華為安全大咖談 | 華為終端檢測(cè)與響應(yīng)EDR 第01期：小身材如何撬動(dòng)安全大乾坤

?本期講解嘉賓

2023年國(guó)家網(wǎng)絡(luò)安全宣傳周將于9月10日至16日在全國(guó)范圍內(nèi)統(tǒng)一舉行，其中包括網(wǎng)安周開(kāi)幕式、網(wǎng)絡(luò)安全技術(shù)高峰論壇、網(wǎng)絡(luò)安全博覽會(huì)等重要活動(dòng)。華為數(shù)據(jù)通信產(chǎn)品線安全產(chǎn)品領(lǐng)域也將在網(wǎng)絡(luò)安全宣傳周期間發(fā)布華為終端防護(hù)與響應(yīng)EDR新品。為了讓廣大華為安全愛(ài)好者更好地了解新品武器，華為安全專(zhuān)家齊聚一堂，推出EDR“大安全，新思路”系列文章，敬請(qǐng)持續(xù)關(guān)注。

網(wǎng)絡(luò)威脅最新趨勢(shì)

在2022年到2023年期間，最新的威脅攻擊有哪些？這些攻擊呈現(xiàn)出什么趨勢(shì)？從現(xiàn)網(wǎng)安全運(yùn)營(yíng)和安全報(bào)告披露的數(shù)據(jù)看，勒索、挖礦、蠕蟲(chóng)、竊密和遠(yuǎn)控木馬依然活躍，并呈現(xiàn)出隱蔽性、多樣性的特點(diǎn)。

根據(jù)《2023年惡意軟件準(zhǔn)備和防御報(bào)告》的調(diào)查結(jié)果顯示，企業(yè)面臨的頭號(hào)威脅是勒索軟件，其次是網(wǎng)絡(luò)釣魚(yú)和信息竊取程序，具體數(shù)據(jù)如圖1-1所示。三者“相伴相生”，互為攻擊的前后腳。如果問(wèn)首先需要防御哪種類(lèi)型的惡意軟件，很多組織可能很難回答。

圖1-1企業(yè)安全面臨的惡意軟件威脅排行榜

觀察幾款持久存活的惡意軟件，例如，國(guó)內(nèi)勒索感染排名第二的TargetCompay、挖礦竊密勒索遠(yuǎn)控復(fù)合惡意軟件DarkGate、銀行木馬LokiBot、Emotet僵尸網(wǎng)絡(luò)等，這些惡意軟件在進(jìn)化過(guò)程中，其真正的有效載荷變化不大，但初始入侵感染手段不斷翻新，融合了更復(fù)雜多變的技術(shù)，如釣魚(yú)、漏洞利用、被盜憑據(jù)、Shellcode、進(jìn)程挖空躲避等手段。因此，檢測(cè)這些惡意軟件的難度與日俱增。

整體上，當(dāng)前的威脅形式融合了三個(gè)變量：第一個(gè)是數(shù)字化先行，組織暴露出更多的風(fēng)險(xiǎn)面；第二個(gè)是攻擊技術(shù)、生態(tài)系統(tǒng)和工業(yè)化程度的進(jìn)化；最后，更多攻擊組織參與到新的地緣政治沖突中，加速了高級(jí)威脅武器的應(yīng)用和民間濫用泛化。這些因素都加劇了網(wǎng)絡(luò)空間環(huán)境的惡化。如果企業(yè)設(shè)備不能保障安裝最新的補(bǔ)丁、部署下一代反惡意軟件，從攻擊者角度思考縱深應(yīng)對(duì)方案，那么如何建立“安全感”呢？

安全防御現(xiàn)狀和挑戰(zhàn)

為了應(yīng)對(duì)復(fù)雜的威脅界面，企業(yè)需要構(gòu)筑一套貫穿威脅攻擊全鏈路的自防御體系，在事前、事中和事后投入更多的人力和時(shí)間成本。但安全投資是有限的，如何從可視、防御、檢測(cè)和響應(yīng)多個(gè)層面來(lái)建設(shè)一套縱深安全體系，兼?zhèn)淦胶鈱?shí)效和成本呢？

