华为安全大咖谈华为终端检测与响应EDR第01期:小身材如何撬动安全大乾坤威胁攻击

在2022年到2023年期间,最新的威胁攻击有哪些?这些攻击呈现出什么趋势?从现网安全运营和安全报告披露的数据看,勒索、挖矿、蠕虫、窃密和远控木马依然活跃,并呈现出隐蔽性、多样性的特点。

根据《2023年恶意软件准备和防御报告》的调查结果显示,企业面临的头号威胁是勒索软件,其次是网络钓鱼和信息窃取程序,具体数据如图1-1所示。三者“相伴相生”,互为攻击的前后脚。如果问首先需要防御哪种类型的恶意软件,很多组织可能很难回答。

图1-1企业安全面临的恶意软件威胁排行榜

观察几款持久存活的恶意软件,例如,国内勒索感染排名第二的TargetCompay、挖矿窃密勒索远控复合恶意软件DarkGate、银行木马LokiBot、Emotet僵尸网络等,这些恶意软件在进化过程中,其真正的有效载荷变化不大,但初始入侵感染手段不断翻新,融合了更复杂多变的技术,如钓鱼、漏洞利用、被盗凭据、Shellcode、进程挖空躲避等手段。因此,检测这些恶意软件的难度与日俱增。

整体上,当前的威胁形式融合了三个变量:第一个是数字化先行,组织暴露出更多的风险面;第二个是攻击技术、生态系统和工业化程度的进化;最后,更多攻击组织参与到新的地缘政治冲突中,加速了高级威胁武器的应用和民间滥用泛化。这些因素都加剧了网络空间环境的恶化。如果企业设备不能保障安装最新的补丁、部署下一代反恶意软件,从攻击者角度思考纵深应对方案,那么如何建立“安全感”呢?

安全防御现状和挑战

图1-2EDR自适应安全体系

尽管业界厂商提供的终端安全功能繁多,从业界实践总结(参考Gartner)和客户反馈中,以下几个方面被认为是EDR产品的核心能力:

01

防御和阻止安全威胁,包括已知恶意软件、无文件利用。

02

具备行为分析能力,覆盖设备活动、应用程序、身份和用户数据,集成威胁信息能力,检测和预防未知威胁。

03

在攻击被实锤前,提供进一步事件调查和溯源能力。

04

具备攻击响应恢复能力,如恶意软件感染后文件恢复能力。

05

支持多种操作系统和终端类型,并且支持多种部署模式,包括线下OnPremise、云端和混合部署。

更多高级能力包括XDR整合联动,以及部分EPP传统功能的反向整合,例如安全基线、漏洞管理、数据防泄密等。其中,XDR整合能力在业界普遍还不成熟,它包含了集成SOAR、IT服务管理、网络整合等功能。

从业界实践来看,针对不同类型客户,在应对不断变化的威胁攻击时,如何做到低误报高检出、还原攻击链、自动响应和恢复,部分EDR产品还存在不少差距。例如,针对安全不成熟的客户,易用性是一个关键考量,但不少厂商缺乏自动分析攻击链、一键自动响应和修复能力、无预定义威胁搜索和感染文件恢复等功能。针对中大型客户,很多厂商的EDR在现网应用中,上报数据噪声大、行为检测误报高、ATT&CK覆盖不全,无法真正拦截变种恶意软件和未知威胁;缺乏对多个操作系统和新的工作负载(如容器)的支持;与安全工作流程整合不够紧密,缺乏可定制的Playbook和行为规则能力。此外,XDR整合联动还停留在宣传层面,终端、应用和网络安全管理界面分离,远没有达到消除跨团队、系统和数据孤岛的目的。

华为终端检测与响应EDR产品亮点

EDR的防御理念是很好的,与经典的PPDR(Predict、Prevent、Detect、Response,预测、防护、检测、响应)的安全防御模型完全吻合,但是将这种思想转化为具体的产品并达到实效,还需要不断在组织、管理流程和技术上进行实践和迭代创新。从EPP到EDR,再到二者的合体,在终端安全发展的起承转合中,谁才是真正具备实效、可对抗未知、易用性高的产品?

