聚焦網(wǎng)安周 | 華為終端檢測(cè)與響應(yīng)系統(tǒng)（EDR）新品發(fā)布，勒索全進(jìn)程回滾等黑科技引爆全場(chǎng)

[中國(guó)，福州，2023年9月12日]，在福州舉辦的2023年國(guó)家網(wǎng)絡(luò)安全宣傳周網(wǎng)絡(luò)安全博覽會(huì)期間，華為重磅發(fā)布了全新安全產(chǎn)品——終端檢測(cè)與響應(yīng)系統(tǒng)（EDR），在網(wǎng)絡(luò)安全大講堂上，華為帶來(lái)最新的安全建設(shè)理念和創(chuàng)新防御技術(shù)，現(xiàn)場(chǎng)華為展臺(tái)提供了實(shí)物演示環(huán)境，讓廣大參會(huì)者近距離體驗(yàn)新品EDR在防勒索、防挖礦等場(chǎng)景的實(shí)際應(yīng)用效果。

?

華為數(shù)據(jù)通信產(chǎn)品線EDR產(chǎn)品經(jīng)理談晶發(fā)表了《華為終端檢測(cè)與響應(yīng)（EDR）守護(hù)客戶關(guān)鍵數(shù)字資產(chǎn)》的精彩演講。

華為EDR對(duì)客戶的關(guān)鍵價(jià)值

談晶就華為在終端側(cè)安全的最新研發(fā)成果，從威脅防御的多個(gè)維度向參會(huì)者做了一一介紹，展示了華為終端檢測(cè)與響應(yīng)EDR對(duì)客戶的三大關(guān)鍵價(jià)值：

• 為企業(yè)構(gòu)建貫穿威脅攻擊全鏈路的自防御體系，以EDR為錨點(diǎn)，撬動(dòng)端、網(wǎng)、云大安全，把安全技術(shù)和專家知識(shí)作用到威脅事件全過(guò)程，并融合到安全工作流，有效提升企業(yè)自動(dòng)化、智能化防御水平，平衡防御實(shí)效和成本。

• 將防御線前移，從傳統(tǒng)事后發(fā)現(xiàn)提前到事前預(yù)測(cè)、事中實(shí)時(shí)攔截，最大程度減少企業(yè)數(shù)據(jù)資產(chǎn)風(fēng)險(xiǎn)。事前，主動(dòng)收斂攻擊面，基于海量威脅信息預(yù)測(cè)和評(píng)估終端風(fēng)險(xiǎn)；事中，深入內(nèi)核層監(jiān)控，從應(yīng)用、系統(tǒng)到內(nèi)存多維分析，創(chuàng)新第三代AV引擎CDE、專利威脅溯源圖行為分析利器，實(shí)現(xiàn)毫秒級(jí)檢測(cè)，實(shí)時(shí)阻斷（未知勒索挖礦遠(yuǎn)控竊密木馬檢測(cè)平均領(lǐng)先近30%檢出），并具備shellcode、漏洞利用、無(wú)文件攻擊等高級(jí)威脅檢測(cè)能力，有效化解攻擊模式進(jìn)化快、免殺繞過(guò)、查不到、防不住的難題。

• 針對(duì)企業(yè)安全告警噪聲高、難運(yùn)維的困境，通過(guò)智能消噪無(wú)損收斂高價(jià)值信號(hào)，自動(dòng)還原攻擊鏈上下文；基于乾坤統(tǒng)一安全管理和分析平臺(tái)，多安全APP可無(wú)縫協(xié)同，可一鍵響應(yīng)和恢復(fù)，降低安全運(yùn)營(yíng)門檻，提升效率。

華為EDR差異化優(yōu)勢(shì)

發(fā)布會(huì)現(xiàn)場(chǎng)，談晶展示了與業(yè)界Top友商的實(shí)測(cè)對(duì)比，華為終端檢測(cè)與響應(yīng)EDR相對(duì)于業(yè)界產(chǎn)品具備明顯優(yōu)勢(shì)，主要體現(xiàn)在以下三點(diǎn)：

未知惡意病毒檢測(cè)?

