?本期講解嘉賓
2023年國(guó)家網(wǎng)絡(luò)安全宣傳周將于9月10日至16日在全國(guó)范圍內(nèi)統(tǒng)一舉行,其中包括網(wǎng)安周開(kāi)幕式、網(wǎng)絡(luò)安全技術(shù)高峰論壇、網(wǎng)絡(luò)安全博覽會(huì)等重要活動(dòng)。華為數(shù)據(jù)通信產(chǎn)品線安全產(chǎn)品領(lǐng)域也將在網(wǎng)絡(luò)安全宣傳周期間發(fā)布華為終端防護(hù)與響應(yīng)EDR新品。為了讓廣大華為安全愛(ài)好者更好地了解新品武器,華為安全專(zhuān)家齊聚一堂,推出EDR“大安全,新思路”系列文章,敬請(qǐng)持續(xù)關(guān)注。
網(wǎng)絡(luò)威脅最新趨勢(shì)
在2022年到2023年期間,最新的威脅攻擊有哪些?這些攻擊呈現(xiàn)出什么趨勢(shì)?從現(xiàn)網(wǎng)安全運(yùn)營(yíng)和安全報(bào)告披露的數(shù)據(jù)看,勒索、挖礦、蠕蟲(chóng)、竊密和遠(yuǎn)控木馬依然活躍,并呈現(xiàn)出隱蔽性、多樣性的特點(diǎn)。
根據(jù)《2023年惡意軟件準(zhǔn)備和防御報(bào)告》的調(diào)查結(jié)果顯示,企業(yè)面臨的頭號(hào)威脅是勒索軟件,其次是網(wǎng)絡(luò)釣魚(yú)和信息竊取程序,具體數(shù)據(jù)如圖1-1所示。三者“相伴相生”,互為攻擊的前后腳。如果問(wèn)首先需要防御哪種類(lèi)型的惡意軟件,很多組織可能很難回答。
圖1-1企業(yè)安全面臨的惡意軟件威脅排行榜
觀察幾款持久存活的惡意軟件,例如,國(guó)內(nèi)勒索感染排名第二的TargetCompay、挖礦竊密勒索遠(yuǎn)控復(fù)合惡意軟件DarkGate、銀行木馬LokiBot、Emotet僵尸網(wǎng)絡(luò)等,這些惡意軟件在進(jìn)化過(guò)程中,其真正的有效載荷變化不大,但初始入侵感染手段不斷翻新,融合了更復(fù)雜多變的技術(shù),如釣魚(yú)、漏洞利用、被盜憑據(jù)、Shellcode、進(jìn)程挖空躲避等手段。因此,檢測(cè)這些惡意軟件的難度與日俱增。
整體上,當(dāng)前的威脅形式融合了三個(gè)變量:第一個(gè)是數(shù)字化先行,組織暴露出更多的風(fēng)險(xiǎn)面;第二個(gè)是攻擊技術(shù)、生態(tài)系統(tǒng)和工業(yè)化程度的進(jìn)化;最后,更多攻擊組織參與到新的地緣政治沖突中,加速了高級(jí)威脅武器的應(yīng)用和民間濫用泛化。這些因素都加劇了網(wǎng)絡(luò)空間環(huán)境的惡化。如果企業(yè)設(shè)備不能保障安裝最新的補(bǔ)丁、部署下一代反惡意軟件,從攻擊者角度思考縱深應(yīng)對(duì)方案,那么如何建立“安全感”呢?
安全防御現(xiàn)狀和挑戰(zhàn)
為了應(yīng)對(duì)復(fù)雜的威脅界面,企業(yè)需要構(gòu)筑一套貫穿威脅攻擊全鏈路的自防御體系,在事前、事中和事后投入更多的人力和時(shí)間成本。但安全投資是有限的,如何從可視、防御、檢測(cè)和響應(yīng)多個(gè)層面來(lái)建設(shè)一套縱深安全體系,兼?zhèn)淦胶鈱?shí)效和成本呢?
