华为安全大咖谈 | 华为终端检测与响应EDR 第01期：小身材如何撬动安全大乾坤-电子发烧友网

本期讲解嘉宾

2023年国家网络安全宣传周将于9月10日至16日在全国范围内统一举行，其中包括网安周开幕式、网络安全技术高峰论坛、网络安全博览会等重要活动。华为数据通信产品线安全产品领域也将在网络安全宣传周期间发布华为终端防护与响应EDR新品。为了让广大华为安全爱好者更好地了解新品武器，华为安全专家齐聚一堂，推出EDR“大安全，新思路”系列文章，敬请持续关注。

网络威胁最新趋势

在2022年到2023年期间，最新的威胁攻击有哪些？这些攻击呈现出什么趋势？从现网安全运营和安全报告披露的数据看，勒索、挖矿、蠕虫、窃密和远控木马依然活跃，并呈现出隐蔽性、多样性的特点。

根据《2023年恶意软件准备和防御报告》的调查结果显示，企业面临的头号威胁是勒索软件，其次是网络钓鱼和信息窃取程序，具体数据如图1-1所示。三者“相伴相生”，互为攻击的前后脚。如果问首先需要防御哪种类型的恶意软件，很多组织可能很难回答。

图1-1企业安全面临的恶意软件威胁排行榜

观察几款持久存活的恶意软件，例如，国内勒索感染排名第二的TargetCompay、挖矿窃密勒索远控复合恶意软件DarkGate、银行木马LokiBot、Emotet僵尸网络等，这些恶意软件在进化过程中，其真正的有效载荷变化不大，但初始入侵感染手段不断翻新，融合了更复杂多变的技术，如钓鱼、漏洞利用、被盗凭据、Shellcode、进程挖空躲避等手段。因此，检测这些恶意软件的难度与日俱增。

整体上，当前的威胁形式融合了三个变量：第一个是数字化先行，组织暴露出更多的风险面；第二个是攻击技术、生态系统和工业化程度的进化；最后，更多攻击组织参与到新的地缘政治冲突中，加速了高级威胁武器的应用和民间滥用泛化。这些因素都加剧了网络空间环境的恶化。如果企业设备不能保障安装最新的补丁、部署下一代反恶意软件，从攻击者角度思考纵深应对方案，那么如何建立“安全感”呢？

安全防御现状和挑战

为了应对复杂的威胁界面，企业需要构筑一套贯穿威胁攻击全链路的自防御体系，在事前、事中和事后投入更多的人力和时间成本。但安全投资是有限的，如何从可视、防御、检测和响应多个层面来建设一套纵深安全体系，兼备平衡实效和成本呢？

2013年Gartner首次提出EDR（Endpoint Detection and Response，终端威胁检测与响应）的概念之后，该技术立即引起了安全界的广泛关注。如图1-2所示，EDR是一种新型的、智能化和快速迅捷的主动防御技术，遵循Gartner “预测、防护、检测和响应”的技术体系，其作用贯穿安全事件发生的全过程。由于终端是威胁攻击的主要作用点，大部分攻击都发生在各类端点计算设备上。以终端为锚点，可以达到撬动整个安全防御体系的效果。在2023年Gartner最新的终端安全魔术象限报告中，EDR被作为EPP（Endpoint Protection Platform，终端防御平台）的关键特性，主流安全厂商已经实现EPP与EDR的合一（后面文章以EDR统称）。

图1-2EDR自适应安全体系

EDR集成了下一代AV、行为分析、机器学习、诱骗、XDR（Extended Detection and Response，可扩展威胁检测与响应）大数据日志存储和分析、沙箱、威胁信息、网络安全联动和自动恢复响应等最先进的技术。它可以覆盖办公终端、服务器、虚拟机、云Workload和容器监控，甚至扩展到IOT设备等对象。部分安全厂商还添加了身份保护、钓鱼防护和微隔离等特性，为EDR注入更多新的涵义。EDR“小小”身材，可撬动端、网、云大安全。在2023年最新的攻防演练热点话题中，“如何防范0-Day打穿网络，从主机层面如何阻断已经攻入内网的红队”成为了主要关注点。可见，EDR从不同层面被赋予了厚望，主流安全厂商也纷纷布局EDR产品。