华为安全推出EDR新品,致力于在网络空间抵御新型威胁攻击。作为大安全的锚点和托底,整合网络安全、云端大数据安全深度分析能力,深度协同,形成感知、防御、检测、和响应多层面的自适应防御闭环。依托OneAgent统一终端平台,以小身材,撬动安全大乾坤。

华为终端检测与响应EDR产品具备如下优势:

轻量化、易部署

EDR足够轻、上报噪声低、在主机操作系统上留下的足迹足够小,才能对用户业务影响最小,有效收敛信号,将安全风险面收到最小。华为终端检测与响应EDR轻量级Agent,支持分钟级批量部署上线,实时防护CPU占用小于1%,内存占用小;它基于可信进程树、白名单自学习和威胁图降噪专利技术,能够在各类数据采集无损的条件下,去除80%以上的噪声和冗余数据,单终端平均数据上报小于20MB/天,大大提升云端检测的有效性,降低云端存储成本。

集成下一代AV检测引擎

华为终端检测与响应EDR产品集成了自主研发的下一代AV引擎CDE(Content-basedDetectionEngine,内容检测引擎),可实时扫描发现勒索、挖矿、远控等早期的恶意载荷投递,阻止进一步释放有效恶意载荷;基于内核级文件写入、运行阻断查杀技术,在有效载荷落盘或运行前高速扫描,确保恶意代码不运行下的高查杀率。CDE采用MDL(MalwareDetectionLanguage,恶意软件检测语言)专有病毒语言,以少量资源精准覆盖海量变种;集成专有在线神经网络等高精度AI算法、反躲避等技术,可检测深度隐藏、嵌套、压缩的病毒,并具备未知病毒检测能力;借助华为乾坤云端强大的文件安全生产系统,基于10种以上自动化签名算法和专家经验,对海量样本进行高效高质覆盖,持续对抗分析每日百万级新样本,准确检测流行勒索、挖矿、木马、僵尸、后门、蠕虫等各类恶意软件。CDE在对抗检测、AI检测算法、签名泛化能力和扫描性能方面处于领先地位。

创新威胁溯源图捕获未知威胁

据统计,有20%的恶意软件可以成功绕过杀软的检测。未知行为检测是对抗杀软绕过的关键能力。要想有效地防御未知威胁,首先要精确感知终端行为异常,并且采集的数据越全面、越深入,检测的上限就越高。华为终端检测与响应EDR产品支持进程、文件、网络、DNS、注册表等细粒度的数据采集,并支持API、Shellcode和内存深度采集。即使威胁攻击采用隐蔽性极高的躲避技术,如内存型无文件攻击、白加黑、Shellcode注入、直接系统调用、合法工具或Powershell命令等进行躲避,也能被EDR采集器感知。

终端行为是一张以进程为中心的网状行为图。华为终端检测与响应EDR产品独创内存威胁溯源图,对单终端进程树、文件、凭据等对象访问行为链进行实时捕捉,拟合成网状行为“快照”;基于这张“影子”快照图,华为终端检测与响应EDR可执行毫秒级上下文关联,覆盖原始事件可疑信号和主机IPS行为打点告警,信号实时沿图传播汇聚,结合威胁打分和威胁根溯源算法研判,输出高置信度恶意威胁事件,研判准确率可达99%以上。大大消除误报和“告警疲劳”,将90%的未知攻击实时阻断闭环在终端侧。