2013年Gartner首次提出EDR(Endpoint Detection and Response,終端威脅檢測(cè)與響應(yīng))的概念之后,該技術(shù)立即引起了安全界的廣泛關(guān)注。如圖1-2所示,EDR是一種新型的、智能化和快速迅捷的主動(dòng)防御技術(shù),遵循Gartner “預(yù)測(cè)、防護(hù)、檢測(cè)和響應(yīng)”的技術(shù)體系,其作用貫穿安全事件發(fā)生的全過(guò)程。由于終端是威脅攻擊的主要作用點(diǎn),大部分攻擊都發(fā)生在各類(lèi)端點(diǎn)計(jì)算設(shè)備上。以終端為錨點(diǎn),可以達(dá)到撬動(dòng)整個(gè)安全防御體系的效果。在2023年Gartner最新的終端安全魔術(shù)象限報(bào)告中,EDR被作為EPP(Endpoint Protection Platform,終端防御平臺(tái))的關(guān)鍵特性,主流安全廠商已經(jīng)實(shí)現(xiàn)EPP與EDR的合一(后面文章以EDR統(tǒng)稱(chēng))。
圖1-2EDR自適應(yīng)安全體系
EDR集成了下一代AV、行為分析、機(jī)器學(xué)習(xí)、誘騙、XDR(Extended Detection and Response,可擴(kuò)展威脅檢測(cè)與響應(yīng))大數(shù)據(jù)日志存儲(chǔ)和分析、沙箱、威脅信息、網(wǎng)絡(luò)安全聯(lián)動(dòng)和自動(dòng)恢復(fù)響應(yīng)等最先進(jìn)的技術(shù)。它可以覆蓋辦公終端、服務(wù)器、虛擬機(jī)、云Workload和容器監(jiān)控,甚至擴(kuò)展到IOT設(shè)備等對(duì)象。部分安全廠商還添加了身份保護(hù)、釣魚(yú)防護(hù)和微隔離等特性,為EDR注入更多新的涵義。EDR“小小”身材,可撬動(dòng)端、網(wǎng)、云大安全。在2023年最新的攻防演練熱點(diǎn)話(huà)題中,“如何防范0-Day打穿網(wǎng)絡(luò),從主機(jī)層面如何阻斷已經(jīng)攻入內(nèi)網(wǎng)的紅隊(duì)”成為了主要關(guān)注點(diǎn)??梢?jiàn),EDR從不同層面被賦予了厚望,主流安全廠商也紛紛布局EDR產(chǎn)品。
盡管業(yè)界廠商提供的終端安全功能繁多,從業(yè)界實(shí)踐總結(jié)(參考Gartner)和客戶(hù)反饋中,以下幾個(gè)方面被認(rèn)為是EDR產(chǎn)品的核心能力:
01防御和阻止安全威脅,包括已知惡意軟件、無(wú)文件利用。 02具備行為分析能力,覆蓋設(shè)備活動(dòng)、應(yīng)用程序、身份和用戶(hù)數(shù)據(jù),集成威脅信息能力,檢測(cè)和預(yù)防未知威脅。 03在攻擊被實(shí)錘前,提供進(jìn)一步事件調(diào)查和溯源能力。 04具備攻擊響應(yīng)恢復(fù)能力,如惡意軟件感染后文件恢復(fù)能力。 05支持多種操作系統(tǒng)和終端類(lèi)型,并且支持多種部署模式,包括線下On Premise、云端和混合部署。
更多高級(jí)能力包括XDR整合聯(lián)動(dòng),以及部分EPP傳統(tǒng)功能的反向整合,例如安全基線、漏洞管理、數(shù)據(jù)防泄密等。其中,XDR整合能力在業(yè)界普遍還不成熟,它包含了集成SOAR、IT服務(wù)管理、網(wǎng)絡(luò)整合等功能。
從業(yè)界實(shí)踐來(lái)看,針對(duì)不同類(lèi)型客戶(hù),在應(yīng)對(duì)不斷變化的威脅攻擊時(shí),如何做到低誤報(bào)高檢出、還原攻擊鏈、自動(dòng)響應(yīng)和恢復(fù),部分EDR產(chǎn)品還存在不少差距。例如,針對(duì)安全不成熟的客戶(hù),易用性是一個(gè)關(guān)鍵考量,但不少?gòu)S商缺乏自動(dòng)分析攻擊鏈、一鍵自動(dòng)響應(yīng)和修復(fù)能力、無(wú)預(yù)定義威脅搜索和感染文件恢復(fù)等功能。