勒索病毒防得住嗎？對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，依靠現(xiàn)有的安全體系可能真的防不住，不少企業(yè)面對(duì)勒索病毒攻擊毫無(wú)招架之力。

究其原因，在終端上。以WannaCry勒索病毒為例。

WannaCry勒索病毒利用微軟SMB遠(yuǎn)程代碼執(zhí)行漏洞CVE-2017-0144（永恒之藍(lán)）進(jìn)行傳播，入侵用戶電腦后對(duì)文檔進(jìn)行加密，并彈出勒索框向用戶勒索贖金。不僅如此，WannaCry勒索病毒還將繼續(xù)攻擊網(wǎng)絡(luò)中的其他設(shè)備，并以指數(shù)級(jí)的速度擴(kuò)散。

隨著互聯(lián)網(wǎng)和云計(jì)算等技術(shù)廣泛應(yīng)用與企業(yè)中，企業(yè)終端管理的復(fù)雜程度也隨之上升；而多云時(shí)代的來(lái)臨進(jìn)一步加劇了企業(yè)終端的混亂度。毫無(wú)疑問(wèn)，這給企業(yè)安全防御帶來(lái)了巨大的挑戰(zhàn)，畢竟，企業(yè)終端存在漏洞難以避免。

具體而言，分為以下三點(diǎn)。

1，傳統(tǒng)特征殺毒失效

傳統(tǒng)病毒查殺技術(shù)大多依靠特征匹配，只要病毒存在相應(yīng)的特征即可被系統(tǒng)消滅。因此，想要擁有更完善的病毒查殺能力，那么企業(yè)必須擁有更大、更全的病毒特征庫(kù)；病毒特征庫(kù)越大，運(yùn)行所占資源也越來(lái)越多，最終會(huì)導(dǎo)致檢測(cè)效率降低、運(yùn)行所占資源多、最終導(dǎo)致用戶啟用。

由于新式病毒并未在特種庫(kù)中，所以傳統(tǒng)病毒查殺技術(shù)對(duì)于新式變種病毒往往束手無(wú)策。也就是說(shuō)，病毒特征查殺一方面消耗太多企業(yè)資源，另一方面難以抵御未知威脅，已不能滿足企業(yè)安全需求。

2，缺乏快速響應(yīng)機(jī)制

十幾年前，一個(gè)大客戶出現(xiàn)安全問(wèn)題也許會(huì)有十幾個(gè)安全人員前往應(yīng)急處理。如今，隨著企業(yè)信息化程度提高、企業(yè)信息化規(guī)模不斷擴(kuò)大，企業(yè)信息安全問(wèn)題應(yīng)急響應(yīng)缺乏相應(yīng)的人力資源支持，往往是一堆問(wèn)題等待著安全人員的應(yīng)急響應(yīng)。

伴隨著技術(shù)越來(lái)越成熟，勒索病毒逐漸趨于工具化、自動(dòng)化、產(chǎn)業(yè)化，大批量的勒索病毒開(kāi)始出現(xiàn)，給企業(yè)安全帶來(lái)嚴(yán)重負(fù)擔(dān)，對(duì)安全人員提出新的挑戰(zhàn)。因此，一款能夠自動(dòng)抵御勒索病毒攻擊的產(chǎn)品成為企業(yè)用戶新需求。

3，未實(shí)現(xiàn)一體化防護(hù)，管理運(yùn)維量大

隨著互聯(lián)網(wǎng)+深入各個(gè)行業(yè)，企業(yè)信息化程度越來(lái)越高，所擁有的終端種類、數(shù)量也在不斷增加，這無(wú)疑加重了企業(yè)管理運(yùn)維的量。此外，大多企業(yè)尚未實(shí)現(xiàn)一體化防護(hù)，所需防護(hù)終端類型多樣和單一的防護(hù)匹配關(guān)系形成鮮明對(duì)比，無(wú)法滿足PC、筆記本、Linux、Windows SVR等終端的普適性和兼容性要求。

反觀勒索病毒，只需尋找到存在漏洞的終端設(shè)備即可攻擊，并以此為跳板攻擊網(wǎng)絡(luò)中的其他設(shè)備。防御態(tài)勢(shì)和勒索攻擊呈現(xiàn)不對(duì)稱趨勢(shì)，想要實(shí)現(xiàn)完全防御勒索病毒攻擊對(duì)企業(yè)而言難度巨大。

