2024年HiSec Endpoint智能终端安全系统报告

HiSec Endpoint智能终端安全系统 主编:吴兴勇陈姝 版权声明 主编:吴兴勇陈姝主要参与人员:刘水赵洁席友缘朱雯娟杨晓芬徐志超熊永鑫发布日期:2024-09-10发布版本:01 版权所有©华为技术有限公司2024。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 主编简介 吴兴勇：2011年加入华为，长期从事数据通信产品文档开发工作，曾参与《华为防火墙技术漫谈》一书的编写。 陈姝：华为数据通信安全营销工程师，2021年加入华为，具有丰富的安全产品及解决方案管理和营销工作经验。当前主要负责安全产品和安全解决方案的上市工作。 本书内容 本书介绍HiSec Endpoint智能终端安全系统的产生背景、方案架构、优势与价值，并在此基础上阐述HiSec Endpoint智能终端安全系统的工作原理和典型场景，帮助大家更深刻地理解其独特优势和应用场景。 读者对象 本书适合对终端安全及其应用场景感兴趣，或是在数字化转型中的对网络安全有业务诉求的读者。 第1章简介.........................................................................................................................1 1.1网络安全建设面临的挑战........................................................................................11.2HiSec Endpoint智能终端安全系统.......................................................................2 2.1威胁感知全..................................................................................................................52.2威胁检测准..................................................................................................................72.3威胁处置优...............................................................................................................10 第3章工作原理...............................................................................................................11 3.1全栈数据采集...........................................................................................................113.2病毒查杀与处置.......................................................................................................143.3勒索检测与处置.......................................................................................................173.4挖矿检测与处置.......................................................................................................233.5无文件攻击检测与处置.........................................................................................27 3.6钓鱼木马检测与处置..............................................................................................293.7溯源取证....................................................................................................................30 第4章典型场景...............................................................................................................34 第1章简介 摘要 本章主要介绍网络安全建设面临的挑战，以及HiSec Endpoint智能终端安全系统的基本架构。 1.1网络安全建设面临的挑战 随着数字化的不断深入，企业越来越依赖网络通信技术以满足其业务需求，与此同时，企业面临的网络安全风险也越来越大。