針對(duì)中大型客戶(hù),很多廠商的EDR在現(xiàn)網(wǎng)應(yīng)用中,上報(bào)數(shù)據(jù)噪聲大、行為檢測(cè)誤報(bào)高、ATT&CK覆蓋不全,無(wú)法真正攔截變種惡意軟件和未知威脅;缺乏對(duì)多個(gè)操作系統(tǒng)和新的工作負(fù)載(如容器)的支持;與安全工作流程整合不夠緊密,缺乏可定制的Playbook和行為規(guī)則能力。此外,XDR整合聯(lián)動(dòng)還停留在宣傳層面,終端、應(yīng)用和網(wǎng)絡(luò)安全管理界面分離,遠(yuǎn)沒(méi)有達(dá)到消除跨團(tuán)隊(duì)、系統(tǒng)和數(shù)據(jù)孤島的目的。
華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品亮點(diǎn)
EDR的防御理念是很好的,與經(jīng)典的PPDR(Predict 、Prevent 、Detect、Response,預(yù)測(cè)、防護(hù)、檢測(cè)、響應(yīng))的安全防御模型完全吻合,但是將這種思想轉(zhuǎn)化為具體的產(chǎn)品并達(dá)到實(shí)效,還需要不斷在組織、管理流程和技術(shù)上進(jìn)行實(shí)踐和迭代創(chuàng)新。從EPP到EDR,再到二者的合體,在終端安全發(fā)展的起承轉(zhuǎn)合中,誰(shuí)才是真正具備實(shí)效、可對(duì)抗未知、易用性高的產(chǎn)品?
華為安全推出EDR新品,致力于在網(wǎng)絡(luò)空間抵御新型威脅攻擊。作為大安全的錨點(diǎn)和托底,整合網(wǎng)絡(luò)安全、云端大數(shù)據(jù)安全深度分析能力,深度協(xié)同,形成感知、防御、檢測(cè)、和響應(yīng)多層面的自適應(yīng)防御閉環(huán)。依托OneAgent統(tǒng)一終端平臺(tái),以小身材,撬動(dòng)安全大乾坤。
華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品具備如下優(yōu)勢(shì):
01輕量化、易部署
EDR足夠輕、上報(bào)噪聲低、在主機(jī)操作系統(tǒng)上留下的足跡足夠小,才能對(duì)用戶(hù)業(yè)務(wù)影響最小,有效收斂信號(hào),將安全風(fēng)險(xiǎn)面收到最小。華為終端檢測(cè)與響應(yīng)EDR輕量級(jí)Agent,支持分鐘級(jí)批量部署上線,實(shí)時(shí)防護(hù)CPU占用小于1%,內(nèi)存占用小;它基于可信進(jìn)程樹(shù)、白名單自學(xué)習(xí)和威脅圖降噪專(zhuān)利技術(shù),能夠在各類(lèi)數(shù)據(jù)采集無(wú)損的條件下,去除80%以上的噪聲和冗余數(shù)據(jù),單終端平均數(shù)據(jù)上報(bào)小于20MB/天,大大提升云端檢測(cè)的有效性,降低云端存儲(chǔ)成本。
02集成下一代AV檢測(cè)引擎
華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品集成了自主研發(fā)的下一代AV引擎CDE(Content-based Detection Engine,內(nèi)容檢測(cè)引擎),可實(shí)時(shí)掃描發(fā)現(xiàn)勒索、挖礦、遠(yuǎn)控等早期的惡意載荷投遞,阻止進(jìn)一步釋放有效惡意載荷;基于內(nèi)核級(jí)文件寫(xiě)入、運(yùn)行阻斷查殺技術(shù),在有效載荷落盤(pán)或運(yùn)行前高速掃描,確保惡意代碼不運(yùn)行下的高查殺率。CDE采用MDL(Malware Detection Language,惡意軟件檢測(cè)語(yǔ)言)專(zhuān)有病毒語(yǔ)言,以少量資源精準(zhǔn)覆蓋海量變種;集成專(zhuān)有在線神經(jīng)網(wǎng)絡(luò)等高精度AI算法、反躲避等技術(shù),可檢測(cè)深度隱藏、嵌套、壓縮的病毒,并具備未知病毒檢測(cè)能力;借助華為乾坤云端強(qiáng)大的文件安全生產(chǎn)系統(tǒng),基于10種以上自動(dòng)化簽名算法和專(zhuān)家經(jīng)驗(yàn),對(duì)海量樣本進(jìn)行高效高質(zhì)覆蓋,持續(xù)對(duì)抗分析每日百萬(wàn)級(jí)新樣本,準(zhǔn)確檢測(cè)流行勒索、挖礦、木馬、僵尸、后門(mén)、蠕蟲(chóng)等各類(lèi)惡意軟件。CDE在對(duì)抗檢測(cè)、AI檢測(cè)算法、簽名泛化能力和掃描性能方面處于領(lǐng)先地位。