尽管业界厂商提供的终端安全功能繁多，从业界实践总结（参考Gartner）和客户反馈中，以下几个方面被认为是EDR产品的核心能力：

01防御和阻止安全威胁，包括已知恶意软件、无文件利用。 02具备行为分析能力，覆盖设备活动、应用程序、身份和用户数据，集成威胁信息能力，检测和预防未知威胁。 03在攻击被实锤前，提供进一步事件调查和溯源能力。 04具备攻击响应恢复能力，如恶意软件感染后文件恢复能力。 05支持多种操作系统和终端类型，并且支持多种部署模式，包括线下On Premise、云端和混合部署。

更多高级能力包括XDR整合联动，以及部分EPP传统功能的反向整合，例如安全基线、漏洞管理、数据防泄密等。其中，XDR整合能力在业界普遍还不成熟，它包含了集成SOAR、IT服务管理、网络整合等功能。

从业界实践来看，针对不同类型客户，在应对不断变化的威胁攻击时，如何做到低误报高检出、还原攻击链、自动响应和恢复，部分EDR产品还存在不少差距。例如，针对安全不成熟的客户，易用性是一个关键考量，但不少厂商缺乏自动分析攻击链、一键自动响应和修复能力、无预定义威胁搜索和感染文件恢复等功能。针对中大型客户，很多厂商的EDR在现网应用中，上报数据噪声大、行为检测误报高、ATT&CK覆盖不全，无法真正拦截变种恶意软件和未知威胁；缺乏对多个操作系统和新的工作负载（如容器）的支持；与安全工作流程整合不够紧密，缺乏可定制的Playbook和行为规则能力。此外，XDR整合联动还停留在宣传层面，终端、应用和网络安全管理界面分离，远没有达到消除跨团队、系统和数据孤岛的目的。

华为终端检测与响应EDR产品亮点

EDR的防御理念是很好的，与经典的PPDR（Predict 、Prevent 、Detect、Response，预测、防护、检测、响应）的安全防御模型完全吻合，但是将这种思想转化为具体的产品并达到实效，还需要不断在组织、管理流程和技术上进行实践和迭代创新。从EPP到EDR，再到二者的合体，在终端安全发展的起承转合中，谁才是真正具备实效、可对抗未知、易用性高的产品？

华为安全推出EDR新品，致力于在网络空间抵御新型威胁攻击。作为大安全的锚点和托底，整合网络安全、云端大数据安全深度分析能力，深度协同，形成感知、防御、检测、和响应多层面的自适应防御闭环。依托OneAgent统一终端平台，以小身材，撬动安全大乾坤。

华为终端检测与响应EDR产品具备如下优势：

01轻量化、易部署

EDR足够轻、上报噪声低、在主机操作系统上留下的足迹足够小，才能对用户业务影响最小，有效收敛信号，将安全风险面收到最小。华为终端检测与响应EDR轻量级Agent，支持分钟级批量部署上线，实时防护CPU占用小于1%，内存占用小；它基于可信进程树、白名单自学习和威胁图降噪专利技术，能够在各类数据采集无损的条件下，去除80%以上的噪声和冗余数据，单终端平均数据上报小于20MB/天，大大提升云端检测的有效性，降低云端存储成本。

02集成下一代AV检测引擎

华为终端检测与响应EDR产品集成了自主研发的下一代AV引擎CDE（Content-based Detection Engine，内容检测引擎），可实时扫描发现勒索、挖矿、远控等早期的恶意载荷投递，阻止进一步释放有效恶意载荷；基于内核级文件写入、运行阻断查杀技术，在有效载荷落盘或运行前高速扫描，确保恶意代码不运行下的高查杀率。CDE采用MDL（Malware Detection Language，恶意软件检测语言）专有病毒语言，以少量资源精准覆盖海量变种；集成专有在线神经网络等高精度 AI 算法、反躲避等技术，可检测深度隐藏、嵌套、压缩的病毒，并具备未知病毒检测能力；借助华为乾坤云端强大的文件安全生产系统，基于10种以上自动化签名算法和专家经验，对海量样本进行高效高质覆盖，持续对抗分析每日百万级新样本，准确检测流行勒索、挖矿、木马、僵尸、后门、蠕虫等各类恶意软件。CDE在对抗检测、AI检测算法、签名泛化能力和扫描性能方面处于领先地位。

