2024年HiSec Endpoint智能终端安全系统报告

HiSecEndpoint 智能终端安全系统 主编:吴兴勇陈姝 版权声明 主编:吴兴勇陈姝 主要参与人员:刘水赵洁席友缘朱雯娟杨晓芬徐志超熊永鑫发布日期:2024-09-10 发布版本:01 版权所有©华为技术有限公司2024。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 前言 主编简介 吴兴勇：2011年加入华为，长期从事数据通信产品文档开发工作，曾参与《华为防火墙技术漫谈》一书的编写。 陈姝：华为数据通信安全营销工程师，2021年加入华为，具有丰富的安全产品及解决方案管理和营销工作经验。当前主要负责安全产品和安全解决方案的上市工作。 本书内容 本书介绍HiSecEndpoint智能终端安全系统的产生背景、方案架构、优势与价值，并在此基础上阐述HiSecEndpoint智能终端安全系统的工作原理和典型场景，帮助大家更深刻地理解其独特优势和应用场景。 读者对象 本书适合对终端安全及其应用场景感兴趣，或是在数字化转型中的对网络安全有业务诉求的读者。 目录 第1章简介1 1.1网络安全建设面临的挑战1 1.2HiSecEndpoint智能终端安全系统2 第2章优势与价值5 2.1威胁感知全5 2.2威胁检测准7 2.3威胁处置优10 第3章工作原理11 3.1全栈数据采集11 3.2病毒查杀与处置14 3.3勒索检测与处置17 3.4挖矿检测与处置23 3.5无文件攻击检测与处置27 3.6钓鱼木马检测与处置29 3.7溯源取证30 第4章典型场景34 第1章 简介 摘要 本章主要介绍网络安全建设面临的挑战，以及HiSecEndpoint智能终端安全系统的基本架构。 1.1网络安全建设面临的挑战 随着数字化的不断深入，企业越来越依赖网络通信技术以满足其业务需求，与此同时，企业面临的网络安全风险也越来越大。从近几年现网安全运营和安全报告披露的数据来看，勒索、挖矿、蠕虫、窃密和远控木马依然活跃，并呈现出隐蔽性、多样性的特点。这些恶意软件的入侵手段不断翻新，融合了更复杂的技术，因此检测这些恶意软件的难度与日俱增。终端作为业务和数据的计算载体，是各类威胁锁定的最终目标，面临更多的安全风险，往往也是整个网络安全防护流程中最薄弱的环节。面对不断演进的新型网络威胁攻势下，以单向防御和管控为核心的终端防护已无力应对，攻击者不仅可以从外部入侵，还可以直接从企业内部发起攻击，导致终端感染甚至威胁扩散，造成企业重大经济损失。 企业终端安全面临着严峻的挑战，是网络安全建设的重点关注对象。 未知威胁不断涌现，应对难 随着威胁手段和攻击技术的不断提高，企业频频遭受未知威胁攻击，例如无文件攻击、勒索变种、高级持续性威胁等。然而传统反病毒产品仅采用威胁特征库匹配技术，基于已知样本提取病毒特征，只能识别已知威胁，无法有效应对不断涌现的新型威胁。 威胁事件无法溯源，分析难 企业网络每天遭受很多网络探测、攻击尝试，但哪些是真正的攻击，产生了什么影响却难以判断。通过终端进行溯源是最有效手段，但传统终端安全产品记录或上报数据有限，忽视攻击路径分析，无法对威胁事件进行事后溯源，企业不能感知威胁事件发生的原因和过程。因此，管理员无法根据威胁发生原因制定对应的防御策略，不能从根本上阻断威胁，导致同类威胁事件重复发生。 缺乏统筹分析能力，难以形成全链路防御 新型恶意软件采用多跳攻击渗透到内网终端，单向、点状的防御和检测已经无法应对。云端、边界、终端有效协同形成从点到全链路的防御体系至关重要。为了提升防御效果，企业客户往往需要部署5个以上不同安全厂商的产品，但跨厂商、跨系统的产品缺乏全局统筹分析能力，无法形成有效的全链路防御体系，难以准确识别威胁并进行全链路防御。 