从近几年现网安全运营和安全报告披露的数据来看，勒索、挖矿、蠕虫、窃密和远控木马依然活跃，并呈现出隐蔽性、多样性的特点。这些恶意软件的入侵手段不断翻新，融合了更复杂的技术，因此检测这些恶意软件的难度与日俱增。终端作为业务和数据的计算载体，是各类威胁锁定的最终目标，面临更多的安全风险，往往也是整个网络安全防护流程中最薄弱的环节。面对不断演进的新型网络威胁攻势下，以单向防御和管控为核心的终端防护已无力应对，攻击者不仅可以从外部入侵，还可以直接从企业内部发起攻击，导致终端感染甚至威胁扩散，造成企业重大经济损失。 企业终端安全面临着严峻的挑战，是网络安全建设的重点关注对象。 未知威胁不断涌现，应对难 随着威胁手段和攻击技术的不断提高，企业频频遭受未知威胁攻击，例如无文件攻击、勒索变种、高级持续性威胁等。然而传统反病毒产品仅采用威胁特征库匹配技术，基于已知样本提取病毒特征，只能识别已知威胁，无法有效应对不断涌现的新型威胁。 威胁事件无法溯源，分析难 企业网络每天遭受很多网络探测、攻击尝试，但哪些是真正的攻击，产生了什么影响却难以判断。通过终端进行溯源是最有效手段，但传统终端安全产品记录或上报数据有限，忽视攻击路径分析，无法对威胁事件进行事后溯源，企业不能感知威胁事件发生的原因和过程。因此，管理员无法根据威胁发生原因制定对应的防御策略，不能从根本上阻断威胁，导致同类威胁事件重复发生。 缺乏统筹分析能力，难以形成全链路防御 新型恶意软件采用多跳攻击渗透到内网终端，单向、点状的防御和检测已经无法应对。云端、边界、终端有效协同形成从点到全链路的防御体系至关重要。为了提升防御效果，企业客户往往需要部署5个以上不同安全厂商的产品，但跨厂商、跨系统的产品缺乏全局统筹分析能力，无法形成有效的全链路防御体系，难以准确识别威胁并进行全链路防御。 1.2 HiSec Endpoint智能终端安全系统 传统终端安全产品已无法解决未知威胁应对难、溯源分析难、统筹分析差等问题，华为在深入分析终端安全建设困境后，创新推出了HiSec Endpoint智能终端安全系统。该系统致力于在网络空间抵御新型威胁攻击，作为安全的锚点和托底，整合大数据安全深度分析能力，深度协同，形成感知、检测、判定和处置等多层面的自适应防御闭环系统，同时依托HiSec Endpoint Agent（下图显示为EDR Agent）统一终端平台，以小身材，撬动安全大乾坤，架构如图1-1所示。 HiSec Endpoint智能终端安全系统在云端提供资产管理、威胁检测和溯源处置功能，在终端部署HiSec Endpoint Agent，具体功能如下。 资产管理：提供自动化终端资产清点能力，统筹管理终端信息并进行多维资产风险评估，实时感知资产状态。威胁检测：提供终端全攻击路径威胁检测能力，基于海量数据库和智能检测算法，能够检出常规签名无法检测到的恶意样本，发现多种WAF（Web ApplicationFirewall，网站应用程式防火墙）绕过手段，对抗未知和变种威胁，并对检出的风险进行自动阻断。溯源处置：提供攻击可视化能力，对威胁事件进行精确的溯源分析，支撑威胁事件深度清理。HiSec Endpoint Agent：需要安装到企业的每一台终端上，主要负责收集并上报终端上的租户登录、进程运行/创建、目录/文件访问日志、DNS（DomainName System，域名系统）请求等信息，并执行预置的主动防御策略和云端下发的指令。 第2章优势与价值 摘要 本章主要介绍HiSec Endpoint智能终端安全系统的优势与价值，包括威胁感知全、威胁检测准、威胁处置优。 2.1威胁感知全 HiSec Endpoint智能终端安全系统通过轻量级HiSec Endpoint Agent采集的数据全面感知终端存在的威胁。HiSec Endpoint Agent支持分钟级批量部署上线，实时防护CPU占用小于1%，内存占用小；它基于可信进程树、白名单自学习和威胁图降噪专利技术，能够在各类数据采集无损的条件下，去除80%以上的噪声和冗余数据，帮助HiSec Endpoint智能终端安全系统多维度全面感知威胁。HiSec EndpointAgent采集数据的特点如图2-1所示。 数据完整性 在终端防护场景中涉及到检测、处置、溯源、取证等多方面操作，数据完整性尤为重要，HiSec Endpoint Agent与传统EPP（Endpoint Protection Platform，终端防护平台）产品的重要差异之一是数据采集的能力满足了进程调用链构建、威胁图的构建，包含了完整的事件主体信息，客体信息和行为的详细类型，使安全系统发现威胁后可分析、可处置、可溯源。 深度采集 随着安全对抗进入白热化阶段，基础的数据采集能力已经很难应对高级威胁，多种绕过、躲避手段层出不穷，因此必须持续获取攻防领地的制高点，并且可以动态应对变幻莫测的攻击手法。HiSec Endpoint Agent在恶意软件泛化行为上提供多种打点，从进程行为到线程行为，从文件行为到内存行为，由浅入深；在攻击路径上全段覆盖，从网络连接到爆破登录，从注册表变化到启动项增加，由粗到 细。同时为保证数据采集的有效性，为抵御绕过、篡改等对抗行为，HiSecEndpoint Agent也构建了进程、文件、注册表、服务等多方位的自身防护能力。 行为抽象 HiSec Endpoint Agent除常规的数据采集能力外，还包含由多种单独事件组合而成的复合行为采集能力，由内核采集、API调用采集等抽象而成。这种方式可以在不降低置信度的前提下，直接在采集器内部识别出行为异常，降低下游检测引擎规则的复杂程度。 高性能 在多种采集技术中，如