华为EDR:用一个“支点”撬动大安全体系
云计算的出现,让安全的边界上升到云端; 5G和物联网的发展,让安全的边界从云端扩展到边缘,而AI和区块链等新兴技术的发展,它们的漏洞又常被网络黑客频繁利用,为公司能够带来更多不可预料的损失。
但越是创新的企业,依赖新兴技术越多,就一定会面对更多的安全风险隐患。而安全风险就像是多米诺骨牌一样,一个环节的偏移,就容易造成全局化的崩塌。
这倒逼企业一定要建立“全局性”的安全视角,同时要深刻洞察每一个最小细节的安全风险隐患,这就是 ----终端。其实,终端是威胁攻击的最大的作用点,大部分攻击都发生在各类端点计算设备上。
9月 12日,在国家网络安全周期间,华为正式对外发布了终端检测与响应( EDR)解决方案。那么,以终端安全为“支点”,是不是能够撬动整个大安全体系的构建呢?
根据《 2023年恶意软件准备和防御报告》的调查的最终结果显示,企业面临的头号威胁是勒索软件,其次是网络钓鱼和信息窃取程序。以勒索软件为例,根据第三方网络安全研究机构的预测:由勒索攻击带来的全球经济损失到 2024年将达到 420亿美金,安全态势前所未有的紧张。
而这些网络威胁,大都是以终端为跳板,对企业造成安全危害的。据统计, 75%的企业内网都是从终端被攻破。小小的终端,往往成为整体安全系统崩塌的入口。而面向终端的安全搭建,能够在一定程度上帮助企业防范已知威胁和未知威胁,并推动全局安全的实现。
Forrester在其发布的《终端安全管理的未来》报告中也指出,终端安全防护市场将在未来五年保持快速增长态势。对所有终端设备做有效的安全防护和管理是保护企业数字化转型安全开展的基础。
这就是 EDR技术诞生的背景。 EDR( Endpoint Detection and Response,终端威胁检测与响应)是一种基于终端检测和响应的安全技术,专注于保护企业网络中的各种终端设备。
早在 2013年, Gartner就首次提出 EDR概念,作为一种新型的、智能化和快速迅捷的主动防御技术, EDR将遵循 Gartner “预测、防护、检测和响应 ”的技术体系,其作用贯穿安全事件发生的全过程。
很明显, EDR最典型的价值,就是主动式的防御。 EDR通过持续监控终端设备上的活动,能够实时地捕获各种恶意行为,并及时采取一定的措施阻止威胁的扩散。而公众最熟悉的防病毒软件,通常只是检测已知的威胁。必须承认 EDR的这种实时性和主动式,真正让企业整体安全水平得到了大大的提高。
也正因为 EDR所反映出来的重要价值,几乎市场上的每家安全厂商都推出了 EDR的产品和解决方案。甚至于一些产品仅仅是打上了 EDR的标签,在实际的应用中并没有体现出足够的价值。
从业界实践来看,针对不一样客户,在应对一直在变化的威胁攻击时,怎么样才能做到低误报高检出、还原攻击链、自动响应和恢复,部分 EDR产品还存在不少差距。不够易用,行为检测误报频繁,没办法真正拦截变种恶意软件和未知威胁等问题长期存在。
用企业的视角,他们到底需要什么样的 EDR?又该如何去选择正确的 EDR?