1.2HiSecEndpoint智能终端安全系统 传统终端安全产品已无法解决未知威胁应对难、溯源分析难、统筹分析差等问题，华为在深入分析终端安全建设困境后，创新推出了HiSecEndpoint智能终端安全系统。该系统致力于在网络空间抵御新型威胁攻击，作为安全的锚点和托底，整合大数据安全深度分析能力，深度协同，形成感知、检测、判定和处置等多层面的自适应防御闭环系统，同时依托HiSecEndpointAgent（下图显示为EDRAgent）统一终端平台，以小身材，撬动安全大乾坤，架构如图1-1所示。 图1-1HiSecEndpoint智能终端安全系统架构图 HiSecEndpoint智能终端安全系统在云端提供资产管理、威胁检测和溯源处置功能，在终端部署HiSecEndpointAgent，具体功能如下。 资产管理：提供自动化终端资产清点能力，统筹管理终端信息并进行多维资产风险评估，实时感知资产状态。 威胁检测：提供终端全攻击路径威胁检测能力，基于海量数据库和智能检测算法，能够检出常规签名无法检测到的恶意样本，发现多种WAF（WebApplicationFirewall，网站应用程式防火墙）绕过手段，对抗未知和变种威胁，并对检出的 风险进行自动阻断。 溯源处置：提供攻击可视化能力，对威胁事件进行精确的溯源分析，支撑威胁事件深度清理。 HiSecEndpointAgent：需要安装到企业的每一台终端上，主要负责收集并上报终端上的租户登录、进程运行/创建、目录/文件访问日志、DNS（DomainNameSystem，域名系统）请求等信息，并执行预置的主动防御策略和云端下发的指令。 第2章 优势与价值 摘要 本章主要介绍HiSecEndpoint智能终端安全系统的优势与价值，包括威胁感知全、威胁检测准、威胁处置优。 2.1威胁感知全 HiSecEndpoint智能终端安全系统通过轻量级HiSecEndpointAgent采集的数据全面感知终端存在的威胁。HiSecEndpointAgent支持分钟级批量部署上线，实时防护CPU占用小于1%，内存占用小；它基于可信进程树、白名单自学习和威胁图降噪专利技术，能够在各类数据采集无损的条件下，去除80%以上的噪声和冗余数据，帮助HiSecEndpoint智能终端安全系统多维度全面感知威胁。HiSecEndpointAgent采集数据的特点如图2-1所示。 图2-1HiSecEndpointAgent数据采集特点 数据完整性 在终端防护场景中涉及到检测、处置、溯源、取证等多方面操作，数据完整性尤为重要，HiSecEndpointAgent与传统EPP（EndpointProtectionPlatform，终端防护平台）产品的重要差异之一是数据采集的能力满足了进程调用链构建、威胁图的构建，包含了完整的事件主体信息，客体信息和行为的详细类型，使安全系统发现威胁后可分析、可处置、可溯源。 深度采集 随着安全对抗进入白热化阶段，基础的数据采集能力已经很难应对高级威胁，多种绕过、躲避手段层出不穷，因此必须持续获取攻防领地的制高点，并且可以动态应对变幻莫测的攻击手法。HiSecEndpointAgent在恶意软件泛化行为上提供多种打点，从进程行为到线程行为，从文件行为到内存行为，由浅入深；在攻击路径上全段覆盖，从网络连接到爆破登录，从注册表变化到启动项增加，由粗到 细。同时为保证数据采集的有效性，为抵御绕过、篡改等对抗行为，HiSecEndpointAgent也构建了进程、文件、注册表、服务等多方位的自身防护能力。 行为抽象 HiSecEndpointAgent除常规的数据采集能力外，还包含由多种单独事件组合而成的复合行为采集能力，由内核采集、API调用采集等抽象而成。