2013年Gartner首次提出EDR（Endpoint Detection and Response，終端威脅檢測(cè)與響應(yīng)）的概念之后，該技術(shù)立即引起了安全界的廣泛關(guān)注。如圖1-2所示，EDR是一種新型的、智能化和快速迅捷的主動(dòng)防御技術(shù)，遵循Gartner “預(yù)測(cè)、防護(hù)、檢測(cè)和響應(yīng)”的技術(shù)體系，其作用貫穿安全事件發(fā)生的全過(guò)程。由于終端是威脅攻擊的主要作用點(diǎn)，大部分攻擊都發(fā)生在各類(lèi)端點(diǎn)計(jì)算設(shè)備上。以終端為錨點(diǎn)，可以達(dá)到撬動(dòng)整個(gè)安全防御體系的效果。在2023年Gartner最新的終端安全魔術(shù)象限報(bào)告中，EDR被作為EPP（Endpoint Protection Platform，終端防御平臺(tái)）的關(guān)鍵特性，主流安全廠商已經(jīng)實(shí)現(xiàn)EPP與EDR的合一（后面文章以EDR統(tǒng)稱(chēng)）。

圖1-2EDR自適應(yīng)安全體系

EDR集成了下一代AV、行為分析、機(jī)器學(xué)習(xí)、誘騙、XDR（Extended Detection and Response，可擴(kuò)展威脅檢測(cè)與響應(yīng)）大數(shù)據(jù)日志存儲(chǔ)和分析、沙箱、威脅信息、網(wǎng)絡(luò)安全聯(lián)動(dòng)和自動(dòng)恢復(fù)響應(yīng)等最先進(jìn)的技術(shù)。它可以覆蓋辦公終端、服務(wù)器、虛擬機(jī)、云Workload和容器監(jiān)控，甚至擴(kuò)展到IOT設(shè)備等對(duì)象。部分安全廠商還添加了身份保護(hù)、釣魚(yú)防護(hù)和微隔離等特性，為EDR注入更多新的涵義。EDR“小小”身材，可撬動(dòng)端、網(wǎng)、云大安全。在2023年最新的攻防演練熱點(diǎn)話(huà)題中，“如何防范0-Day打穿網(wǎng)絡(luò)，從主機(jī)層面如何阻斷已經(jīng)攻入內(nèi)網(wǎng)的紅隊(duì)”成為了主要關(guān)注點(diǎn)?？梢?jiàn)，EDR從不同層面被賦予了厚望，主流安全廠商也紛紛布局EDR產(chǎn)品。

盡管業(yè)界廠商提供的終端安全功能繁多，從業(yè)界實(shí)踐總結(jié)（參考Gartner）和客戶(hù)反饋中，以下幾個(gè)方面被認(rèn)為是EDR產(chǎn)品的核心能力：

01防御和阻止安全威脅，包括已知惡意軟件、無(wú)文件利用。 02具備行為分析能力，覆蓋設(shè)備活動(dòng)、應(yīng)用程序、身份和用戶(hù)數(shù)據(jù)，集成威脅信息能力，檢測(cè)和預(yù)防未知威脅。 03在攻擊被實(shí)錘前，提供進(jìn)一步事件調(diào)查和溯源能力。 04具備攻擊響應(yīng)恢復(fù)能力，如惡意軟件感染后文件恢復(fù)能力。 05支持多種操作系統(tǒng)和終端類(lèi)型，并且支持多種部署模式，包括線下On Premise、云端和混合部署。

更多高級(jí)能力包括XDR整合聯(lián)動(dòng)，以及部分EPP傳統(tǒng)功能的反向整合，例如安全基線、漏洞管理、數(shù)據(jù)防泄密等。其中，XDR整合能力在業(yè)界普遍還不成熟，它包含了集成SOAR、IT服務(wù)管理、網(wǎng)絡(luò)整合等功能。