這也是為什么在WannaCry病毒肆虐19個(gè)月后的今天，依舊有不少企業(yè)被WannaCry感染，這不能簡(jiǎn)單歸結(jié)于主觀因素，同樣也有客觀原因。

深信服終端安全產(chǎn)品部主管、首席安全技術(shù)專家鄒榮新給我們分享過(guò)一個(gè)小故事。

2017年5月，WannaCry勒索病毒攻擊事件爆發(fā)后，深信服第一時(shí)間組織研發(fā)團(tuán)隊(duì)為用戶提供一些對(duì)抗WannaCry勒索病毒的實(shí)用工具，如WannaCry免疫工具等；并在72小時(shí)內(nèi)，迅速迭代了十幾個(gè)版本。這些工具一推出便受到企業(yè)用戶追捧，數(shù)十萬(wàn)企業(yè)用戶在深信服官網(wǎng)下載這些工具。

這一行為至少可以得出兩個(gè)結(jié)論：1、企業(yè)用戶深受勒索病毒荼害；2、企業(yè)用戶對(duì)于防御勒索病毒有著強(qiáng)烈的需求。

面向未來(lái)，有效保護(hù) — 深信服下一代終端安全EDR

以勒索病毒為代表的安全態(tài)勢(shì)給企業(yè)安全帶來(lái)了新的需求；深信服安全秉承“面向未來(lái) 有效保護(hù)”的核心理念，提出下一代終端安全EDR（端點(diǎn)檢測(cè)與響應(yīng)），讓企業(yè)IT更簡(jiǎn)單、更安全、更有價(jià)值。

深信服下一代終端安全EDR主張以資產(chǎn)為中心，為企業(yè)提供精準(zhǔn)、持續(xù)的檢測(cè)能力，協(xié)同響應(yīng)幫助客戶快速處置問(wèn)題；以智能檢測(cè)、靈動(dòng)響應(yīng)、全面保護(hù)三大核心功能為下一代終端安全框架；為企業(yè)提供預(yù)警、防護(hù)、檢測(cè)、響應(yīng)等服務(wù)；保障信息資產(chǎn)的保密性、完整性、可用性達(dá)到預(yù)期要求。

深信服下一代終端安全EDR作為安全管理平臺(tái)能支持統(tǒng)一的終端資產(chǎn)管理、終端安全體檢、終端合規(guī)檢查，支持微隔離的訪問(wèn)控制策略統(tǒng)一管理，支持對(duì)安全事件的一鍵隔離處置，以及熱點(diǎn)事件 IOC 的全網(wǎng)威脅定位，歷史行為數(shù)據(jù)的溯源分析，遠(yuǎn)程協(xié)助取證調(diào)查分析。端點(diǎn)軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數(shù)據(jù)信息采集上報(bào)、安全事件的一鍵處置等。

除此之外，它還將大幅度減少企業(yè)安全人員、運(yùn)維人員的工作量。目前，大部分企業(yè)安全人員都處于人員結(jié)構(gòu)簡(jiǎn)單、安全人員身兼數(shù)職現(xiàn)象，工作內(nèi)容繁重且耗時(shí)長(zhǎng)。

深信服下一代終端安全EDR產(chǎn)品支持與下一代防火墻、安全感知平臺(tái)、上網(wǎng)行為管理等產(chǎn)品形成聯(lián)動(dòng)協(xié)同響應(yīng)，為企業(yè)構(gòu)建新一代的安全防護(hù)體系；這一點(diǎn)在抵御未知威脅方面體現(xiàn)的淋漓盡致。

EDR產(chǎn)品和安全云腦聯(lián)動(dòng)響應(yīng)，可關(guān)聯(lián)在線數(shù)十萬(wàn)臺(tái)安全設(shè)備的云反饋威脅情報(bào)數(shù)據(jù)，為未知威脅實(shí)時(shí)檢測(cè)提供強(qiáng)力支持；對(duì)不同業(yè)務(wù)、不同終端實(shí)行隔離訪問(wèn)控制，防止勒索病毒等未知威脅肆意傳播；與下一代防火墻、安全感知平臺(tái)、上網(wǎng)行為管理進(jìn)行關(guān)聯(lián)、檢測(cè)、取證、響應(yīng)、溯源等防護(hù)措施，為企業(yè)提供全方面防護(hù)。

