聚焦網(wǎng)安周 | 華為終端檢測與響應系統（EDR）新品發(fā)布，勒索全進(jìn)程回滾等黑科技引爆全場(chǎng)

　　在福州舉辦的2023年國家網(wǎng)絡(luò )安全宣傳周網(wǎng)絡(luò )安全博覽會(huì )期間，華為重磅發(fā)布了全新安全產(chǎn)品——終端檢測與響應系統 （EDR），在網(wǎng)絡(luò )安全大講堂上，華為帶來(lái)最新的安全建設理念和創(chuàng )新防御技術(shù)，現場(chǎng)華為展臺提供了實(shí)物演示環(huán)境，讓廣大參會(huì )者近距離體驗新品EDR在防勒索、防挖礦等場(chǎng)景的實(shí)際應用效果。

　　華為數據通信產(chǎn)品線(xiàn)EDR產(chǎn)品經(jīng)理談晶發(fā)表了《華為終端檢測與響應（EDR）守護客戶(hù)關(guān)鍵數字資產(chǎn)》的精彩演講。

華為EDR對客戶(hù)的關(guān)鍵價(jià)值

　　談晶就華為在終端側安全的最新研發(fā)成果，從威脅防御的多個(gè)維度向參會(huì )者做了一一介紹，展示了華為終端檢測與響應EDR對客戶(hù)的三大關(guān)鍵價(jià)值：

　　● 為企業(yè)構建貫穿威脅攻擊全鏈路的自防御體系，以EDR為錨點(diǎn)，撬動(dòng)端、網(wǎng)、云大安全，把安全技術(shù)和專(zhuān)家知識作用到威脅事件全過(guò)程，并融合到安全工作流，有效提升企業(yè)自動(dòng)化、智能化防御水平，平衡防御實(shí)效和成本。

　　● 將防御線(xiàn)前移，從傳統事后發(fā)現提前到事前預測、事中實(shí)時(shí)攔截，最大程度減少企業(yè)數據資產(chǎn)風(fēng)險。事前，主動(dòng)收斂攻擊面，基于海量威脅信息預測和評估終端風(fēng)險；事中，深入內核層監控，從應用、系統到內存多維分析，創(chuàng )新第三代AV引擎CDE、專(zhuān)利威脅溯源圖行為分析利器，實(shí)現毫秒級檢測，實(shí)時(shí)阻斷（未知勒索挖礦遠控竊密木馬檢測平均領(lǐng)先近30%檢出），并具備shellcode、漏洞利用、無(wú)文件攻擊等高級威脅檢測能力，有效化解攻擊模式進(jìn)化快、免殺繞過(guò)、查不到、防不住的難題。

　　● 針對企業(yè)安全告警噪聲高、難運維的困境，通過(guò)智能消噪無(wú)損收斂高價(jià)值信號，自動(dòng)還原攻擊鏈上下文；基于乾坤統一安全管理和分析平臺，多安全APP可無(wú)縫協(xié)同，可一鍵響應和恢復，降低安全運營(yíng)門(mén)檻，提升效率。

華為EDR差異化優(yōu)勢

　　發(fā)布會(huì )現場(chǎng)，談晶展示了與業(yè)界Top友商的實(shí)測對比，華為終端檢測與響應EDR相對于業(yè)界產(chǎn)品具備明顯優(yōu)勢，主要體現在以下三點(diǎn)：

　　● 未知惡意病毒檢測

　　第三代AV引擎CDE，融合AI和Emulator微內核引擎，獨創(chuàng )威脅溯源圖行為檢測，未知勒索、挖礦、遠控、竊密木馬、0-day檢出率平均領(lǐng)先友商30%；（賽可達測試檢測率99.96%，勒索檢出100%，0誤報）。

　　● 威脅事件聚合與處置

　　獨有智能降噪技術(shù)，90%降噪率，減少人工分析依賴(lài)；基于威脅溯源圖還原攻擊鏈, 云邊端自動(dòng)協(xié)同響應和恢復，自動(dòng)處置率90%（業(yè)界60%），專(zhuān)利文件實(shí)時(shí)恢復技術(shù)，即使文件被加密勒索也能一鍵回滾還原。

　　● 輕量化、易部署

　　EDR平均CPU資源占用<1%，殺毒實(shí)時(shí)防護CPU占用領(lǐng)先友商4~9倍，內存低于業(yè)界20%~50%，自適應動(dòng)態(tài)調整資源占用，保證終端不卡頓。支持批量快速部署，1分鐘上線(xiàn)使用。

華為EDR獨有黑科技

　　談晶在宣講過(guò)程中演示了華為終端檢測與響應EDR的最新黑科技——加密文件恢復專(zhuān)利技術(shù)，該技術(shù)可以使EDR產(chǎn)品支持一鍵恢復勒索加密文件，即當用戶(hù)遭受勒索軟件加密時(shí)依然可以恢復到加密前文件，并自動(dòng)化清理勒索垃圾文件。那么該技術(shù)究竟厲害在哪里？

　　通常勒索文件加密速度極快，如LockBit家族可在4分鐘加密10萬(wàn)個(gè)文件，針對不斷變異進(jìn)化的勒索軟件，確保數據零損失需要做到以下三點(diǎn)核心能力包括：

　　● 01內核級監控內核層監視真實(shí)勒索病毒對文件的所有細粒度動(dòng)作，并抽象到備份邏輯，融入驅動(dòng)程序，勒索加密場(chǎng)景覆蓋完整。

　　● 02勒索全進(jìn)程回滾

　　全面覆蓋勒索病毒的多進(jìn)程加密行為，自動(dòng)化提取多進(jìn)程勒索病毒的文件操作順序, 并提煉出規則, 支持勒索病毒全進(jìn)程鏈自動(dòng)化逆修改。

　　● 03觸發(fā)式文件100%備份

　　本技術(shù)是按事件觸發(fā)備份, 只有當非信任進(jìn)程修改用戶(hù)重要文件時(shí), 內核層才會(huì )將該文件備份到保護區內，備份單文件時(shí)長(cháng)<10ms，單終端內存<5M，CPU無(wú)感知，數據0損失。

　　談晶在接受當地媒體采訪(fǎng)時(shí)表示，本次華為終端檢測與響應系統EDR新產(chǎn)品將進(jìn)一步增強華為云網(wǎng)邊端一體化防御閉環(huán)能力。該產(chǎn)品部署在終端，可以全量感知網(wǎng)絡(luò )訪(fǎng)問(wèn)、進(jìn)程文件操作、系統調用等行為，依靠終端和云端的強大算力和智能算法，分析出海量事件里面的異常行為和威脅，從而端到端保護企業(yè)數字資產(chǎn)，為金融、制造、教育、醫療等千行百業(yè)數字化發(fā)展提供堅實(shí)基石。