03创新威胁溯源图捕获未知威胁

据统计，有20%的恶意软件可以成功绕过杀软的检测。未知行为检测是对抗杀软绕过的关键能力。要想有效地防御未知威胁，首先要精确感知终端行为异常，并且采集的数据越全面、越深入，检测的上限就越高。华为终端检测与响应EDR产品支持进程、文件、网络、DNS、注册表等细粒度的数据采集，并支持API、Shellcode和内存深度采集。即使威胁攻击采用隐蔽性极高的躲避技术，如内存型无文件攻击、白加黑、Shellcode注入、直接系统调用、合法工具或Powershell命令等进行躲避，也能被EDR采集器感知。

终端行为是一张以进程为中心的网状行为图。华为终端检测与响应EDR产品独创内存威胁溯源图，对单终端进程树、文件、凭据等对象访问行为链进行实时捕捉，拟合成网状行为“快照”；基于这张“影子”快照图，华为终端检测与响应EDR可执行毫秒级上下文关联，覆盖原始事件可疑信号和主机IPS行为打点告警，信号实时沿图传播汇聚，结合威胁打分和威胁根溯源算法研判，输出高置信度恶意威胁事件，研判准确率可达99%以上。大大消除误报和“告警疲劳”，将90%的未知攻击实时阻断闭环在终端侧。

华为终端检测与响应EDR联动云端，可撬动乾坤云对跨终端、异构数据源（资产、威胁信息）进行时空层面的综合关联和溯源，结合AI算法和云端强大的威胁知识库，通过全局威胁溯源图深度归因，自动还原攻击意图和攻击链条，检测多主机横向移动、和高级持续隐蔽型攻击。针对0-Day，华为终端检测与响应EDR产品支持多层漏洞防御，在漏洞执行关键路径打点，通过细粒度行为检测斩断ROP攻击链；结合未知Shellcode采集，识别攻击意图；最后一道防线是端云结合的白程序行为基线学习，即使系统被漏洞攻陷也能识别异常，结合溯源图进一步研判。

针对中大型客户，华为终端检测与响应EDR产品端侧威胁溯源图、主机IPS、诱饵、云端关联分析和全局溯源图引擎，均支持客户依据现网业务特点，自定义检测算法和策略，提升场景化防御的业务适应性。

04华为乾坤云统一威胁联动分析和响应

华为终端检测与响应EDR后台是基于乾坤统一威胁分析和管理平台研发，该平台同时支持边界防护、威胁信息、网络威胁评估、漏洞扫描等多安全APP部署。通过华为乾坤统一安全运营中心，可天然支持多安全APP的日志中心化存储、检索、统一分析和可视。跨产品管理控制后台统一，可基于一套管理界面配置策略。通过跨域关联分析规则和算法，实现XDR跨域威胁研判，以及一键自动化编排响应。比如在典型勒索攻击场景，防火墙在勒索攻击初始访问阶段，识别勒索下载器的C2外联，华为乾坤云通过告警日志，实时联动EDR对失陷主机进行一键响应，终止恶意代码片段进程、隔离文件，对网络访问进行阻断，抑制下载器二次复发带来的被勒索风险。

05独创勒索加密文件恢复

勒索加密家族LockBit最高可在4分钟加密10万个文件，检测的速度必须足够快和准。针对不断变异进化的勒索软件，要确保数据零损失，提供加密文件恢复是一个有效的兜底技术。华为终端检测与响应EDR产品独创内核级勒索行为捕获技术，可动态感知非受信程序的可疑文件访问模式，如诱饵文件访问、批量文件遍历、修改后缀名等，实时触发本地文件备份。支持轻量化勒索AI动态行为本地分析，在勒索攻击正确研判后，针对勒索病毒整个进程链自动执行处置，并将备份文件回滚，确保恢复到正确的文件修改版本，备份单文件<10ms，将数据损失数量减少到个位数或0损失。