又一知名制造商業(yè)務(wù)癱瘓，如何才能“快準(zhǔn)好”處置惡性病毒？

近日，美國(guó)一知名GPS導(dǎo)航設(shè)備及運(yùn)動(dòng)穿戴設(shè)備制造商因遭受勒索病毒攻擊導(dǎo)致主要產(chǎn)品服務(wù)及網(wǎng)站癱瘓，影響全球大量用戶(hù)使用，甚至被勒索1000萬(wàn)美元。而不久前，歐洲能源巨頭剛遭受病毒攻擊，被黑客用10TB的竊密數(shù)據(jù)進(jìn)行威脅勒索。為何全球范圍內(nèi)的病毒攻擊事件屢見(jiàn)不鮮?

傳統(tǒng)病毒檢測(cè)方式存在弊端，難以應(yīng)對(duì)當(dāng)前惡性病毒

近年來(lái)病毒數(shù)量呈指數(shù)級(jí)增長(zhǎng)，病毒類(lèi)型層出不窮，給企業(yè)級(jí)用戶(hù)造成了很大的安全威脅。其中經(jīng)深信服千里目安全實(shí)驗(yàn)室分析，以影響業(yè)務(wù)連續(xù)性卻難以處置的惡性病毒影響尤為突出。

▲不同行業(yè)的主要惡性病毒類(lèi)型

此類(lèi)惡意病毒種類(lèi)多，變化快，且寄生在用戶(hù)業(yè)務(wù)系統(tǒng)的正常文件內(nèi)，處置難度極大。刪除文件導(dǎo)致用戶(hù)業(yè)務(wù)停止，不處置則全網(wǎng)泛濫。

而傳統(tǒng)病毒檢測(cè)采用的是基于靜態(tài)特征分析和規(guī)則匹配的方式，面對(duì)多變的惡性病毒，無(wú)論是檢測(cè)能力還是修復(fù)效果上，都存在明顯的不足。

▲傳統(tǒng)病毒檢測(cè)方式

1. 規(guī)則庫(kù)資源加重，檢測(cè)速度慢

隨著病毒數(shù)量、變種的增加，與之對(duì)應(yīng)的規(guī)則庫(kù)資源大，導(dǎo)致基于規(guī)則匹配的病毒檢測(cè)速度慢，性能消耗多，影響用戶(hù)的正常辦公。

2. 基于特征碼分析，漏報(bào)高

傳統(tǒng)基于特征碼分析的病毒檢測(cè)方式，其本質(zhì)是對(duì)文件的字節(jié)信息等靜態(tài)特征進(jìn)行匹配，像autoCAD這類(lèi)運(yùn)行時(shí)才大批量感染傳播的惡性病毒，無(wú)法基于靜態(tài)特征檢測(cè)。此外，新型病毒往往難以及時(shí)提取特征碼，導(dǎo)致檢測(cè)失效，漏報(bào)率高。

3.處置能力差，難以完全修復(fù)

傳統(tǒng)的殺毒軟件，即使在檢測(cè)出惡性病毒后，處置方式只能是刪除整個(gè)寄生文件，而無(wú)法修復(fù)被感染樣本。例如寄生在office文檔模板中的宏病毒，傳統(tǒng)修復(fù)方案往往需要把文檔中所有的宏均刪除，影響用戶(hù)的業(yè)務(wù)連續(xù)性。

以AI對(duì)抗惡性病毒

針對(duì)傳統(tǒng)病毒檢測(cè)方式存在的弊端，企業(yè)級(jí)用戶(hù)需要更快更精準(zhǔn)的病毒檢測(cè)以及更細(xì)粒度無(wú)損的病毒處置。

1.更快更精準(zhǔn)的智能檢測(cè)

通過(guò)人工智能持續(xù)學(xué)習(xí)、自我進(jìn)化能力實(shí)現(xiàn)無(wú)特征檢測(cè)。一方面，無(wú)需依賴(lài)特征庫(kù)，解決檢測(cè)效率問(wèn)題;另一方面，基于AI的泛化能力，更精準(zhǔn)檢測(cè)新型惡性病毒或無(wú)靜態(tài)特征的病毒，解決漏報(bào)問(wèn)題。

2. 細(xì)粒度無(wú)損修復(fù)

基于病毒體進(jìn)行病毒處置，而非基于病毒寄生文件本身進(jìn)行處置修復(fù)，從而不影響正常業(yè)務(wù)。

基于AI，深信服EDR讓惡性病毒修復(fù)快準(zhǔn)好

深信服終端檢測(cè)響應(yīng)平臺(tái)EDR基于AI賦能，結(jié)合多維度、輕量級(jí)漏斗型檢測(cè)框架，通過(guò)文件信譽(yù)檢測(cè)引擎、基因特征檢測(cè)引擎、SAVE安全智能檢測(cè)引擎、行為引擎、云查引擎等引擎的層層過(guò)濾，惡性病毒檢測(cè)更快速更精準(zhǔn)。同時(shí)，根據(jù)不同惡性病毒，進(jìn)行代碼層級(jí)的細(xì)粒度修復(fù)，實(shí)現(xiàn)根本性無(wú)損修復(fù)。

1. 漏斗式檢測(cè)，檢測(cè)速度快

深信服EDR漏斗式的檢測(cè)機(jī)制，90%文件可被第一層引擎過(guò)濾，無(wú)需所有引擎并發(fā)檢測(cè)，檢測(cè)速度快，性能消耗低。同時(shí)，結(jié)合深信服安全云腦引擎的大數(shù)據(jù)分析，實(shí)現(xiàn)一臺(tái)發(fā)現(xiàn)威脅，全網(wǎng)感知，快速檢測(cè)出惡性病毒。

▲多維度漏斗型檢測(cè)框架

2. 基于AI引擎的泛化能力，病毒檢出準(zhǔn)

深信服SAVE安全智能檢測(cè)引擎利用深度學(xué)習(xí)技術(shù)，對(duì)數(shù)億維的原始特征進(jìn)行分析，結(jié)合安全專(zhuān)家領(lǐng)域知識(shí)，擁有強(qiáng)大的泛化能力。經(jīng)賽可達(dá)實(shí)驗(yàn)室對(duì)10198個(gè)流行病毒進(jìn)行查殺測(cè)試，在誤報(bào)率為零的前提下，產(chǎn)品檢出率高達(dá)99.86%。

3.基于代碼層級(jí)的細(xì)粒度修復(fù)，修復(fù)效果好

根據(jù)各類(lèi)惡性病毒的特點(diǎn)，精確識(shí)別被感染文件中的惡意代碼行，并進(jìn)行針對(duì)性的修復(fù)，由于只是處置病毒文件本身，而不改變?cè)募募衫^續(xù)使用，不影響業(yè)務(wù)的連續(xù)性。

▲惡性病毒修復(fù)方式對(duì)比

整體而言，基于AI賦能，漏斗型檢測(cè)框架，多維度的修復(fù)方式，深信服EDR提供快、準(zhǔn)、好的惡性病毒處置修復(fù)能力，大大減少對(duì)用戶(hù)的業(yè)務(wù)影響。截至目前，深信服EDR已經(jīng)廣泛應(yīng)用在政府、金融、教育、醫(yī)療、企業(yè)等諸多行業(yè)，部署端點(diǎn)超過(guò)400W+，全面保障政企事業(yè)單位的終端系統(tǒng)安全。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）