?本期講解嘉賓
2023年國家網絡安全宣傳周將于9月10日至16日在全國范圍內統一舉行,其中包括網安周開幕式、網絡安全技術高峰論壇、網絡安全博覽會等重要活動。華為數據通信產品線安全產品領域也將在網絡安全宣傳周期間發布華為終端防護與響應EDR新品。為了讓廣大華為安全愛好者更好地了解新品武器,華為安全專家齊聚一堂,推出EDR“大安全,新思路”系列文章,敬請持續關注。
網絡威脅最新趨勢
在2022年到2023年期間,最新的威脅攻擊有哪些?這些攻擊呈現出什么趨勢?從現網安全運營和安全報告披露的數據看,勒索、挖礦、蠕蟲、竊密和遠控木馬依然活躍,并呈現出隱蔽性、多樣性的特點。
根據《2023年惡意軟件準備和防御報告》的調查結果顯示,企業面臨的頭號威脅是勒索軟件,其次是網絡釣魚和信息竊取程序,具體數據如圖1-1所示。三者“相伴相生”,互為攻擊的前后腳。如果問首先需要防御哪種類型的惡意軟件,很多組織可能很難回答。
圖1-1企業安全面臨的惡意軟件威脅排行榜
觀察幾款持久存活的惡意軟件,例如,國內勒索感染排名第二的TargetCompay、挖礦竊密勒索遠控復合惡意軟件DarkGate、銀行木馬LokiBot、Emotet僵尸網絡等,這些惡意軟件在進化過程中,其真正的有效載荷變化不大,但初始入侵感染手段不斷翻新,融合了更復雜多變的技術,如釣魚、漏洞利用、被盜憑據、Shellcode、進程挖空躲避等手段。因此,檢測這些惡意軟件的難度與日俱增。
整體上,當前的威脅形式融合了三個變量:第一個是數字化先行,組織暴露出更多的風險面;第二個是攻擊技術、生態系統和工業化程度的進化;最后,更多攻擊組織參與到新的地緣政治沖突中,加速了高級威脅武器的應用和民間濫用泛化。這些因素都加劇了網絡空間環境的惡化。如果企業設備不能保障安裝最新的補丁、部署下一代反惡意軟件,從攻擊者角度思考縱深應對方案,那么如何建立“安全感”呢?
安全防御現狀和挑戰
為了應對復雜的威脅界面,企業需要構筑一套貫穿威脅攻擊全鏈路的自防御體系,在事前、事中和事后投入更多的人力和時間成本。但安全投資是有限的,如何從可視、防御、檢測和響應多個層面來建設一套縱深安全體系,兼備平衡實效和成本呢?
2013年Gartner首次提出EDR(Endpoint Detection and Response,終端威脅檢測與響應)的概念之后,該技術立即引起了安全界的廣泛關注。如圖1-2所示,EDR是一種新型的、智能化和快速迅捷的主動防御技術,遵循Gartner “預測、防護、檢測和響應”的技術體系,其作用貫穿安全事件發生的全過程。由于終端是威脅攻擊的主要作用點,大部分攻擊都發生在各類端點計算設備上。以終端為錨點,可以達到撬動整個安全防御體系的效果。在2023年Gartner最新的終端安全魔術象限報告中,EDR被作為EPP(Endpoint Protection Platform,終端防御平臺)的關鍵特性,主流安全廠商已經實現EPP與EDR的合一(后面文章以EDR統稱)。
圖1-2EDR自適應安全體系
EDR集成了下一代AV、行為分析、機器學習、誘騙、XDR(Extended Detection and Response,可擴展威脅檢測與響應)大數據日志存儲和分析、沙箱、威脅信息、網絡安全聯動和自動恢復響應等最先進的技術。它可以覆蓋辦公終端、服務器、虛擬機、云Workload和容器監控,甚至擴展到IOT設備等對象。部分安全廠商還添加了身份保護、釣魚防護和微隔離等特性,為EDR注入更多新的涵義。EDR“小小”身材,可撬動端、網、云大安全。在2023年最新的攻防演練熱點話題中,“如何防范0-Day打穿網絡,從主機層面如何阻斷已經攻入內網的紅隊”成為了主要關注點??梢?,EDR從不同層面被賦予了厚望,主流安全廠商也紛紛布局EDR產品。
盡管業界廠商提供的終端安全功能繁多,從業界實踐總結(參考Gartner)和客戶反饋中,以下幾個方面被認為是EDR產品的核心能力:
01防御和阻止安全威脅,包括已知惡意軟件、無文件利用。 02具備行為分析能力,覆蓋設備活動、應用程序、身份和用戶數據,集成威脅信息能力,檢測和預防未知威脅。 03在攻擊被實錘前,提供進一步事件調查和溯源能力。 04具備攻擊響應恢復能力,如惡意軟件感染后文件恢復能力。 05支持多種操作系統和終端類型,并且支持多種部署模式,包括線下On Premise、云端和混合部署。
更多高級能力包括XDR整合聯動,以及部分EPP傳統功能的反向整合,例如安全基線、漏洞管理、數據防泄密等。其中,XDR整合能力在業界普遍還不成熟,它包含了集成SOAR、IT服務管理、網絡整合等功能。
從業界實踐來看,針對不同類型客戶,在應對不斷變化的威脅攻擊時,如何做到低誤報高檢出、還原攻擊鏈、自動響應和恢復,部分EDR產品還存在不少差距。例如,針對安全不成熟的客戶,易用性是一個關鍵考量,但不少廠商缺乏自動分析攻擊鏈、一鍵自動響應和修復能力、無預定義威脅搜索和感染文件恢復等功能。針對中大型客戶,很多廠商的EDR在現網應用中,上報數據噪聲大、行為檢測誤報高、ATT&CK覆蓋不全,無法真正攔截變種惡意軟件和未知威脅;缺乏對多個操作系統和新的工作負載(如容器)的支持;與安全工作流程整合不夠緊密,缺乏可定制的Playbook和行為規則能力。此外,XDR整合聯動還停留在宣傳層面,終端、應用和網絡安全管理界面分離,遠沒有達到消除跨團隊、系統和數據孤島的目的。
華為終端檢測與響應EDR產品亮點
EDR的防御理念是很好的,與經典的PPDR(Predict 、Prevent 、Detect、Response,預測、防護、檢測、響應)的安全防御模型完全吻合,但是將這種思想轉化為具體的產品并達到實效,還需要不斷在組織、管理流程和技術上進行實踐和迭代創新。從EPP到EDR,再到二者的合體,在終端安全發展的起承轉合中,誰才是真正具備實效、可對抗未知、易用性高的產品?
華為安全推出EDR新品,致力于在網絡空間抵御新型威脅攻擊。作為大安全的錨點和托底,整合網絡安全、云端大數據安全深度分析能力,深度協同,形成感知、防御、檢測、和響應多層面的自適應防御閉環。依托OneAgent統一終端平臺,以小身材,撬動安全大乾坤。
華為終端檢測與響應EDR產品具備如下優勢:
01輕量化、易部署
EDR足夠輕、上報噪聲低、在主機操作系統上留下的足跡足夠小,才能對用戶業務影響最小,有效收斂信號,將安全風險面收到最小。華為終端檢測與響應EDR輕量級Agent,支持分鐘級批量部署上線,實時防護CPU占用小于1%,內存占用小;它基于可信進程樹、白名單自學習和威脅圖降噪專利技術,能夠在各類數據采集無損的條件下,去除80%以上的噪聲和冗余數據,單終端平均數據上報小于20MB/天,大大提升云端檢測的有效性,降低云端存儲成本。
02集成下一代AV檢測引擎
華為終端檢測與響應EDR產品集成了自主研發的下一代AV引擎CDE(Content-based Detection Engine,內容檢測引擎),可實時掃描發現勒索、挖礦、遠控等早期的惡意載荷投遞,阻止進一步釋放有效惡意載荷;基于內核級文件寫入、運行阻斷查殺技術,在有效載荷落盤或運行前高速掃描,確保惡意代碼不運行下的高查殺率。CDE采用MDL(Malware Detection Language,惡意軟件檢測語言)專有病毒語言,以少量資源精準覆蓋海量變種;集成專有在線神經網絡等高精度AI算法、反躲避等技術,可檢測深度隱藏、嵌套、壓縮的病毒,并具備未知病毒檢測能力;借助華為乾坤云端強大的文件安全生產系統,基于10種以上自動化簽名算法和專家經驗,對海量樣本進行高效高質覆蓋,持續對抗分析每日百萬級新樣本,準確檢測流行勒索、挖礦、木馬、僵尸、后門、蠕蟲等各類惡意軟件。CDE在對抗檢測、AI檢測算法、簽名泛化能力和掃描性能方面處于領先地位。
03創新威脅溯源圖捕獲未知威脅
據統計,有20%的惡意軟件可以成功繞過殺軟的檢測。未知行為檢測是對抗殺軟繞過的關鍵能力。要想有效地防御未知威脅,首先要精確感知終端行為異常,并且采集的數據越全面、越深入,檢測的上限就越高。華為終端檢測與響應EDR產品支持進程、文件、網絡、DNS、注冊表等細粒度的數據采集,并支持API、Shellcode和內存深度采集。即使威脅攻擊采用隱蔽性極高的躲避技術,如內存型無文件攻擊、白加黑、Shellcode注入、直接系統調用、合法工具或Powershell命令等進行躲避,也能被EDR采集器感知。