华为终端检测与响应EDR联动云端,可撬动乾坤云对跨终端、异构数据源(资产、威胁信息)进行时空层面的综合关联和溯源,结合AI算法和云端强大的威胁知识库,通过全局威胁溯源图深度归因,自动还原攻击意图和攻击链条,检测多主机横向移动、和高级持续隐蔽型攻击。针对0-Day,华为终端检测与响应EDR产品支持多层漏洞防御,在漏洞执行关键路径打点,通过细粒度行为检测斩断ROP攻击链;结合未知Shellcode采集,识别攻击意图;最后一道防线是端云结合的白程序行为基线学习,即使系统被漏洞攻陷也能识别异常,结合溯源图进一步研判。

针对中大型客户,华为终端检测与响应EDR产品端侧威胁溯源图、主机IPS、诱饵、云端关联分析和全局溯源图引擎,均支持客户依据现网业务特点,自定义检测算法和策略,提升场景化防御的业务适应性。

华为乾坤云统一威胁联动分析和响应

华为终端检测与响应EDR后台是基于乾坤统一威胁分析和管理平台研发,该平台同时支持边界防护、威胁信息、网络威胁评估、漏洞扫描等多安全APP部署。通过华为乾坤统一安全运营中心,可天然支持多安全APP的日志中心化存储、检索、统一分析和可视。跨产品管理控制后台统一,可基于一套管理界面配置策略。通过跨域关联分析规则和算法,实现XDR跨域威胁研判,以及一键自动化编排响应。比如在典型勒索攻击场景,防火墙在勒索攻击初始访问阶段,识别勒索下载器的C2外联,华为乾坤云通过告警日志,实时联动EDR对失陷主机进行一键响应,终止恶意代码片段进程、隔离文件,对网络访问进行阻断,抑制下载器二次复发带来的被勒索风险。

独创勒索加密文件恢复

勒索加密家族LockBit最高可在4分钟加密10万个文件,检测的速度必须足够快和准。针对不断变异进化的勒索软件,要确保数据零损失,提供加密文件恢复是一个有效的兜底技术。华为终端检测与响应EDR产品独创内核级勒索行为捕获技术,可动态感知非受信程序的可疑文件访问模式,如诱饵文件访问、批量文件遍历、修改后缀名等,实时触发本地文件备份。支持轻量化勒索AI动态行为本地分析,在勒索攻击正确研判后,针对勒索病毒整个进程链自动执行处置,并将备份文件回滚,确保恢复到正确的文件修改版本,备份单文件<10ms,将数据损失数量减少到个位数或0损失。

结束语

威胁攻击持续演进,防御对抗是长期性的。华为终端检测与响应EDR产品撬动云、网、端三方协同,将核心的PPDR防御逻辑、知识和能力流程化、自动化。在事前、事中和事后提升数字韧性和反攻击双向能力,获取攻防主动权,对各类新型攻击进行常态化治理,守护组织和企业的数字资产安全。

