自 “WannaCry”勒索病毒发作以来，，，，，慢慢淡出视线的病毒问题釉祓头在各企事业单元大面积肆虐，，，，，据国度互联网应急中心颁布的2018年度安全态势汇报统计，，，，，CNCERT 捕获勒索软件近 14 万个，，，，，整年总体出现增长趋向，，，，，沉要行业关键信息基础设施逐步成为勒索软件的沉点攻击指标，，，，，其中，，，，，当局、医疗、教育、钻研机构、造作业等行业成为沉灾区。。。。。。。。若何有效进行防备病毒成为网络安全工作中亟待解决的难题。。。。。。。。本文旨在通过对病毒关键问题的分析，，，，，援手用户更全面梳理病毒防御系统的建设思路，，，，，同时提出全发国际网络病毒定位防护全流程解决规划。。。。。。。。

问题一：为什么这两年病毒在各沉点行业大面积发作？？？？？？？

对于病毒攻击者来说，，，，，主题诉求是利益获取。。。。。。。。以往的病毒攻击事务，，，，，大部门以数据盗取为主，，，，，同时通过数据倒卖等伎俩进行变现。。。。。。。。受限于数据精准获取及变现渠路限度，，，，，更多以单点安全事务为主，，，，，很难形成规模发作效应。。。。。。。。而近几年随着虚构钱币的鼓起，，，，，病毒攻击变现变得极度单一和荫蔽，，，，，攻击者只有把握了资源的可用性，，，，，就能够借助网络钱币急剧变现，，，，，巨大利益驱策下导致以“勒索病毒”、“挖矿病毒”为代表的病毒不休舒展。。。。。。。。

问题二：为什么有杀毒软件、IPS、防火墙等安全防护措施，，，，，病毒依然泛滥？？？？？？？

杀毒软件、IPS、防火墙等传统防护伎俩，，，，，固然必不成少，，，，，但均属于以特点库为主题的被动防护规划，，，，，在病毒防护的现实利用场景中，，，，，面对“时效、单点、溯源”三大主题问题。。。。。。。。

1、防护时效的滞后

基于特点库的防御伎俩，，，，，对于病毒的防御均会经历：① 新病毒出现② 样本采集 ③ 厂商解读④特点提取⑤ 特点库更新⑥ 用户端更新 ⑦ 病毒检测与查杀，，，，，七个步骤。。。。。。。。这个周期通常在数幼时至数天之间。。。。。。。。时效的天然滞后性，，，，，在应对频仍变种病毒时成效往往不尽如人意。。。。。。。。据CNCERT统计，，，，，2018年整年勒索软件 GandCrab 更新了19 个版本，，，，，且由于勒索病毒性质的特殊性，，，，，一旦被习染，，，，，即便后续特点库更新，，，，，也可能造成无法添补的损失。。。。。。。。

另表受限于用户网络环境中，，，，，各厂商特点库差距、设备无法联网、更新授权过期等各类成分限度，，，，，即便是已知病毒也会造成严沉中伤。。。。。。。。以发作两年多的WannaCry首个版本病毒为例，，，，，在2019年好多的用户网络中依然被发现，，，，，这让人们意识到仅仅依附传统被动防御规划已经无法满足日益凸起的病毒防护需要。。。。。。。。

2、单点防护，，，，，系统幽微

在无数的用户网络中，，，，，时时以部署杀毒软件为唯一的病毒规划措施。。。。。。。。全发国际以为，，，，，杀毒软件作为病毒入侵的最后一路樊篱，，，，，必不成少，，，，，但却远远不够，，，，，一旦杀毒软件被突破，，，，，出格是新型的病毒，，，，，则会直接碰触到业务系统及数据。。。。。。。。病毒防护必须依赖于全面的防护思路，，，，，通过多层、多维的防护措施，，，，，构建齐全的病毒防护系统。。。。。。。。

3、入侵难以溯源

溯源问题一向是安全防护中极度关键的一环，，，，，找到安全问题的源头，，，，，从底子上予以解决，，，，，能力预防陷入救火式的工作模式钟祝。。。。。。。而传统的以查杀为主的防备规划，，，，，并无法找到病毒入侵的源头，，，，，网络和系统的脆弱点依然存在，，，，，时时被沉复利用，，，，，造成病毒问题周而复始。。。。。。。。若何进行溯源系统建设是病毒防护中极度沉要的一环。。。。。。。。