從業(yè)界實(shí)踐來(lái)看，針對(duì)不同類(lèi)型客戶(hù)，在應(yīng)對(duì)不斷變化的威脅攻擊時(shí)，如何做到低誤報(bào)高檢出、還原攻擊鏈、自動(dòng)響應(yīng)和恢復(fù)，部分EDR產(chǎn)品還存在不少差距。例如，針對(duì)安全不成熟的客戶(hù)，易用性是一個(gè)關(guān)鍵考量，但不少?gòu)S商缺乏自動(dòng)分析攻擊鏈、一鍵自動(dòng)響應(yīng)和修復(fù)能力、無(wú)預(yù)定義威脅搜索和感染文件恢復(fù)等功能。針對(duì)中大型客戶(hù)，很多廠商的EDR在現(xiàn)網(wǎng)應(yīng)用中，上報(bào)數(shù)據(jù)噪聲大、行為檢測(cè)誤報(bào)高、ATT&CK覆蓋不全，無(wú)法真正攔截變種惡意軟件和未知威脅；缺乏對(duì)多個(gè)操作系統(tǒng)和新的工作負(fù)載（如容器）的支持；與安全工作流程整合不夠緊密，缺乏可定制的Playbook和行為規(guī)則能力。此外，XDR整合聯(lián)動(dòng)還停留在宣傳層面，終端、應(yīng)用和網(wǎng)絡(luò)安全管理界面分離，遠(yuǎn)沒(méi)有達(dá)到消除跨團(tuán)隊(duì)、系統(tǒng)和數(shù)據(jù)孤島的目的。

華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品亮點(diǎn)

EDR的防御理念是很好的，與經(jīng)典的PPDR（Predict 、Prevent 、Detect、Response，預(yù)測(cè)、防護(hù)、檢測(cè)、響應(yīng)）的安全防御模型完全吻合，但是將這種思想轉(zhuǎn)化為具體的產(chǎn)品并達(dá)到實(shí)效，還需要不斷在組織、管理流程和技術(shù)上進(jìn)行實(shí)踐和迭代創(chuàng)新。從EPP到EDR，再到二者的合體，在終端安全發(fā)展的起承轉(zhuǎn)合中，誰(shuí)才是真正具備實(shí)效、可對(duì)抗未知、易用性高的產(chǎn)品？

華為安全推出EDR新品，致力于在網(wǎng)絡(luò)空間抵御新型威脅攻擊。作為大安全的錨點(diǎn)和托底，整合網(wǎng)絡(luò)安全、云端大數(shù)據(jù)安全深度分析能力，深度協(xié)同，形成感知、防御、檢測(cè)、和響應(yīng)多層面的自適應(yīng)防御閉環(huán)。依托OneAgent統(tǒng)一終端平臺(tái)，以小身材，撬動(dòng)安全大乾坤。

華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品具備如下優(yōu)勢(shì)：

01輕量化、易部署

EDR足夠輕、上報(bào)噪聲低、在主機(jī)操作系統(tǒng)上留下的足跡足夠小，才能對(duì)用戶(hù)業(yè)務(wù)影響最小，有效收斂信號(hào)，將安全風(fēng)險(xiǎn)面收到最小。華為終端檢測(cè)與響應(yīng)EDR輕量級(jí)Agent，支持分鐘級(jí)批量部署上線，實(shí)時(shí)防護(hù)CPU占用小于1%，內(nèi)存占用小；它基于可信進(jìn)程樹(shù)、白名單自學(xué)習(xí)和威脅圖降噪專(zhuān)利技術(shù)，能夠在各類(lèi)數(shù)據(jù)采集無(wú)損的條件下，去除80%以上的噪聲和冗余數(shù)據(jù)，單終端平均數(shù)據(jù)上報(bào)小于20MB/天，大大提升云端檢測(cè)的有效性，降低云端存儲(chǔ)成本。

