那么，面对勒索病毒的威胁，应该怎么做？

从攻击者的角度来看，无论发起多(duō)么复杂的勒索攻击，在网络中经历多(duō)少环节，采用(yòng)多(duō)少高级技术，这些攻击动作必须通过某一个或多(duō)个终端才能(néng)完成。因此，勒索病毒应对离不开对终端的安全防护：

1. 基于AI的多(duō)维度智能(néng)检测机制

在终端对所有(yǒu)文(wén)件行為(wèi)进行监控，在关键的访问时机触发文(wén)件检测，当发现是勒索病毒文(wén)件时，即进行阻断并清除。

基于文(wén)件的检测，深信服EDR构建了一个多(duō)维度、轻量级的漏斗型检测框架，包含文(wén)件信誉检测引擎、基因特征检测引擎、基于AI 技术的SAVE安全智能(néng)检测引擎、行為(wèi)引擎、云查引擎等。通过层层过滤，检测更准确、更高效，资源占用(yòng)消耗更低。

▲多(duō)维度漏斗型检测框架

其中，强力打造基于AI的SAVE安全智能(néng)检测引擎，作為(wèi)已知和未知勒索病毒的克星，具體(tǐ)的能(néng)力包括：

（1） 基于人工智能(néng)技术，拥有(yǒu)强大的泛化能(néng)力，能(néng)够识别未知病毒或者已知病毒的新(xīn)变种。

（2）对勒索病毒检测效果达到业界领先，包括影响广泛的 WannaCry、BadRabbit、GandCrab、Globelmposter等勒索病毒家族，SAVE可(kě)以全部检出和查杀。

▲轻量级人工智能(néng)检测引擎SAVE

2. 基于勒索病毒攻击链的主动防御

安全基線(xiàn)检查及修复

定期对终端进行身份鉴别、访问控制、入侵防范、恶意代码防范等策略进行合规性审查，提供修复或修复建议，从而实现主机加固，做好安全防范，防止暴力破解等方式被勒索病毒所入侵。

▲基線(xiàn)检查

防爆破检测和防御

终端上持续监控密码爆破行為(wèi)，发现爆破行為(wèi)，可(kě)以设置对特定IP 进行一段时间的自动封停，避免终端被爆破成功，从而阻止勒索病毒的入侵或传播。

微隔离与降低威胁影响面

通过对不同终端的精细化安全隔离，实现对不同部门间，不同角色间，不同业務(wù)系统间的安全域进行完善的安全隔离与细粒度的访问控制。

▲微隔离