03創(chuàng)新威脅溯源圖捕獲未知威脅
據(jù)統(tǒng)計(jì),有20%的惡意軟件可以成功繞過(guò)殺軟的檢測(cè)。未知行為檢測(cè)是對(duì)抗殺軟繞過(guò)的關(guān)鍵能力。要想有效地防御未知威脅,首先要精確感知終端行為異常,并且采集的數(shù)據(jù)越全面、越深入,檢測(cè)的上限就越高。華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品支持進(jìn)程、文件、網(wǎng)絡(luò)、DNS、注冊(cè)表等細(xì)粒度的數(shù)據(jù)采集,并支持API、Shellcode和內(nèi)存深度采集。即使威脅攻擊采用隱蔽性極高的躲避技術(shù),如內(nèi)存型無(wú)文件攻擊、白加黑、Shellcode注入、直接系統(tǒng)調(diào)用、合法工具或Powershell命令等進(jìn)行躲避,也能被EDR采集器感知。
終端行為是一張以進(jìn)程為中心的網(wǎng)狀行為圖。華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品獨(dú)創(chuàng)內(nèi)存威脅溯源圖,對(duì)單終端進(jìn)程樹(shù)、文件、憑據(jù)等對(duì)象訪問(wèn)行為鏈進(jìn)行實(shí)時(shí)捕捉,擬合成網(wǎng)狀行為“快照”;基于這張“影子”快照?qǐng)D,華為終端檢測(cè)與響應(yīng)EDR可執(zhí)行毫秒級(jí)上下文關(guān)聯(lián),覆蓋原始事件可疑信號(hào)和主機(jī)IPS行為打點(diǎn)告警,信號(hào)實(shí)時(shí)沿圖傳播匯聚,結(jié)合威脅打分和威脅根溯源算法研判,輸出高置信度惡意威脅事件,研判準(zhǔn)確率可達(dá)99%以上。大大消除誤報(bào)和“告警疲勞”,將90%的未知攻擊實(shí)時(shí)阻斷閉環(huán)在終端側(cè)。
華為終端檢測(cè)與響應(yīng)EDR聯(lián)動(dòng)云端,可撬動(dòng)乾坤云對(duì)跨終端、異構(gòu)數(shù)據(jù)源(資產(chǎn)、威脅信息)進(jìn)行時(shí)空層面的綜合關(guān)聯(lián)和溯源,結(jié)合AI算法和云端強(qiáng)大的威脅知識(shí)庫(kù),通過(guò)全局威脅溯源圖深度歸因,自動(dòng)還原攻擊意圖和攻擊鏈條,檢測(cè)多主機(jī)橫向移動(dòng)、和高級(jí)持續(xù)隱蔽型攻擊。針對(duì)0-Day,華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品支持多層漏洞防御,在漏洞執(zhí)行關(guān)鍵路徑打點(diǎn),通過(guò)細(xì)粒度行為檢測(cè)斬?cái)郣OP攻擊鏈;結(jié)合未知Shellcode采集,識(shí)別攻擊意圖;最后一道防線是端云結(jié)合的白程序行為基線學(xué)習(xí),即使系統(tǒng)被漏洞攻陷也能識(shí)別異常,結(jié)合溯源圖進(jìn)一步研判。
針對(duì)中大型客戶(hù),華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品端側(cè)威脅溯源圖、主機(jī)IPS、誘餌、云端關(guān)聯(lián)分析和全局溯源圖引擎,均支持客戶(hù)依據(jù)現(xiàn)網(wǎng)業(yè)務(wù)特點(diǎn),自定義檢測(cè)算法和策略,提升場(chǎng)景化防御的業(yè)務(wù)適應(yīng)性。
04華為乾坤云統(tǒng)一威脅聯(lián)動(dòng)分析和響應(yīng)
