勒索病毒攻击链复杂，传统防护方案失效

勒索病毒的攻击链一般分为三大步：感染病毒、加密勒索、横向传播，首先进行病毒从外网到内网的感染，然后漏洞利用提权加密勒索，最后威胁横向持续扩散。面对复杂的勒索病毒攻击，传统的防护方案难以防住。

勒索病毒攻击链

病毒感染难预防：由于病毒更新快速，变种多，并使用无需落地到磁盘的无文件攻击方式；传统基于特征检测的杀毒软件无法及时察觉，难以发现。

加密勒索难定位：内网资产数量庞大，一旦被加密，传统防护方案网端割裂，无法联动并快速分析病毒的传播环节，定位到所有感染主机。

横向传播难控制：勒索病毒扩散速度快，即使检测出了勒索病毒，但无法找到感染的根因，无法控制，业务系统恢复后，也有可能再次感染。

整体上，勒索病毒攻击链复杂，每一阶段的攻击均存在防护难点，而传统的勒索防护方案往往只作用于其中的某一个阶段，在整个攻击链过程中，任何一环被突破，则满盘皆输。

勒索病毒全生命周期的闭环防御

Gartner定义了自适应安全3.0架构，包含终端安全的四个阶段、12个建议项，只有建议项被相应功能全部覆盖，才可以闭环终端安全防护。对于勒索病毒的防护，需要从提供预防、防御、检测与响应四个阶段进行全方面防御，为终端提供完善的勒索防护能力。

自适应安全3.0架构

预防：在病毒感染阶段，主动预测未来的攻击，预防终端被RDP爆破、漏洞利用钓鱼邮件等方式感染勒索病毒。

防护：在病毒加密阶段，实时监测终端恶意文件，并及时发现内网勒索病毒，实现对终端安全的实时防护。

检测：发现勒索病毒后，快速定位并隔离失陷主机，控制内网传播范围，避免反复感染。

响应：在横向传播阶段，进一步分析造成安全事件的原因，采取措施进行根除，尽快恢复业务正常运转。

深信服EDR，基于勒索攻击链的4-6-6三层立体防护

基于主流攻击方式的技术研究，以及勒索病毒攻击链原理分析，深信服终端检测响应平台EDR提供实现预防、防御、检测与响应的4-6-6三层立体防护，满足Gartner的安全要求，为终端提供全面、实时、快速、有效的安全防护能力，让勒索病毒无所遁形，保护组织终端业务安全。

4-6-6三层立体防护

4 层勒索入侵防御

深信服EDR通过漏洞检测与修复、安全基线检查、创新微隔离技术和人工智能引擎进行4层勒索入侵防御，提前识别系统脆弱面，并封堵勒索病毒攻击入口，预防勒索入侵给业务系统带来的安全隐患。

 6 级勒索反加密防护

通过防爆力破解防护、系统可信进程防护、目录可信进程防护、无文件攻击防护、勒索诱饵防护和远程登录保护，进行6级勒索反加密防护，对勒索病毒全流程的各种攻击手段进行针对性的对抗与防护，从而防范业务系统的核心数据被加密，保障用户的资产安全。

勒索诱饵防护及二次登陆认证

6 项勒索检测与响应

通过病毒检测与查杀、一键终端隔离、网端云联动、全网威胁定位、勒索解密工具、威胁百科分析进行勒索病毒的6项检测与响应，对勒索病毒进行全网快速定位、处置与阻断，避免交叉感染，阻止威胁爆破，减轻用户业务大面积瘫痪的风险。

与此同时，深信服EDR以124项的攻击技术覆盖面，通过赛可达实验室的ATT&CK威胁检测能力测评，能准确的识别各种攻击行为，为终端提供可靠的威胁防护能力。

赛可达实验室对ATT&CK威胁检测能力的测评认证

想体验

基于勒索病毒攻击链的4-6-6三层立体防护？

识别下方二维码，

即刻免费申请深信服EDR试用

此外，除了终端侧的勒索病毒立体防护，基于勒索病毒事件的全生命周期，深信服提出了集防御、检测、响应于一体的整体安全防御体系，针对勒索病毒的攻击特征和方式，通过拦截、查杀、监测、处置四个阶段对勒索病毒进行精准、快速的闭环处置，构建整体勒索病毒免疫力。