CSDN|实战 | 对抗外部威胁防护和勒索病毒，大厂怎么做？( 三 )

本文插图
(3) 安全需要能力不断升级，对抗APT风险
虽然网络设备和端点设备非常依赖样本特征，但如何保障企业限有投资应对未来未知的威胁也非常重要。基于大数据提供动态变化的威胁情报，应用多种创新技术手段加强抵御外部不断变化的高级威胁，包括预测、防御、响应和检测。
举个例子，我本地看到一个IP ，我不知道它是好是坏，但是我把这个IP传到云端，云端通过庞大的威胁校验机制判断该IP来自哪个国家、曾经攻击过哪个企业、IP关联的黑客家族、文件样本等。云端把IP信息告诉本地设备，从而确定该IP有害并加入黑名单，通过本地设备和云端实时互联，提高威胁情报检测能力，也是当前业界比较热门的方向。
当然威胁情报提炼会有各种技术，包括人工智能技术、流量分析技术、僵尸网络检测引擎等，最终企业面对勒索病毒、挖矿病毒、0day漏洞等高危攻击，可以持续的利用云端大数据情报进行应对。

本文插图
简单总结下该部分，深信服公司提出了三点概念用于安全体系建设，包括：

纵深保护
快速处置
能力升级

深信服安全建设之道
具体的建设过程提出了“网络+终端+云端”的体系化建设思路。通过网络终端实现纵深保护，云端和本地结合可视化展现风险及快速处置，并升级能力进行有效保护。日志可以统一发送给云端平台，云端再进行日志分析洞悉威胁，定位位置并给出处理建议。

本文插图
下图展示了网端云如何保障安全的框架，整个统一安全能力中心包括设备管理、数据分析和威胁处置，结合端点和网络进行双向溯源、智能联动的安全保护，具体能力涉及：

安全规则更新
全球威胁情报查询
勒索病毒响应
云端沙箱监测分析

本文插图
1.网的保护
使用下一代防火墙进行网的保护（L2-L7层网络风险全面防御），具体内容包括：

响应：联动EDR清除终端病毒、联动封锁攻击源
检测：黑链检测、Webshell后门检测、失陷主机检测模
防御：Web应用防护、入侵防御模块IPS、SAVE防病毒引擎、URL过滤及应用特征识别、ARP欺骗防御及DDoS防御
预防：误配置、弱口令、漏洞检查、资产梳理、端口开放检查

本文插图
优势如下：

优势一：基于人工智能的网络防病毒能力

通过人工智能有监督学习、无监督学习自动化地监控病毒的微小变化，包括主流及热点病毒防御、人工智能算法抵御未知病毒、不依赖特征更新和资源占用小。

本文插图
优势二：全面的Web防御能力
针对Webshell、网页木马、目录遍历、SQL注入、XSS攻击、跨站请求伪造等各种攻击防御，从而防止企业数据泄露、网页篡改、行政处罚、信誉受损。之前的检测方法是在SQL语句中寻找静态特征，但会存在很多误判或漏判的情况，目前采用基于语法词法分析的算法，从代码的执行含义层面进行分析，从而进行精确判断。