多維度的智能檢測(cè)

傳統(tǒng)的病毒檢測(cè)技術(shù)使用特征匹配，使得病毒特征庫(kù)越來(lái)越大，運(yùn)行所占資源也越來(lái)越多，但卻難以滿足企業(yè)安全需求。

智能檢測(cè)作為深信服下一代終端安全EDR 的核心功能，包含 AI 技術(shù)的 SAVE 引擎、行為引擎、云查引擎、全網(wǎng)信譽(yù)庫(kù)等方面，形成AI智能、信譽(yù)庫(kù)、基因特征、行為分析等多梯度、全方面檢測(cè)分析，響應(yīng)速度更快速，資源占用更低消耗。

1、AI檢測(cè)引擎SAVE

SAVE 安全智能檢測(cè)引擎的強(qiáng)大在于它背后強(qiáng)大的算力、算法和數(shù)據(jù)。算力對(duì)于深信服而言不存在瓶頸問(wèn)題：無(wú)論自身強(qiáng)大的云計(jì)算能力，還是與英偉達(dá)深度合作，都賦予SAVE引擎無(wú)與倫比的算力。而深信服深耕安全行業(yè)多年，積累大量真實(shí)有效的企業(yè)級(jí)威脅的數(shù)據(jù)信息，在數(shù)據(jù)和算法方面更有天然優(yōu)勢(shì)。

至于深信服SAVE 安全智能檢測(cè)引擎能力究竟如何，我這里有一組數(shù)字：97.8%、99%、0.1%——未知病毒檢出率高達(dá)97.8%，對(duì)已知病毒檢出率高于99%，遠(yuǎn)遠(yuǎn)高于同行業(yè)平均水平；而0.1%不到的誤報(bào)率大大簡(jiǎn)化安全人員的工作量和決策度。

自我學(xué)習(xí)、自我進(jìn)化是SAVE 安全智能檢測(cè)引擎特定能力之一，這意味著SAVE會(huì)隨著深度學(xué)習(xí)的進(jìn)行而不斷成長(zhǎng)。隨著大量新式威脅不斷涌現(xiàn)，自我學(xué)習(xí)、自我進(jìn)化的能力將賦予SAVE更高的檢出率和更低的誤報(bào)率，更加貼合用戶安全需求，實(shí)現(xiàn)終端安全的防護(hù)、檢測(cè)和響應(yīng)。

2、無(wú)特征檢測(cè)技術(shù)

傳統(tǒng)意義上講，網(wǎng)絡(luò)攻擊涉及惡意軟件，攻擊者利用惡意軟件訪問(wèn)受害者的電腦，其后安裝具有破壞性的可執(zhí)行文件實(shí)施攻擊。一般而言，深信服下一代終端安全EDR只需要使用三、五條關(guān)鍵的行為特征，就能解決這類檢測(cè)問(wèn)題，從而實(shí)現(xiàn)了對(duì)未知威脅的檢測(cè)，對(duì)威脅攻擊的防護(hù)。

多維度靈動(dòng)響應(yīng)

眾多周知，企業(yè)安全防御體系是否完善主要有兩個(gè)最為直接的衡量指標(biāo)，即能否將威脅擋在門外以及能否對(duì)安全事件快速響應(yīng)。深信服下一代終端安全EDR靈動(dòng)響應(yīng)的兩大特色便是“多維度”和“快速”，也就是“靈”和“動(dòng)”。

“靈”代表著響應(yīng)是多維度的，在安全事件響應(yīng)時(shí)有著多項(xiàng)安全處置措施。如一鍵終端隔離、自動(dòng)隔離（當(dāng)某個(gè)終端出現(xiàn)問(wèn)題時(shí)，系統(tǒng)將自動(dòng)隔離，以防感染其他終端）；一鍵文件處置、一鍵文件修復(fù)（全方面保護(hù)文件安全）；全網(wǎng)威脅處置（保護(hù)企業(yè)安全）；主機(jī)微隔離、流量可視化（提供基于主機(jī)應(yīng)用之間的訪問(wèn)控制，可視化的安全訪問(wèn)策略配置）；第三方威脅情報(bào)社區(qū)協(xié)助處置、遠(yuǎn)程批量腳本執(zhí)行；以及全局白名單、全局IP黑名單。