02集成下一代AV檢測(cè)引擎

華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品集成了自主研發(fā)的下一代AV引擎CDE（Content-based Detection Engine，內(nèi)容檢測(cè)引擎），可實(shí)時(shí)掃描發(fā)現(xiàn)勒索、挖礦、遠(yuǎn)控等早期的惡意載荷投遞，阻止進(jìn)一步釋放有效惡意載荷；基于內(nèi)核級(jí)文件寫(xiě)入、運(yùn)行阻斷查殺技術(shù)，在有效載荷落盤(pán)或運(yùn)行前高速掃描，確保惡意代碼不運(yùn)行下的高查殺率。CDE采用MDL（Malware Detection Language，惡意軟件檢測(cè)語(yǔ)言）專(zhuān)有病毒語(yǔ)言，以少量資源精準(zhǔn)覆蓋海量變種；集成專(zhuān)有在線神經(jīng)網(wǎng)絡(luò)等高精度AI算法、反躲避等技術(shù)，可檢測(cè)深度隱藏、嵌套、壓縮的病毒，并具備未知病毒檢測(cè)能力；借助華為乾坤云端強(qiáng)大的文件安全生產(chǎn)系統(tǒng)，基于10種以上自動(dòng)化簽名算法和專(zhuān)家經(jīng)驗(yàn)，對(duì)海量樣本進(jìn)行高效高質(zhì)覆蓋，持續(xù)對(duì)抗分析每日百萬(wàn)級(jí)新樣本，準(zhǔn)確檢測(cè)流行勒索、挖礦、木馬、僵尸、后門(mén)、蠕蟲(chóng)等各類(lèi)惡意軟件。CDE在對(duì)抗檢測(cè)、AI檢測(cè)算法、簽名泛化能力和掃描性能方面處于領(lǐng)先地位。

03創(chuàng)新威脅溯源圖捕獲未知威脅

據(jù)統(tǒng)計(jì)，有20%的惡意軟件可以成功繞過(guò)殺軟的檢測(cè)。未知行為檢測(cè)是對(duì)抗殺軟繞過(guò)的關(guān)鍵能力。要想有效地防御未知威脅，首先要精確感知終端行為異常，并且采集的數(shù)據(jù)越全面、越深入，檢測(cè)的上限就越高。華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品支持進(jìn)程、文件、網(wǎng)絡(luò)、DNS、注冊(cè)表等細(xì)粒度的數(shù)據(jù)采集，并支持API、Shellcode和內(nèi)存深度采集。即使威脅攻擊采用隱蔽性極高的躲避技術(shù)，如內(nèi)存型無(wú)文件攻擊、白加黑、Shellcode注入、直接系統(tǒng)調(diào)用、合法工具或Powershell命令等進(jìn)行躲避，也能被EDR采集器感知。

終端行為是一張以進(jìn)程為中心的網(wǎng)狀行為圖。華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品獨(dú)創(chuàng)內(nèi)存威脅溯源圖，對(duì)單終端進(jìn)程樹(shù)、文件、憑據(jù)等對(duì)象訪問(wèn)行為鏈進(jìn)行實(shí)時(shí)捕捉，擬合成網(wǎng)狀行為“快照”；基于這張“影子”快照?qǐng)D，華為終端檢測(cè)與響應(yīng)EDR可執(zhí)行毫秒級(jí)上下文關(guān)聯(lián)，覆蓋原始事件可疑信號(hào)和主機(jī)IPS行為打點(diǎn)告警，信號(hào)實(shí)時(shí)沿圖傳播匯聚，結(jié)合威脅打分和威脅根溯源算法研判，輸出高置信度惡意威脅事件，研判準(zhǔn)確率可達(dá)99%以上。大大消除誤報(bào)和“告警疲勞”，將90%的未知攻擊實(shí)時(shí)阻斷閉環(huán)在終端側(cè)。

華為終端檢測(cè)與響應(yīng)EDR聯(lián)動(dòng)云端，可撬動(dòng)乾坤云對(duì)跨終端、異構(gòu)數(shù)據(jù)源（資產(chǎn)、威脅信息）進(jìn)行時(shí)空層面的綜合關(guān)聯(lián)和溯源，結(jié)合AI算法和云端強(qiáng)大的威脅知識(shí)庫(kù)，通過(guò)全局威脅溯源圖深度歸因，自動(dòng)還原攻擊意圖和攻擊鏈條，檢測(cè)多主機(jī)橫向移動(dòng)、和高級(jí)持續(xù)隱蔽型攻擊。針對(duì)0-Day，華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品支持多層漏洞防御，在漏洞執(zhí)行關(guān)鍵路徑打點(diǎn)，通過(guò)細(xì)粒度行為檢測(cè)斬?cái)郣OP攻擊鏈；結(jié)合未知Shellcode采集，識(shí)別攻擊意圖；最后一道防線是端云結(jié)合的白程序行為基線學(xué)習(xí)，即使系統(tǒng)被漏洞攻陷也能識(shí)別異常，結(jié)合溯源圖進(jìn)一步研判。

