华为终端检测与响应系统（EDR）新品发布，勒索全进程回滚等黑科技引爆全场

在福州举办的2023年国家网络安全宣传周网络安全博览会期间，华为重磅发布了全新安全产品——终端检测与响应系统 （EDR），在网络安全大讲堂上，华为带来最新的安全建设理念和创新防御技术，现场华为展台提供了实物演示环境，让广大参会者近距离体验新品EDR在防勒索、防挖矿等场景的实际应用效果。

华为数据通信产品线EDR产品经理谈晶发表了《华为终端检测与响应（EDR）守护客户关键数字资产》的精彩演讲。

华为EDR对客户的关键价值

谈晶就华为在终端侧安全的最新研发成果，从威胁防御的多个维度向参会者做了一一介绍，展示了华为终端检测与响应EDR对客户的三大关键价值：

● 为企业构建贯穿威胁攻击全链路的自防御体系，以EDR为锚点，撬动端、网、云大安全，把安全技术和专家知识作用到威胁事件全过程，并融合到安全工作流，有效提升企业自动化、智能化防御水平，平衡防御实效和成本。

● 将防御线前移，从传统事后发现提前到事前预测、事中实时拦截，最大程度减少企业数据资产风险。事前，主动收敛攻击面，基于海量威胁信息预测和评估终端风险；事中，深入内核层监控，从应用、系统到内存多维分析，创新第三代AV引擎CDE、专利威胁溯源图行为分析利器，实现毫秒级检测，实时阻断（未知勒索挖矿远控窃密木马检测平均领先近30%检出），并具备shellcode、漏洞利用、无文件攻击等高级威胁检测能力，有效化解攻击模式进化快、免杀绕过、查不到、防不住的难题。

● 针对企业安全告警噪声高、难运维的困境，通过智能消噪无损收敛高价值信号，自动还原攻击链上下文；基于乾坤统一安全管理和分析平台，多安全APP可无缝协同，可一键响应和恢复，降低安全运营门槛，提升效率。

华为EDR差异化优势

发布会现场，谈晶展示了与业界Top友商的实测对比，华为终端检测与响应EDR相对于业界产品具备明显优势，主要体现在以下三点：

● 未知恶意病毒检测

第三代AV引擎CDE，融合AI和Emulator微内核引擎，独创威胁溯源图行为检测，未知勒索、挖矿、远控、窃密木马、0-day检出率平均领先友商30%；（赛可达测试检测率99.96%，勒索检出100%，0误报）。

● 威胁事件聚合与处置

独有智能降噪技术，90%降噪率，减少人工分析依赖；基于威胁溯源图还原攻击链, 云边端自动协同响应和恢复，自动处置率90%（业界60%），专利文件实时恢复技术，即使文件被加密勒索也能一键回滚还原。

● 轻量化、易部署

EDR平均CPU资源占用<1%，杀毒实时防护CPU占用领先友商4~9倍，内存低于业界20%~50%，自适应动态调整资源占用，保证终端不卡顿。支持批量快速部署，1分钟上线使用。

华为EDR独有黑科技

谈晶在宣讲过程中演示了华为终端检测与响应EDR的最新黑科技——“加密文件恢复”专利技术，该技术可以使EDR产品支持一键恢复勒索加密文件，即当用户遭受勒索软件加密时依然可以恢复到加密前文件，并自动化清理勒索垃圾文件。那么该技术究竟厉害在哪里？

通常勒索文件加密速度极快，如LockBit家族可在4分钟加密10万个文件，针对不断变异进化的勒索软件，确保数据零损失需要做到以下三点核心能力包括：

● 01内核级监控内核层监视真实勒索病毒对文件的所有细粒度动作，并抽象到备份逻辑，融入驱动程序，勒索加密场景覆盖完整。

● 02勒索全进程回滚

全面覆盖勒索病毒的多进程加密行为，自动化提取多进程勒索病毒的文件操作顺序, 并提炼出规则, 支持勒索病毒全进程链自动化逆修改。

● 03触发式文件100%备份

本技术是按事件触发备份, 只有当非信任进程修改用户重要文件时, 内核层才会将该文件备份到保护区内，备份单文件时长<10ms，单终端内存<5M，CPU无感知，数据0损失。

产品发布后，客户反响热烈，纷纷前往华为安全展台体验EDR实物演示。

谈晶在接受当地媒体采访时表示，本次华为终端检测与响应系统EDR新产品将进一步增强华为云网边端一体化防御闭环能力。该产品部署在终端，可以全量感知网络访问、进程文件操作、系统调用等行为，依靠终端和云端的强大算力和智能算法，分析出海量事件里面的异常行为和威胁，从而端到端保护企业数字资产，为金融、制造、教育、医疗等千行百业数字化发展提供坚实基石。