“動(dòng)”代表著響應(yīng)速度快。通過(guò)安全云腦、終端設(shè)備、防御體系三者之間相互傳遞與接收熱點(diǎn)事件、威脅情報(bào)，自動(dòng)處置威脅情報(bào)，極大的縮短威脅駐留時(shí)間。

企業(yè)全面保護(hù)

深信服下一代終端安全EDR還將為企業(yè)提供全面保護(hù)，減少無(wú)效工作、體現(xiàn)運(yùn)維工作價(jià)值，其內(nèi)置全面檢測(cè)防護(hù)手段，實(shí)現(xiàn)企業(yè)全類型資產(chǎn)策略一體化。

1、入侵攻擊的主動(dòng)檢測(cè)

大多數(shù)勒索病毒或挖礦病毒攻擊往往是通過(guò)暴力破解進(jìn)行的，近段時(shí)間日益盛行的“黑客入侵+勒索”狙殺式“高危攻擊”便是這類攻擊的實(shí)踐應(yīng)用。深信服下一代終端安全EDR能夠主動(dòng)監(jiān)測(cè)暴力破解行為，并對(duì)發(fā)現(xiàn)攻擊行為的IP進(jìn)行封堵響應(yīng)。

2、基于 Web 后門的綜合檢測(cè)技術(shù)

傳統(tǒng)的 WebShell 文件檢測(cè)是基于特征碼的檢測(cè)技術(shù)，嚴(yán)重依賴于特征庫(kù)，無(wú)法杜抵御未知威脅的攻擊。深信服創(chuàng)新性的采用機(jī)器學(xué)習(xí)的檢測(cè)方法，不僅可以正確檢測(cè)出已有樣本，對(duì)于未知威脅有著良好的檢測(cè)效果。

深信服下一代終端安全EDR——多場(chǎng)景防護(hù)

近年來(lái)，EDR產(chǎn)品在全球信息安全行業(yè)中的熱度居高不下，不少頂級(jí)安全大會(huì)中也有相關(guān)的議題；如今國(guó)外EDR產(chǎn)品已趨于成熟，企業(yè)實(shí)際應(yīng)用場(chǎng)景也開(kāi)始明朗；相應(yīng)的，EDR產(chǎn)品在國(guó)內(nèi)市場(chǎng)的應(yīng)用也逐漸進(jìn)入狀態(tài)。

以深信服下一代終端安全EDR產(chǎn)品為例，給企業(yè)用戶提供等保合規(guī)、一體化防護(hù)、未知威脅防護(hù)、快速響應(yīng)處置、企業(yè)級(jí)運(yùn)維五大應(yīng)用場(chǎng)景，確保企業(yè)終端在不同場(chǎng)景切換時(shí)安全性不受影響，為企業(yè)提供全方面的安全防護(hù)。

1、等保合規(guī)

無(wú)論是在國(guó)內(nèi)還是在國(guó)外，等保合規(guī)都是企業(yè)必須要滿足的最基本條件。隨著網(wǎng)絡(luò)安全法和GDPR的實(shí)施，合規(guī)對(duì)于企業(yè)而言是一條紅線。

深信服下一代終端安全EDR深入于企業(yè)終端、內(nèi)網(wǎng)、存儲(chǔ)、業(yè)務(wù)之中，幫助企業(yè)貼合國(guó)家政策法規(guī)，滿足主機(jī)惡意代碼防范要求，基線檢查，確保終端安全合規(guī)；各區(qū)域安全保護(hù)措施共同組成企業(yè)安全防護(hù)體系。同時(shí)，EDR能為企業(yè)檢測(cè)查詢已知、未知威脅，對(duì)終端進(jìn)行全面防護(hù)。

2、一體化場(chǎng)景

互聯(lián)網(wǎng)時(shí)代。企業(yè)終端的種類和數(shù)量有一個(gè)質(zhì)的提升，主機(jī)、顯示器、PC以及各種移動(dòng)終端都已經(jīng)成為企業(yè)終端基本組成部分。不可統(tǒng)一防護(hù)、難以統(tǒng)一管理已是安全管理難點(diǎn)之一。