華為終端檢測(cè)與響應(yīng)EDR后臺(tái)是基于乾坤統(tǒng)一威脅分析和管理平臺(tái)研發(fā),該平臺(tái)同時(shí)支持邊界防護(hù)、威脅信息、網(wǎng)絡(luò)威脅評(píng)估、漏洞掃描等多安全APP部署。通過(guò)華為乾坤統(tǒng)一安全運(yùn)營(yíng)中心,可天然支持多安全APP的日志中心化存儲(chǔ)、檢索、統(tǒng)一分析和可視??绠a(chǎn)品管理控制后臺(tái)統(tǒng)一,可基于一套管理界面配置策略。通過(guò)跨域關(guān)聯(lián)分析規(guī)則和算法,實(shí)現(xiàn)XDR跨域威脅研判,以及一鍵自動(dòng)化編排響應(yīng)。比如在典型勒索攻擊場(chǎng)景,防火墻在勒索攻擊初始訪問(wèn)階段,識(shí)別勒索下載器的C2外聯(lián),華為乾坤云通過(guò)告警日志,實(shí)時(shí)聯(lián)動(dòng)EDR對(duì)失陷主機(jī)進(jìn)行一鍵響應(yīng),終止惡意代碼片段進(jìn)程、隔離文件,對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行阻斷,抑制下載器二次復(fù)發(fā)帶來(lái)的被勒索風(fēng)險(xiǎn)。
05獨(dú)創(chuàng)勒索加密文件恢復(fù)
勒索加密家族LockBit最高可在4分鐘加密10萬(wàn)個(gè)文件,檢測(cè)的速度必須足夠快和準(zhǔn)。針對(duì)不斷變異進(jìn)化的勒索軟件,要確保數(shù)據(jù)零損失,提供加密文件恢復(fù)是一個(gè)有效的兜底技術(shù)。華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品獨(dú)創(chuàng)內(nèi)核級(jí)勒索行為捕獲技術(shù),可動(dòng)態(tài)感知非受信程序的可疑文件訪問(wèn)模式,如誘餌文件訪問(wèn)、批量文件遍歷、修改后綴名等,實(shí)時(shí)觸發(fā)本地文件備份。支持輕量化勒索AI動(dòng)態(tài)行為本地分析,在勒索攻擊正確研判后,針對(duì)勒索病毒整個(gè)進(jìn)程鏈自動(dòng)執(zhí)行處置,并將備份文件回滾,確?;謴?fù)到正確的文件修改版本,備份單文件<10ms,將數(shù)據(jù)損失數(shù)量減少到個(gè)位數(shù)或0損失。
結(jié)束語(yǔ)
威脅攻擊持續(xù)演進(jìn),防御對(duì)抗是長(zhǎng)期性的。華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品撬動(dòng)云、網(wǎng)、端三方協(xié)同,將核心的PPDR防御邏輯、知識(shí)和能力流程化、自動(dòng)化。在事前、事中和事后提升數(shù)字韌性和反攻擊雙向能力,獲取攻防主動(dòng)權(quán),對(duì)各類(lèi)新型攻擊進(jìn)行常態(tài)化治理,守護(hù)組織和企業(yè)的數(shù)字資產(chǎn)安全。
在后續(xù)推文中,我們會(huì)逐一展開(kāi)介紹華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品的黑科技,敬請(qǐng)期待。
點(diǎn)擊“閱讀原文”,了解更多華為數(shù)據(jù)通信資訊!
原文標(biāo)題:華為安全大咖談 | 華為終端檢測(cè)與響應(yīng)EDR 第01期:小身材如何撬動(dòng)安全大乾坤
文章出處:【微信公眾號(hào):華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
-
華為
+關(guān)注
關(guān)注
215文章
34196瀏覽量
250618
原文標(biāo)題:華為安全大咖談 | 華為終端檢測(cè)與響應(yīng)EDR 第01期:小身材如何撬動(dòng)安全大乾坤
文章出處:【微信號(hào):Huawei_Fixed,微信公眾號(hào):華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論