針對(duì)中大型客戶(hù)，華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品端側(cè)威脅溯源圖、主機(jī)IPS、誘餌、云端關(guān)聯(lián)分析和全局溯源圖引擎，均支持客戶(hù)依據(jù)現(xiàn)網(wǎng)業(yè)務(wù)特點(diǎn)，自定義檢測(cè)算法和策略，提升場(chǎng)景化防御的業(yè)務(wù)適應(yīng)性。

04華為乾坤云統(tǒng)一威脅聯(lián)動(dòng)分析和響應(yīng)

華為終端檢測(cè)與響應(yīng)EDR后臺(tái)是基于乾坤統(tǒng)一威脅分析和管理平臺(tái)研發(fā)，該平臺(tái)同時(shí)支持邊界防護(hù)、威脅信息、網(wǎng)絡(luò)威脅評(píng)估、漏洞掃描等多安全APP部署。通過(guò)華為乾坤統(tǒng)一安全運(yùn)營(yíng)中心，可天然支持多安全APP的日志中心化存儲(chǔ)、檢索、統(tǒng)一分析和可視?？绠a(chǎn)品管理控制后臺(tái)統(tǒng)一，可基于一套管理界面配置策略。通過(guò)跨域關(guān)聯(lián)分析規(guī)則和算法，實(shí)現(xiàn)XDR跨域威脅研判，以及一鍵自動(dòng)化編排響應(yīng)。比如在典型勒索攻擊場(chǎng)景，防火墻在勒索攻擊初始訪問(wèn)階段，識(shí)別勒索下載器的C2外聯(lián)，華為乾坤云通過(guò)告警日志，實(shí)時(shí)聯(lián)動(dòng)EDR對(duì)失陷主機(jī)進(jìn)行一鍵響應(yīng)，終止惡意代碼片段進(jìn)程、隔離文件，對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行阻斷，抑制下載器二次復(fù)發(fā)帶來(lái)的被勒索風(fēng)險(xiǎn)。

05獨(dú)創(chuàng)勒索加密文件恢復(fù)

勒索加密家族LockBit最高可在4分鐘加密10萬(wàn)個(gè)文件，檢測(cè)的速度必須足夠快和準(zhǔn)。針對(duì)不斷變異進(jìn)化的勒索軟件，要確保數(shù)據(jù)零損失，提供加密文件恢復(fù)是一個(gè)有效的兜底技術(shù)。華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品獨(dú)創(chuàng)內(nèi)核級(jí)勒索行為捕獲技術(shù)，可動(dòng)態(tài)感知非受信程序的可疑文件訪問(wèn)模式，如誘餌文件訪問(wèn)、批量文件遍歷、修改后綴名等，實(shí)時(shí)觸發(fā)本地文件備份。支持輕量化勒索AI動(dòng)態(tài)行為本地分析，在勒索攻擊正確研判后，針對(duì)勒索病毒整個(gè)進(jìn)程鏈自動(dòng)執(zhí)行處置，并將備份文件回滾，確?；謴?fù)到正確的文件修改版本，備份單文件<10ms，將數(shù)據(jù)損失數(shù)量減少到個(gè)位數(shù)或0損失。

結(jié)束語(yǔ)

威脅攻擊持續(xù)演進(jìn)，防御對(duì)抗是長(zhǎng)期性的。華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品撬動(dòng)云、網(wǎng)、端三方協(xié)同，將核心的PPDR防御邏輯、知識(shí)和能力流程化、自動(dòng)化。在事前、事中和事后提升數(shù)字韌性和反攻擊雙向能力，獲取攻防主動(dòng)權(quán)，對(duì)各類(lèi)新型攻擊進(jìn)行常態(tài)化治理，守護(hù)組織和企業(yè)的數(shù)字資產(chǎn)安全。

在后續(xù)推文中，我們會(huì)逐一展開(kāi)介紹華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品的黑科技，敬請(qǐng)期待。

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！