深信服下一代終端安全EDR提出全面適配、統(tǒng)一防護(hù)、一體化管理防御原則，對(duì)于企業(yè)各類終端不再區(qū)別對(duì)待，全年適配各種終端類型，統(tǒng)一基線、統(tǒng)一防護(hù)、進(jìn)行一體化管理。

3、未知威脅防護(hù)場(chǎng)景

對(duì)于企業(yè)而言，已知威脅并不可怕：有著相應(yīng)的解決方案，能夠做到威脅可控；而給企業(yè)造成嚴(yán)重?fù)p失的往往是未知威脅。

深信服下一代終端安全EDR通過(guò)有效預(yù)防、智能檢測(cè)、全面防護(hù)三個(gè)步驟，幫助企業(yè)抵御可能出現(xiàn)的未知威脅。在預(yù)防階段，通過(guò)賬號(hào)及密碼策略排查、全網(wǎng)威脅展示與定位等方法預(yù)防威脅；基于最小授權(quán)原則、給不同的業(yè)務(wù)和終端設(shè)置隔離訪問(wèn)控制，盡可能減少威脅出現(xiàn)的概率。

在智能檢測(cè)階段，EDR搭載人工智能SAVE引擎，無(wú)需進(jìn)行特征匹配，全平臺(tái)檢測(cè)未知威脅，并處置暴力破解、WebShell、僵尸網(wǎng)絡(luò)等威脅。

4、快速響應(yīng)處置場(chǎng)景

深信服下一代終端安全EDR依托靈動(dòng)響應(yīng)機(jī)制，可實(shí)現(xiàn)威脅自動(dòng)響應(yīng)。當(dāng)企業(yè)某一終端出現(xiàn)安全威脅時(shí)，威脅自動(dòng)上傳至EDR管理中心、安全感知平臺(tái)和安全云腦；而后，EDR將自動(dòng)下發(fā)處理威脅的指令，直至消滅威脅，解除警報(bào)。

5、企業(yè)級(jí)運(yùn)維場(chǎng)景

隨著企業(yè)信息化程度不斷提高，企業(yè)運(yùn)維管理難度也在增加：終端數(shù)量多、分布廣，類型多樣化，所需的專業(yè)的能力也越來(lái)越高。

針對(duì)這些痛點(diǎn)，深信服下一代終端安全EDR秉持著面向未來(lái)、有效保護(hù)的原則，全面防護(hù)總部、分支、服務(wù)器等終端。對(duì)維度持續(xù)檢測(cè)、響應(yīng)，減輕企業(yè)維護(hù)成本；同時(shí)，企業(yè)統(tǒng)一維護(hù)資產(chǎn)，責(zé)任落實(shí)到人，最大限度減輕企業(yè)運(yùn)維壓力。

后記

2002年，EDR相關(guān)概念及產(chǎn)品早已出現(xiàn)；然而，因?yàn)榧嫒菪砸约皩?duì)業(yè)務(wù)的影響，這類產(chǎn)品最終消失在人們視野中。

16年后，深信服推出了深信服下一代終端安全EDR，以前所未有的方式閃亮登場(chǎng)，并給企業(yè)帶來(lái)太多的驚喜。

深圳、北京、長(zhǎng)沙、硅谷四大研發(fā)中心，每年20%以上的收入投入，研發(fā)人員占比高達(dá)40%深信服創(chuàng)新研究院博士、博士后團(tuán)隊(duì)以及無(wú)數(shù)安全團(tuán)隊(duì)的付出......這些才是深信服下一代終端安全EDR能夠給企業(yè)帶來(lái)自動(dòng)化端點(diǎn)防御的原因，也是深信服一直堅(jiān)持的研發(fā)原則。

同時(shí)，深信服要求所有技術(shù)團(tuán)隊(duì)都必須深入到客戶中去，到一線上去。當(dāng)用戶出現(xiàn)安全事件時(shí)，鄒榮新要求用戶的響應(yīng)時(shí)間是“當(dāng)天”；這與深信服下一代終端安全EDR應(yīng)急響應(yīng)速度如出一轍。