表了《華為終端檢測與響應(yīng)（EDR）守護(hù)客戶關(guān)鍵數(shù)字資產(chǎn)》的精彩演講。

華為EDR對客戶的關(guān)鍵價(jià)值

談晶就華為在終端側(cè)安全的最新研發(fā)成果，從威脅防御的多個(gè)維度向參會者做了一一介紹，展示了華為終端檢測與響應(yīng)EDR對客戶的三大關(guān)鍵價(jià)值：

• 為企業(yè)構(gòu)建貫穿威脅攻擊全鏈路的自防御體系，以EDR為錨點(diǎn)，撬動(dòng)端、網(wǎng)、云大安全，把安全技術(shù)和專家知識作用到威脅事件全過程，并融合到安全工作流，有效提升企業(yè)自動(dòng)化、智能化防御水平，平衡防御實(shí)效和成本。

• 將防御線前移，從傳統(tǒng)事后發(fā)現(xiàn)提前到事前預(yù)測、事中實(shí)時(shí)攔截，最大程度減少企業(yè)數(shù)據(jù)資產(chǎn)風(fēng)險(xiǎn)。事前，主動(dòng)收斂攻擊面，基于海量威脅信息預(yù)測和評估終端風(fēng)險(xiǎn)；事中，深入內(nèi)核層監(jiān)控，從應(yīng)用、系統(tǒng)到內(nèi)存多維分析，創(chuàng)新第三代AV引擎CDE、專利威脅溯源圖行為分析利器，實(shí)現(xiàn)毫秒級檢測，實(shí)時(shí)阻斷（未知勒索挖礦遠(yuǎn)控竊密木馬檢測平均領(lǐng)先近30%檢出），并具備shellcode、漏洞利用、無文件攻擊等高級威脅檢測能力，有效化解攻擊模式進(jìn)化快、免殺繞過、查不到、防不住的難題。

• 針對企業(yè)安全告警噪聲高、難運(yùn)維的困境，通過智能消噪無損收斂高價(jià)值信號，自動(dòng)還原攻擊鏈上下文；基于乾坤統(tǒng)一安全管理和分析平臺，多安全APP可無縫協(xié)同，可一鍵響應(yīng)和恢復(fù)，降低安全運(yùn)營門檻，提升效率。

華為EDR差異化優(yōu)勢

發(fā)布會現(xiàn)場，談晶展示了與業(yè)界Top友商的實(shí)測對比，華為終端檢測與響應(yīng)EDR相對于業(yè)界產(chǎn)品具備明顯優(yōu)勢，主要體現(xiàn)在以下三點(diǎn)：

未知惡意病毒檢測?

第三代AV引擎CDE，融合AI和Emulator微內(nèi)核引擎，獨(dú)創(chuàng)威脅溯源圖行為檢測，未知勒索、挖礦、遠(yuǎn)控、竊密木馬、0-day檢出率平均領(lǐng)先友商30%；（賽可達(dá)測試檢測率99.96%，勒索檢出100%，0誤報(bào)）。?

威脅事件聚合與處置?

獨(dú)有智能降噪技術(shù)，90%降噪率，減少人工分析依賴；基于威脅溯源圖還原攻擊鏈, 云邊端自動(dòng)協(xié)同響應(yīng)和恢復(fù)，自動(dòng)處置率90%（業(yè)界60%），專利文件實(shí)時(shí)恢復(fù)技術(shù)，即使文件被加密勒索也能一鍵回滾還原。

輕量化、易部署?

EDR平均CPU資源占用<1%，殺毒實(shí)時(shí)防護(hù)CPU占用領(lǐng)先友商4~9倍，內(nèi)存低于業(yè)界20%~50%，自適應(yīng)動(dòng)態(tài)調(diào)整資源占用，保證終端不卡頓。支持批量快速部署，1分鐘上線使用。

華為EDR獨(dú)有黑科技

談晶在宣講過程中演示了華為終端檢測與響應(yīng)EDR的最新黑科技——“加密文件恢復(fù)”專利技術(shù)，該技術(shù)可以使EDR產(chǎn)品支持一鍵恢復(fù)勒索加密文件，即當(dāng)用戶遭受勒索軟件加密時(shí)依然可以恢復(fù)到加密前文件，并自動(dòng)化清理勒索垃圾文件。那么該技術(shù)究竟厲害在哪里？

通常勒索文件加密速度極快，如LockBit家族可在4分鐘加密10萬個(gè)文件，針對不斷變異進(jìn)化的勒索軟件，確保數(shù)據(jù)零損失需要做到以下三點(diǎn)核心能力包括：

內(nèi)核級監(jiān)控?

內(nèi)核層監(jiān)視真實(shí)勒索病毒對文件的所有細(xì)粒度動(dòng)作，并抽象到備份邏輯，融入驅(qū)動(dòng)程序，勒索加密場景覆蓋完整。

勒索全進(jìn)程回滾?

全面覆蓋勒索病毒的多進(jìn)程加密行為，自動(dòng)化提取多進(jìn)程勒索病毒的文件操作順序, 并提煉出規(guī)則, 支持勒索病毒全進(jìn)程鏈自動(dòng)化逆修改。

觸發(fā)式文件100%備份?

本技術(shù)是按事件觸發(fā)備份, 只有當(dāng)非信任進(jìn)程修改用戶重要文件時(shí), 內(nèi)核層才會將該文件備份到保護(hù)區(qū)內(nèi)，備份單文件時(shí)長<10ms，單終端內(nèi)存<5M，CPU無感知，數(shù)據(jù)0損失。

產(chǎn)品發(fā)布后，客戶反響熱烈，紛紛前往華為安全展臺體驗(yàn)EDR實(shí)物演示。?

談晶在接受當(dāng)?shù)孛襟w采訪時(shí)表示，本次華為終端檢測與響應(yīng)系統(tǒng)EDR新產(chǎn)品將進(jìn)一步增強(qiáng)華為云網(wǎng)邊端一體化防御閉環(huán)能力。該產(chǎn)品部署在終端，可以全量感知網(wǎng)絡(luò)訪問、進(jìn)程文件操作、系統(tǒng)調(diào)用等行為，依靠終端和云端的強(qiáng)大算力和智能算法，分析出海量事件里面的異常行為和威脅，從而端到端保護(hù)企業(yè)數(shù)字資產(chǎn)，為金融、制造、教育、醫(yī)療等千行百業(yè)數(shù)字化發(fā)展提供堅(jiān)實(shí)基石。

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！