首先,检验测试能力是EDR的看家本领,尤其除了传统的病毒防护之外,在勒索软件和挖矿木马的检测出率都是衡量EDR有效性的关键。
华为 EDR产品集成了自主研发的下一代 AV引擎 CDE( Content-based Detection Engine,内容检验测试引擎),可实时扫描发现勒索、挖矿、远控等早期的恶意载荷投递,阻止进一步释放有效恶意载荷。在一份检测测试的对比实验中,华为 EDR在全量样本、勒索专项和挖矿专项的检出率均为业界第一,足见 CDE引擎的强大和高效。
其次,我们说主动式的防御,防患于未然的关键是有效的防御未知威胁。据统计,有20%的恶意软件可以成功绕过杀软的检测,未知行为检测是对抗杀软绕过的关键能力。
而华为 EDR产品支持进程、文件、网络、 DNS、注册表等细粒度的数据采集,并支持 API、 Shellcode和内存深度采集。即使威胁攻击采用隐蔽性极高的躲避技术,如内存型无文件攻击、白加黑、 Shellcode注入、直接系统调用、合法工具或 Powershell命令等进行躲避,也能被 EDR采集器感知。
我们也看到业界的很多主流的 EDR,都没有能力检测 Webshell专项,而其中一家 EDR的检出率仅为 0.26%,华为 EDR高达 92.8%的检出率明显则独树一帜。而在未知勒索专项中唯有华为实现了 88.8%的检出率,另外的品牌则完全不具备这项能力。
第三,易用性是一家公司是否选择EDR的重要的条件之一,如果部署困难,CPU和内存占用率高,也同样会影响威胁防护的效率。
好在“轻量化、易部署”正是华为 EDR的核心能力。华为 EDR轻量级 Agent,支持分钟级批量部署上线,实时防护 CPU占用小于 1%,内存占用小。同时基于可信进程树、白名单自学习和威胁图降噪专利技术,能够在各类数据采集无损的条件下,去除 80%以上的噪声和冗余数据,单终端平均数据上报小于 20MB/天,极大的提升云端检测的有效性,降低云端存储成本。
在测试数据中,我们也看到华为 EDR的闲置 CPU率仅为 0.04%明显高出业界中等水准一个数量级,而闲置内存仅为 193MB,为业界最低。实时 CPU占用率仅为 4%,大幅超过业界中等水准,实时内存占用率也几乎仅为业界平均值的一半。性能上的遥遥领先,也是轻量化,易部署的表征。
第四,全局化的安全视角。终端安全的本质,并不在终端本身,而是通过终端这个支点,来撬动整个大安全的体系。这也是怎么回事,统一将多个安全产品整合在一个安全操作系统里的XDR被当做企业安全的未来方向。
那么,华为 EDR后台是基于乾坤统一威胁分析和管理平台研发,该平台同时支持边界防护、威胁信息、网络威胁评估、漏洞扫描等多安全 APP部署。通过华为乾坤统一安全运营中心,可天然支持多安全 APP的日志中心化存储、检索、统一分析和可视。跨产品管理控制后台统一,可基于一套管理界面配置策略。通过跨域关联分析规则和算法,实现 XDR跨域威胁研判,以及一键自动化编排响应,大幅度降低安全风险。
作为业界公认的技术发展趋势, EDR并不是解决所有问题的“”,同样是需要客户结合自己能力现状和当前业务存在的问题,来共同寻求答案的。
作为华为自主研发的第三代反病毒引擎。 CDE的核心功能是对文件进行仔细的检测,判断文件是否为病毒并识别病毒的类型。目前 CDE已被集成至 EDR和华为其他各类 ICT产品中,为用户更好的提供高效可靠的恶意文件防护能力。
而在 CDE背后则是华为的核心云端智能中心,云端智能中心提供最全面的文件安全能力,为客户侧的 CDE引擎提供了最关键的、持续、强力的安全能力支撑,华为病毒分析专家依托智能中心云计算技术构建了完整、可靠、高效的云端安全系统,实时、准确地对抗并分析海量最新病毒,客户端的 CDE引擎会实时更新来自云端安全智能中心的最新防病毒能力,及时为客户防护全网最新流行病毒。
华为 EDR自适应防御理念,可以总结为:事前看得见、事中检测准、事后响应快。通过事前的深度监控可视,智能消噪;事中的端云六大检测引擎构建四层立体防护体系,让威胁无所遁形;而在事后,云边端联动处置,分钟级威胁全网快速闭环,同时通过勒索回滚,加密文件实时备份和恢复,保证数据 0损失。
可视化是智能决策的工具,也是安全防御全局视角的最佳体现。比如通过资产可视化,实时感知资产状态,非法进程及时禁止;通过威胁态势可视化,全面掌握安全状态,逐层钻取快速处置;攻击可视化,支持自动溯源,安全加固更高效。
如今,很多企业常会陷入复杂的网络攻防当中,将宝贵的时间耗费无休止的查缺补漏的过程中,华为作为 EDR技术的引领者,通过终端安全,撬动大安全体系,帮助客户从繁琐复杂的安全防御中抽离,可以将精力聚焦于自身业务的创新。