第三代AV引擎CDE，融合AI和Emulator微內(nèi)核引擎，獨(dú)創(chuàng)威脅溯源圖行為檢測(cè)，未知勒索、挖礦、遠(yuǎn)控、竊密木馬、0-day檢出率平均領(lǐng)先友商30%；（賽可達(dá)測(cè)試檢測(cè)率99.96%，勒索檢出100%，0誤報(bào)）。?

威脅事件聚合與處置?

獨(dú)有智能降噪技術(shù)，90%降噪率，減少人工分析依賴；基于威脅溯源圖還原攻擊鏈, 云邊端自動(dòng)協(xié)同響應(yīng)和恢復(fù)，自動(dòng)處置率90%（業(yè)界60%），專利文件實(shí)時(shí)恢復(fù)技術(shù)，即使文件被加密勒索也能一鍵回滾還原。

輕量化、易部署?

EDR平均CPU資源占用<1%，殺毒實(shí)時(shí)防護(hù)CPU占用領(lǐng)先友商4~9倍，內(nèi)存低于業(yè)界20%~50%，自適應(yīng)動(dòng)態(tài)調(diào)整資源占用，保證終端不卡頓。支持批量快速部署，1分鐘上線使用。

華為EDR獨(dú)有黑科技

談晶在宣講過(guò)程中演示了華為終端檢測(cè)與響應(yīng)EDR的最新黑科技——“加密文件恢復(fù)”專利技術(shù)，該技術(shù)可以使EDR產(chǎn)品支持一鍵恢復(fù)勒索加密文件，即當(dāng)用戶遭受勒索軟件加密時(shí)依然可以恢復(fù)到加密前文件，并自動(dòng)化清理勒索垃圾文件。那么該技術(shù)究竟厲害在哪里？

通常勒索文件加密速度極快，如LockBit家族可在4分鐘加密10萬(wàn)個(gè)文件，針對(duì)不斷變異進(jìn)化的勒索軟件，確保數(shù)據(jù)零損失需要做到以下三點(diǎn)核心能力包括：

內(nèi)核級(jí)監(jiān)控?

內(nèi)核層監(jiān)視真實(shí)勒索病毒對(duì)文件的所有細(xì)粒度動(dòng)作，并抽象到備份邏輯，融入驅(qū)動(dòng)程序，勒索加密場(chǎng)景覆蓋完整。

勒索全進(jìn)程回滾?

全面覆蓋勒索病毒的多進(jìn)程加密行為，自動(dòng)化提取多進(jìn)程勒索病毒的文件操作順序, 并提煉出規(guī)則, 支持勒索病毒全進(jìn)程鏈自動(dòng)化逆修改。

觸發(fā)式文件100%備份?

本技術(shù)是按事件觸發(fā)備份, 只有當(dāng)非信任進(jìn)程修改用戶重要文件時(shí), 內(nèi)核層才會(huì)將該文件備份到保護(hù)區(qū)內(nèi)，備份單文件時(shí)長(zhǎng)<10ms，單終端內(nèi)存<5M，CPU無(wú)感知，數(shù)據(jù)0損失。

產(chǎn)品發(fā)布后，客戶反響熱烈，紛紛前往華為安全展臺(tái)體驗(yàn)EDR實(shí)物演示。?

談晶在接受當(dāng)?shù)孛襟w采訪時(shí)表示，本次華為終端檢測(cè)與響應(yīng)系統(tǒng)EDR新產(chǎn)品將進(jìn)一步增強(qiáng)華為云網(wǎng)邊端一體化防御閉環(huán)能力。該產(chǎn)品部署在終端，可以全量感知網(wǎng)絡(luò)訪問(wèn)、進(jìn)程文件操作、系統(tǒng)調(diào)用等行為，依靠終端和云端的強(qiáng)大算力和智能算法，分析出海量事件里面的異常行為和威脅，從而端到端保護(hù)企業(yè)數(shù)字資產(chǎn)，為金融、制造、教育、醫(yī)療等千行百業(yè)數(shù)字化發(fā)展提供堅(jiān)實(shí)基石。

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！