那么，面對勒索病毒的威脅，應該怎么做？

從攻擊者的角度來看，無論發(fā)起多么復雜的勒索攻擊，在網絡中經歷多少環(huán)節(jié)，采用多少高級技術，這些攻擊動作必須通過某一個或多個終端才能完成。因此，勒索病毒應對離不開對終端的安全防護：

1. 基于AI的多維度智能檢測機制

在終端對所有文件行為進行監(jiān)控，在關鍵的訪問時機觸發(fā)文件檢測，當發(fā)現(xiàn)是勒索病毒文件時，即進行阻斷并清除。

基于文件的檢測，深信服EDR構建了一個多維度、輕量級的漏斗型檢測框架，包含文件信譽檢測引擎、基因特征檢測引擎、基于AI 技術的SAVE安全智能檢測引擎、行為引擎、云查引擎等。通過層層過濾，檢測更準確、更高效，資源占用消耗更低。

▲多維度漏斗型檢測框架

其中，強力打造基于AI的SAVE安全智能檢測引擎，作為已知和未知勒索病毒的克星，具體的能力包括：

（1） 基于人工智能技術，擁有強大的泛化能力，能夠識別未知病毒或者已知病毒的新變種。

（2）對勒索病毒檢測效果達到業(yè)界領先，包括影響廣泛的 WannaCry、BadRabbit、GandCrab、Globelmposter等勒索病毒家族，SAVE可以全部檢出和查殺。

▲輕量級人工智能檢測引擎SAVE

2. 基于勒索病毒攻擊鏈的主動防御

安全基線檢查及修復

定期對終端進行身份鑒別、訪問控制、入侵防范、惡意代碼防范等策略進行合規(guī)性審查，提供修復或修復建議，從而實現(xiàn)主機加固，做好安全防范，防止暴力破解等方式被勒索病毒所入侵。

▲基線檢查

防爆破檢測和防御

終端上持續(xù)監(jiān)控密碼爆破行為，發(fā)現(xiàn)爆破行為，可以設置對特定IP 進行一段時間的自動封停，避免終端被爆破成功，從而阻止勒索病毒的入侵或傳播。

微隔離與降低威脅影響面

通過對不同終端的精細化安全隔離，實現(xiàn)對不同部門間，不同角色間，不同業(yè)務系統(tǒng)間的安全域進行完善的安全隔離與細粒度的訪問控制。

▲微隔離