在安天“反勒索新抓手 依托执行体治理升级勒索防护能力”主题分享会上，安天的工程师在分享中提到，勒索病毒在端点侧的防护难点主要包括三个方面：首先，基于文件静态特征检测的方式，无法及时检出新型病毒；其次，现阶段勒索病毒的加密技术在快速迭代与提升，由简单粗暴到精细化作业，传统防御机制常常失效；最后，用户环境中缺乏完善的端点安全防护机制，单纯依靠病毒防御，而不从根本上缩小受攻击面，依然会给主机带来极大的安全风险。因此，任何依靠单一的防护措施已很难取得理想的防御效果。

为此，智甲家族产品通过多年的防勒索知识积累，针对勒索攻击构建了“五层防御，两重闭环”的专属防护解决方案，最终实现为不同类型终端提供多层次、全周期的动态防护效果。

智甲防勒索解决方案

图 智甲终端防护系统防护勒索病毒原理示意图

五层防御即系统加固、（主机）边界防御、扫描过滤、主动防御、文档安全五个防御层次，主要机理如下：

1. 系统加固：智甲通过资产清点采集主机执行体信息，帮助用户对自身资产形成有效认知。通过基线核查快速发现异常配置，针对风险项进行加固处理。脆弱性方面，实现对系统配置脆弱点的检查修补和系统自身安全策略调整等，从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面，削弱漏洞利用的成功率；

2. 主机边界防御：在边界侧，智甲通过分布式主机防火墙和介质管控功能，拦截扫描、入侵数据包，阻断攻击载荷传输，拦截U盘、光盘等插入自动运行，使勒索攻击难以获得主机入口；

3. 扫描过滤：智甲集成了安天自研的AVL SDK威胁检测引擎。相较传统杀毒引擎，该引擎针对勒索行为构建专属动态防护机制，能力覆盖1300余个家族，58万余个变种，近2000万的样本数。可在短时间内，评估病毒的感染范围，追查最初来源和传播路径，一键清除，让攻击无法有效达成；

4. 主动防御：智甲基于内核驱动持续监控进程等内存对象操作行为动作，研判是否存在持久化、提权、信息窃取等攻击动作，判断是否存在批量读写、删除、移动文件或扇区等操作，并通过文件授信（签名验证）机制，过滤正常应用操作动作以降低误报；

5. 文档安全：针对重要文件，智甲支持在系统的高敏感区域执行定时备份机制，并通过内核技术进行隐藏，避免客户在日常使用时误操作。同时部署多组诱饵文件并实时监测，诱导勒索病毒优先破坏，达成欺骗式防御效果。

凭借上述机理，辅以执行体治理能力组件，实现安天家族产品的交叉联动，逐步持续提升执行体治理成熟度，全面保障用户免受勒索攻击威胁，形成面向从勒索到高级威胁（APT）的纵深安全防线。

用户价值

1. 主机环境塑造

有效梳理用户资产状况，建立更完善的台账，明确归属责任主体。基于最小化原则，定期基线排除和风险评估，关闭不必要端口。细致划分各个区域，限制恶意访问，对主机暴露面和脆弱性进行管控，缩小主机受攻击面。

2. 勒索威胁响应

通过安天自研的AVL SDK威胁检测引擎，对各类勒索行为进行自动化检测和拦截。且支持远程一键全网追溯，隔离感染设备。通过感染范围分析生成恶意行为攻击路径，方便用户快速排查并处置。

3. 数据安全保护

对高价值路径文件进行实时备份。即便勒索行为落地，也可以立即进行还原，保证业务系统稳定。在关键及随机路径生成诱饵文件，一旦发现勒索加密行为，立刻告知管理人员，及时应对突发事件，保护重要文件不被勒索。

除了传统的主机侧，云上也同样面临复杂多样的勒索攻击威胁，下一篇文章将具体介绍《安天睿甲云上勒索防护解决方案》。