那麽，面對勒索病毒的(de)威脅，應該怎麽做(zuò)？

從攻擊者的(de)角度來看，無論發起多麽複雜的(de)勒索攻擊，在網絡中經曆多少環節，采用多少高(gāo)級技術，這些攻擊動作必須通過某一(yī)個或多個終端才能完成。因此，勒索病毒應對離(lí)不開對終端的(de)安全防護：

1. 基于AI的(de)多維度智能檢測機制

在終端對所有文件行為(wèi)進行監控，在關鍵的(de)訪問時機觸發文件檢測，當發現是勒索病毒文件時，即進行阻斷并清除。

基于文件的(de)檢測，深信服EDR構建了一(yī)個多維度、輕量級的(de)漏鬥型檢測框架，包含文件信譽檢測引擎、基因特征檢測引擎、基于AI 技術的(de)SAVE安全智能檢測引擎、行為(wèi)引擎、雲查引擎等。通過層層過濾，檢測更準确、更高(gāo)效，資源占用消耗更低(dī)。

▲多維度漏鬥型檢測框架

其中，強力打造基于AI的(de)SAVE安全智能檢測引擎，作為(wèi)已知和(hé)未知勒索病毒的(de)克星，具體的(de)能力包括：

（1） 基于人工智能技術，擁有強大的(de)泛化能力，能夠識别未知病毒或者已知病毒的(de)新變種。

（2）對勒索病毒檢測效果達到業界領先，包括影響廣泛的(de) WannaCry、BadRabbit、GandCrab、Globelmposter等勒索病毒家族，SAVE可(kě)以全部檢出和(hé)查殺。

▲輕量級人工智能檢測引擎SAVE

2. 基于勒索病毒攻擊鏈的(de)主動防禦

安全基線檢查及修複

定期對終端進行身份鑒别、訪問控制、入侵防範、惡意代碼防範等策略進行合規性審查，提供修複或修複建議，從而實現主機加固，做(zuò)好安全防範，防止暴力破解等方式被勒索病毒所入侵。

▲基線檢查

防爆破檢測和(hé)防禦

終端上持續監控密碼爆破行為(wèi)，發現爆破行為(wèi)，可(kě)以設置對特定IP 進行一(yī)段時間的(de)自(zì)動封停，避免終端被爆破成功，從而阻止勒索病毒的(de)入侵或傳播。

微隔離(lí)與降低(dī)威脅影響面

通過對不同終端的(de)精細化安全隔離(lí)，實現對不同部門間，不同角色間，不同業務系統間的(de)安全域進行完善的(de)安全隔離(lí)與細粒度的(de)訪問控制。

▲微隔離(lí)