終端行為是一張以進程為中心的網狀行為圖。華為終端檢測與響應EDR產品獨創內存威脅溯源圖,對單終端進程樹、文件、憑據等對象訪問行為鏈進行實時捕捉,擬合成網狀行為“快照”;基于這張“影子”快照圖,華為終端檢測與響應EDR可執行毫秒級上下文關聯,覆蓋原始事件可疑信號和主機IPS行為打點告警,信號實時沿圖傳播匯聚,結合威脅打分和威脅根溯源算法研判,輸出高置信度惡意威脅事件,研判準確率可達99%以上。大大消除誤報和“告警疲勞”,將90%的未知攻擊實時阻斷閉環在終端側。
華為終端檢測與響應EDR聯動云端,可撬動乾坤云對跨終端、異構數據源(資產、威脅信息)進行時空層面的綜合關聯和溯源,結合AI算法和云端強大的威脅知識庫,通過全局威脅溯源圖深度歸因,自動還原攻擊意圖和攻擊鏈條,檢測多主機橫向移動、和高級持續隱蔽型攻擊。針對0-Day,華為終端檢測與響應EDR產品支持多層漏洞防御,在漏洞執行關鍵路徑打點,通過細粒度行為檢測斬斷ROP攻擊鏈;結合未知Shellcode采集,識別攻擊意圖;最后一道防線是端云結合的白程序行為基線學習,即使系統被漏洞攻陷也能識別異常,結合溯源圖進一步研判。
針對中大型客戶,華為終端檢測與響應EDR產品端側威脅溯源圖、主機IPS、誘餌、云端關聯分析和全局溯源圖引擎,均支持客戶依據現網業務特點,自定義檢測算法和策略,提升場景化防御的業務適應性。
04華為乾坤云統一威脅聯動分析和響應
華為終端檢測與響應EDR后臺是基于乾坤統一威脅分析和管理平臺研發,該平臺同時支持邊界防護、威脅信息、網絡威脅評估、漏洞掃描等多安全APP部署。通過華為乾坤統一安全運營中心,可天然支持多安全APP的日志中心化存儲、檢索、統一分析和可視??绠a品管理控制后臺統一,可基于一套管理界面配置策略。通過跨域關聯分析規則和算法,實現XDR跨域威脅研判,以及一鍵自動化編排響應。比如在典型勒索攻擊場景,防火墻在勒索攻擊初始訪問階段,識別勒索下載器的C2外聯,華為乾坤云通過告警日志,實時聯動EDR對失陷主機進行一鍵響應,終止惡意代碼片段進程、隔離文件,對網絡訪問進行阻斷,抑制下載器二次復發帶來的被勒索風險。
05獨創勒索加密文件恢復
勒索加密家族LockBit最高可在4分鐘加密10萬個文件,檢測的速度必須足夠快和準。針對不斷變異進化的勒索軟件,要確保數據零損失,提供加密文件恢復是一個有效的兜底技術。華為終端檢測與響應EDR產品獨創內核級勒索行為捕獲技術,可動態感知非受信程序的可疑文件訪問模式,如誘餌文件訪問、批量文件遍歷、修改后綴名等,實時觸發本地文件備份。支持輕量化勒索AI動態行為本地分析,在勒索攻擊正確研判后,針對勒索病毒整個進程鏈自動執行處置,并將備份文件回滾,確保恢復到正確的文件修改版本,備份單文件<10ms,將數據損失數量減少到個位數或0損失。
結束語
威脅攻擊持續演進,防御對抗是長期性的。華為終端檢測與響應EDR產品撬動云、網、端三方協同,將核心的PPDR防御邏輯、知識和能力流程化、自動化。在事前、事中和事后提升數字韌性和反攻擊雙向能力,獲取攻防主動權,對各類新型攻擊進行常態化治理,守護組織和企業的數字資產安全。
在后續推文中,我們會逐一展開介紹華為終端檢測與響應EDR產品的黑科技,敬請期待。
點擊“閱讀原文”,了解更多華為數據通信資訊!
原文標題:華為安全大咖談 | 華為終端檢測與響應EDR 第01期:小身材如何撬動安全大乾坤
文章出處:【微信公眾號:華為數據通信】歡迎添加關注!文章轉載請注明出處。
-
華為
+關注
關注
216文章
34411瀏覽量
251514
原文標題:華為安全大咖談 | 華為終端檢測與響應EDR 第01期:小身材如何撬動安全大乾坤
文章出處:【微信號:Huawei_Fixed,微信公眾號:華為數據通信】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論