在福州举办的2023年国家网络安全宣传周网络安全博览会期间,华为重磅发布了全新安全产品——终端检测与响应系统 (EDR),在网络安全大讲堂上,华为带来最新的安全建设理念和创新防御技术,现场华为展台提供了实物演示环境,让广大参会者近距离体验新品EDR在防勒索、防挖矿等场景的实际应用效果。
华为数据通信产品线EDR产品经理谈晶发表了《华为终端检测与响应(EDR)守护客户关键数字资产》的精彩演讲。
华为EDR对客户的关键价值
谈晶就华为在终端侧安全的最新研发成果,从威胁防御的多个维度向参会者做了一一介绍,展示了华为终端检测与响应EDR对客户的三大关键价值:
● 为企业构建贯穿威胁攻击全链路的自防御体系,以EDR为锚点,撬动端、网、云大安全,把安全技术和专家知识作用到威胁事件全过程,并融合到安全工作流,有效提升企业自动化、智能化防御水平,平衡防御实效和成本。
● 将防御线前移,从传统事后发现提前到事前预测、事中实时拦截,最大程度减少企业数据资产风险。事前,主动收敛攻击面,基于海量威胁信息预测和评估终端风险;事中,深入内核层监控,从应用、系统到内存多维分析,创新第三代AV引擎CDE、专利威胁溯源图行为分析利器,实现毫秒级检测,实时阻断(未知勒索挖矿远控窃密木马检测平均领先近30%检出),并具备shellcode、漏洞利用、无文件攻击等高级威胁检测能力,有效化解攻击模式进化快、免杀绕过、查不到、防不住的难题。
● 针对企业安全告警噪声高、难运维的困境,通过智能消噪无损收敛高价值信号,自动还原攻击链上下文;基于乾坤统一安全管理和分析平台,多安全APP可无缝协同,可一键响应和恢复,降低安全运营门槛,提升效率。
华为EDR差异化优势
发布会现场,谈晶展示了与业界Top友商的实测对比,华为终端检测与响应EDR相对于业界产品具备明显优势,主要体现在以下三点:
● 未知恶意病毒检测
第三代AV引擎CDE,融合AI和Emulator微内核引擎,独创威胁溯源图行为检测,未知勒索、挖矿、远控、窃密木马、0-day检出率平均领先友商30%;(赛可达测试检测率99.96%,勒索检出100%,0误报)。
● 威胁事件聚合与处置
独有智能降噪技术,90%降噪率,减少人工分析依赖;基于威胁溯源图还原攻击链, 云边端自动协同响应和恢复,自动处置率90%(业界60%),专利文件实时恢复技术,即使文件被加密勒索也能一键回滚还原。
● 轻量化、易部署
EDR平均CPU资源占用<1%,杀毒实时防护CPU占用领先友商4~9倍,内存低于业界20%~50%,自适应动态调整资源占用,保证终端不卡顿。支持批量快速部署,1分钟上线使用。
华为EDR独有黑科技
谈晶在宣讲过程中演示了华为终端检测与响应EDR的最新黑科技——加密文件恢复专利技术,该技术可以使EDR产品支持一键恢复勒索加密文件,即当用户遭受勒索软件加密时依然可以恢复到加密前文件,并自动化清理勒索垃圾文件。那么该技术究竟厉害在哪里?
通常勒索文件加密速度极快,如LockBit家族可在4分钟加密10万个文件,针对不断变异进化的勒索软件,确保数据零损失需要做到以下三点核心能力包括:
● 01内核级监控内核层监视真实勒索病毒对文件的所有细粒度动作,并抽象到备份逻辑,融入驱动程序,勒索加密场景覆盖完整。
● 02勒索全进程回滚
全面覆盖勒索病毒的多进程加密行为,自动化提取多进程勒索病毒的文件操作顺序, 并提炼出规则, 支持勒索病毒全进程链自动化逆修改。
● 03触发式文件100%备份
本技术是按事件触发备份, 只有当非信任进程修改用户重要文件时, 内核层才会将该文件备份到保护区内,备份单文件时长<10ms,单终端内存<5M,CPU无感知,数据0损失。
谈晶在接受当地媒体采访时表示,本次华为终端检测与响应系统EDR新产品将进一步增强华为云网边端一体化防御闭环能力。该产品部署在终端,可以全量感知网络访问、进程文件操作、系统调用等行为,依靠终端和云端的强大算力和智能算法,分析出海量事件里面的异常行为和威胁,从而端到端保护企业数字资产,为金融、制造、教育、医疗等千行百业数字化发展提供坚实基石。