一、需求分析

 

   医院的终端数量非常多，管理起来非常复杂，一旦出现安全事件，很容易发生横向攻击和跳板攻击，医院需要看清终端的安全状况，并能做好安全的管控，一旦在终端出现安全的问题后，可以及时查杀病毒，保障在终端的区域中，就能将病毒快速处置。

 

 

 

二、医院终端杀毒安全场景下的问题分析

 

   勒索病毒防御场景：为保障业务连续性，所以更新安全补丁的速度缓慢，在安全薄弱的同时，数据资产价值大，导致勒索病毒侵入严重，勒索金额远大于安全加固投资，主要有以下三大问题：

 

   1、轻易绕过传统防护：安全老三样传统防病毒，防火墙，入侵检测都部署情况下依然被勒索；

 

   2、威胁爆破式扩散：往往发现被勒索时，没有任何之前的预警，数百台终端一起爆发，横向扩散；

 

   3、漏洞攻击无法快速具备防护能力：0day漏洞，停更系统漏洞，不敢打实体补丁的漏洞，医院在不影响业务的正常开展的情况下，无法快速具备防护的能力。

 

 

三、深信服在医院终端杀毒安全场景下的解决方案：

 

   1、深信服终端检测与响应（EDR），以具有自主知识产权的创新型SAVE人工智能引擎为核心，通过预防、防御、检测、响应赋予终端更为精准、持续的检测、快速处置能力，应对高级威胁同时实施联动协同、威胁情报共享、智能响应机制，可以实现威胁快速检测、有效处置终端一系列安全问题，构建全新智能化的下一代终端安全系统。

 

   2、深信服终端检测与响应（EDR）可以做到终端主动防御：通过安全基线检查及修复，防爆破检测和防御，微隔离技术降低威胁侵入风险，降低威胁影响面，通过勒索诱捕方案，针对性查杀勒索病毒，主动防御，全面防护。

 

   3、深信服终端检测与响应（EDR）可以做到基于AI的智能检测：传统的基于规则库、黑白名单、签名、特征的技术，无法发现最新生成的随机域名，而机器学习则可以有效的进行检测。通过人工智能SAVE引擎的无特征鉴别技术，对勒索病毒及未知威胁进行实时检测，配合威胁情报，精确识别未知威胁。

 

   4、深信服终端检测与响应（EDR）可以做到持续监控终端行为：在终端对所有文件行为及进程，外联域名，URL，IP等关键信息进行监控，保障非法行为及时发现与制止，尤其是勒索病毒加密动作的制止。

 

   5、深信服终端检测与响应（EDR）可以做到全网威胁情报：威胁情报平台，每天实时分析来自互联网和深信服安全产品的海量数据，通过威胁情报平台中集成的关联分析与智能算法，能在第一时间发现潜在威胁，并向深信服EDR推送防御能力。

 

四、深信服EDR在医院终端杀毒安全场景下的方案优势

 

   1、100%防勒索：基于勒索病毒攻击链，涵盖预防-防护-检测响应的4-5-6多层次立体防御，面对高级攻击，通过以AI为核心的多种针对性技术，构建自动化防御（勒索诱捕，AI引擎，RDP爆破防护等），用户无需繁复设置。

 

   2、减少威胁影响面：微隔离让东西向流量可视可控，封堵端口，一键隔离终端。

 

   3、全球威胁情报同步：2个5分钟，安全云脑5分钟实时同步全球威胁，5分钟EDR具备防护能力（具备快速病毒查杀框