那麼，面對勒索病毒的威脅，應該怎麼做？

從攻擊者的角度來看，無論發起多麼複雜的勒索攻擊，在網絡中(zhōng)經曆多少(shǎo)環節，采用多少(shǎo)高級技術(shù)，這些攻擊動(dòng)作必須通(tōng)過某一個(gè)或多個(gè)終端才能完成。因此，勒索病毒應對離(lí)不開對終端的安全防護：

1. 基于AI的多維度智能檢測機制

在終端對所有文(wén)件行為進行監控，在關(guān)鍵的訪問(wèn)時機觸發文(wén)件檢測，當發現是勒索病毒文(wén)件時，即進行阻斷并清除。

基于文(wén)件的檢測，深信服EDR構建了一個(gè)多維度、輕量級的漏鬥型檢測框架，包含文(wén)件信譽檢測引擎、基因特征檢測引擎、基于AI 技術(shù)的SAVE安全智能檢測引擎、行為引擎、雲查引擎等。通(tōng)過層層過濾，檢測更準确、更高效，資(zī)源占用消耗更低。

▲多維度漏鬥型檢測框架

其中(zhōng)，強力打造基于AI的SAVE安全智能檢測引擎，作為已知和(hé)未知勒索病毒的克星，具體的能力包括：

（1） 基于人工智能技術(shù)，擁有強大的泛化能力，能夠識别未知病毒或者已知病毒的新變種。

（2）對勒索病毒檢測效果達到業(yè)界領先，包括影響廣泛的 WannaCry、BadRabbit、GandCrab、Globelmposter等勒索病毒家族，SAVE可(kě)以全部檢出和(hé)查殺。

▲輕量級人工智能檢測引擎SAVE

2. 基于勒索病毒攻擊鍊的主動(dòng)防禦

安全基線檢查及修複

定期對終端進行身份鑒别、訪問(wèn)控制、入侵防範、惡意代碼防範等策略進行合規性審查，提供修複或修複建議，從而實現主機加固，做好安全防範，防止暴力破解等方式被勒索病毒所入侵。

▲基線檢查

防爆破檢測和(hé)防禦

終端上持續監控密碼爆破行為，發現爆破行為，可(kě)以設置對特定IP 進行一段時間的自動(dòng)封停，避免終端被爆破成功，從而阻止勒索病毒的入侵或傳播。

微隔離(lí)與降低威脅影響面

通(tōng)過對不同終端的精細化安全隔離(lí)，實現對不同部門間，不同角色間，不同業(yè)務系統間的安全域進行完善的安全隔離(lí)與細粒度的訪問(wèn)控制。

▲微隔離(lí)