在后续推文中,我们会逐一展开介绍华为终端检测与响应EDR产品的黑科技,敬请期待。

THE END
1.什么是EDR(EDR端点检测和响应))IIBM什么是 EDR (终端检测和响应) ? EDR 是一款软件,旨在自动保护组织的最终用户、终端设备和 IT 资产免受那些突破防病毒软件和其他传统终端安全工具安全防线的网络威胁。 EDR 将从网络上的所有终端(台式机和笔记本电脑、服务器、移动设备、IoT(物联网)设备等)中连续收集数据。 它将实时分析这些数据以查找已知或疑似网https://www.ibm.com/cn-zh/topics/edr
2.什么是端点检测和响应(EDR)?如何选择EDR方案?EDR(Endpoint Detection and Response,端点检测和响应)是Gartner的安东·丘瓦金(Anton Chuvakin)创造的一个术语,用来指代一种端点安全防护解决方案。它记录端点上的行为,使用数据分析和基于上下文的信息检测来发现异常和恶意活动,并记录有关恶意活动的数据,使安全团队能够调查和响应事件。端点可以是员工终端PC或笔记本电脑、https://info.support.huawei.com/info-finder/encyclopedia/zh/EDR.html
3.终端威胁检测与响应(EDR)技术研究终端edr随着信息安全技术的发展,网络攻击已经变得更有针对性、隐蔽性和持久性,终端威胁检测与响应(EDR)技术的出现为新型安全威胁的检测和与防护提供了新思路。EDR在面对为未知威胁攻击、0day漏洞攻击和APT攻击等所表现出的先进性和优越性,已经成为终端安全防护体系的重要组成部分。https://blog.csdn.net/xinyebudaoshi/article/details/143020040
4.终端检测与响应系统(EDR)中孚终端检测与响应系统(EDR)系统通过智能关联分析、特征识别等技术,实时检测未知威胁和异常入侵行为,并自动化响应处理,面向云安全、终端安全、应用安全等各种业务场景,为用户提供全面、可靠、高效、精准的统一终端安全防护能力。 系统功能 产品特点 多源异常检测 https://www.zhongfu.net/products/info/105.html
5.瑞星终端威胁检测与响应系统EDR瑞星终端威胁检测与响应系统(EDR)是一款保护终端设备安全,针对高级威胁进行挖掘、检测、追踪溯源、事件调查的安全产品。该产品集恶意代码防护、勒索防御、漏洞修复等多功能于一体,帮助企业用户大幅度提升终端安全防御能力。获取方案产品优势 应用基于ChatGPT大语言模型的人工智能技术的网络威胁检测引擎 实时监控、快速检测、http://ep.rising.com.cn/platform/edr/
6.什么是EDR?终结点检测和响应Microsoft安全终结点检测和响应 (EDR) 是一种主动网络安全技术,可帮助识别、响应和缓解设备上的网络威胁。https://www.microsoft.com/zh-cn/security/business/security-101/what-is-edr-endpoint-detection-response
7.深入解析EDR是什么意思:专业知识分享与应用方法详解EDR(Endpoint Detection and Response,终端检测与响应)作为一种新兴的网络安全技术,正在逐渐成为保护终端设备的重要手段。本文将深入解析EDR的定义、工作原理、应用方法,并结合实际案例帮助读者更好地理解和应用这一技术。 工具原料: 系统版本:Windows 11、macOS Monterey 品牌型号:Dell XPS 13、MacBook Pro 2021 软件https://www.xiaoyuxitong.com/cjwt/163953.html
8.端点检测和响应根据Gartner 的说法,端点检测和响应(EDR)解决方案 "存储端点系统级行为,使用各种数据分析技术检测可疑的系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统"。 电子数据记录程序解决方案必须具备这四项主要功能: 1.检测安全事件 网络威胁检测是 EDR 解决方案的一项基本功能。EDR 解决方案必须持续分析https://www.blackberry.com/cn/zh/solutions/endpoint-security/endpoint-detection-and-response?utm_content=button2
9.EDR解决方案FortiEDR终端检测和响应解决方案FortiEDR 可自动高效地实时识别和拦截各类漏洞利用行为。作为 Fortinet SecOps 平台重要组件之一,FortiEDR 可主动缩小攻击面,防止恶意软件感染,快速检测并消除潜在威胁,并支持通过自定义 Playbook 跨以往和现用 Windows、macOS 和 Linux 设备实现自动响应和修复。 https://www.fortinet.com/cn/products/endpoint-security/fortiedr
10.终端安全啥是EDR?举例:360天擎终端检测与响应系统,融入了360威胁情报、大数据安全分析等功能,可以实时检测用户端点的异常行为和漏洞,通过与360威胁情报对比,能够及时发现威胁,做出木马隔离和漏洞修补的安全响应。 二、EDR基本原理与框架 1、EDR定义 端点检测和响应是一种主动式端点安全解决方案,通过记录终端与网络事件(例如用户,文件,进程https://maimai.cn/article/detail?fid=1548158946&efid=xo1qPkiy0HjgClFTXbdq6w