这种方式可以 在不降低置信度的前提下，直接在采集器内部识别出行为异常，降低下游检测引擎规则的复杂程度。 高性能 在多种采集技术中，如文件事件采集、注册表事件采集、API调用采集，由于安插了众多采集点，性能成为数据采集技术挑战之一。HiSecEndpointAgent对此做了大量优化和创新，内核和用户态模块均内置过滤引擎，可针对主体、客体、行为等多元素进行高效过滤，在数据采集最前端实现筛选，并结合可信进程树和专利威胁图降噪技术，单终端数据上报可控制在20MB/天以下，保证关键数据不被丢弃，满足下游检测、防护业务的需求。 多平台支持 对于轻量化安全防护场景，HiSecEndpointAgent专为数据采集提供了精细化的开关控制，可有针对性地开启、关闭或者部分关闭采集功能，进一步降低资源消耗。在对带宽有限制时，也可达到灵活控制数据上报的目的。 数据完整性 除Windows平台外，HiSecEndpointAgent还支持Linux平台数据采集，以基于BPF（BerkeleyPacketFilter，伯克利包过滤器）的高性能数据采集为主，同 时兼顾差异化的操作系统版本，借助内核模块以及系统回调机制，在文件、进程、网络、DNS请求等多方面构筑数据采集及防护技术，为上层勒索、挖矿、木马、横向移动等检测和防护场景提供能力基础。 2.2威胁检测准 HiSecEndpointAgent集成第三代反病毒引擎、威胁溯源图引擎，能够对终端进行动态行为分析，极大提升未知威胁检出率。 第三代反病毒引擎：是华为自主研发的最新反病毒引擎，集成了专用的文件类型识别算法，可以快速、精确地识别上百种文件类型。同时通过对各类复杂文件进行全面深度解析，识别隐藏在原始文件中的恶意信息，即使攻击者通过深层混合压缩或者复合文档附件等手段隐藏病毒，在CDE病毒检测引擎检测下都无所遁形。 威胁溯源图引擎：华为独创威胁溯源图能够实时捕捉终端各类对象的访问行为链，拟合成网状行为“快照”，对威胁进行全链路上下文深度关联，层层分析可疑信息，溯源威胁根源，大幅提升未知恶意威胁检出率。 图2-2HiSecEndpointAgent威胁检测 2.3威胁处置优 HiSecEndpoint智能终端安全系统可联动边界防护与响应服务，进行威胁分析和封禁外部攻击源，为用户提供最优阻断方案，全方位抵御安全风险。HiSecEndpoint智能终端安全系统采用智能化技术，当攻击发生时，可自动挖掘同一攻击链上所有威胁事件，并对所有威胁事件提供一键快速处置方式。针对勒索病毒，HiSecEndpoint智能终端安全系统内置轻量级备份恢复机制，可以在检测到勒索攻击后，将被加密文件恰好恢复至加密前的状态，实现无损回滚。 第3章 工作原理 摘要 本章主要介绍HiSecEndpoint智能终端安全系统的工作原理。 3.1全栈数据采集 九层之台，起于垒土，数据采集决定终端安全防护的可行性和能力上限。HiSecEndpoint智能终端安全系统的全栈数据采集在实时监控与防护、威胁检测、威胁响应环节发挥着关键作用，实现威胁全面感知。 实时监控与防护 数据采集可以实时监控终端设备上的活动，包括但不限于进程操作、文件操作、注册表操作、网络连接等，把这些数据内容作为行为检测引擎的输入，就可以根据规则实现对主机的防护，即HIPS（Host-basedIntrusionPreventionSystem，主机入侵防御系统）。这是大部分终端安全防护软件具备的关键能力之一，而其 中的进程启动和文件操作又可以同病毒扫描引擎协同，实现病毒实时防护的基本能力。 威胁检测 通过数据采集的多种数据源，可以实现对恶意软件行为的抽象，