问题三：若何成立合理、有效的病毒防御的系统，，，，，实现病毒问题可管可控。。。。。。。。

在病毒防护系统建设时，，，，，我们必要分析病毒入侵的性质。。。。。。。。虽病毒类型各别，，，，，但从病毒入侵的过程是存在共性的，，，，，这与洛克希德-马丁公司提出的“网络杀伤链”理论十吩祯合。。。。。。。。即整个入侵过程，，，，，通常会经历窥伺跟踪、兵器构建、载荷投诉、缝隙利用、装置植入、号令与节造、指标达成七个阶段，，，，，每个阶段均会有对应的行为或特点，，，，，可用于进行检测防护。。。。。。。。当然对应的最有效检测防护技术伎俩也不一致，，，，，在越早的杀伤链环节发现和阻止攻击，，，，，病毒防护成效就越好，，，，，建复和功夫成本就越低，，，，，而绝非只有到装置植入后，，，，，才进行染指检测防护，，，，，不然所做的防护工作往往事倍功半。。。。。。。。

问题四：凭据网络杀伤链为领导，，，，，每个阶段应具备什么样病毒防护能力，，，，，全发国际能够提供什么样的规划？？？？？？？

从每个阶段所带来的影响分析，，，，，在网络杀伤链的前三个阶段进行有效监测防护，，，，，是病毒防护的最佳阶段，，，，，此时病毒还未对业务造成内容的影响，，，，，监测防护工作所带来的价值最为显著，，，，，下面我们通过分歧阶段的分析，，，，，提供合理的防护规划建议。。。。。。。。

1、窥伺跟踪阶段

重要指标：攻击者搜索指标主机的弱点

常用伎俩：高危端口探测、恶意缝隙扫描、身份凭证尝试等

关键问题：若何对可疑的探测行为急剧的捕获和判断？？？？？？？

全发国际解决之路：

① RG-DDP 动态防御：通过虚构大量虚伪主机，，，，，急剧诱导捕获探测行为，，，，，构建病毒入侵的急剧监测机造，，，，，同时扩大攻击面、耽搁被入侵时长，，，，，降低攻击成功概率。。。。。。。。由于不选取特点库，，，，，天然解决了特点库模式时效问题。。。。。。。。

② RG-BDS 分析平台+ 流量探针：除了基于“安全特点”，，，，，还可依附“行为模型”去发现未知威胁和攻击，，，，，脱节特点库时效的约束。。。。。。。。

2、载荷投送阶段

重要指标：造作一个恶意法式工具，，，，，并投送到指标主机

常用伎俩：恶意邮件链接、网站页面垂钓、远程登录等

关键问题：若何对网络传输文件进行急剧深度检测。。。。。。。。

全发国际解决之路：

① RG-Sandbox 沙箱：支持在各类虚构环境仿照运行文件和URL，，，，，凭据运行了局而非特点去判断威胁，，，，，对可疑文件进行仿照运行检测，，，，，所以不仅能检测到已知威胁，，，，，还能够检测到未知威胁。。。。。。。。

② 流量探针：文件还原检测，，，，，结合威胁谍报辅助，，，，，实现对文件的还原、检测、存储，，，，，援手用户进行威胁溯源。。。。。。。。

③ RG-WALL 1600系列下一代防火墙：基于CPU+ASIC 架构设计，，，，，结合本地库和云端库，，，，，提供实时更新的壮大 AV病毒检测能力。。。。。。。。

3、缝隙利用及装置植入阶段

重要指标：利用主机存在的缝隙，，，，，运行植入恶意法式

常用伎俩：恶意缝隙扫描利用

关键问题：若何精准评估缝隙风险，，，，，让安全加固更具备针对性

全发国际解决之路：

① RG-BDS安全大数据分析平台+ RG-SCAN缝隙评估系统，，，，，实现攻击与缝隙的自动关联，，，，，让缝隙不仅仅是孤立的存在，，，，，与现实现网情况动态调整风险，，，，，让安全加固更具备针对性。。。。。。。。

② 全发国际网络与火绒安全等终端杀毒软件厂商成立合作生态，，，，，实现整体病毒防护规划能力整合，，，，，让网络监测与终端检测有效融合。。。。。。。。

4、号令与节造阶段

重要指标：攻击者成立节造系统的蹊径

常用伎俩：C&C 回连、僵尸网络

关键问题：若何在网络流量中发现异常的号令节造链接

全发国际解决之路：

RG-BDS+探针+威胁谍报协同，，，，，实现对C&C 回连通讯、僵尸网络等威胁的检测，，，，，发现病毒威胁。。。。。。。。

通过以上整体病毒防护系统的建设，，，，，让病毒防护形成整体防护效应，，，，，通过各阶段多层、多维的监测防护技术，，，，，实现从病毒入窃祓头到实现整体过程的监测防护，，，，，解决时效、单点、溯源的三大难题。。。。。。。。

必要强调的是，，，，，以上各阶段的组件可通过RG-BDS大数据安全平台协同联动，，，，，实现病毒整体阶段定位分析，，，，， 也可单独工作，，，，，实现各阶段病毒定位防护，，，，，全发国际提供的是一种整体规划，，，，，更是一种病毒防护的建设思路，，，，，让安全建设不只是安全设备的盲目垒砌，，，，，援手用户构建整体安全防护系统。。。。。。。。