ما هي حماية مكافحة التصيد من Cato؟

نظرة عامة

لا يزال التصيد أحد الأسباب الرئيسية لسرقة بيانات الاعتماد وتوزيع البرامج الضارة، حتى في المنظمات التي تنشر الحماية المتقدمة للبريد الإلكتروني والبرامج التصفح. يواصل المهاجمون تطوير تقنياتهم لتجاوز ضوابط الأمان واستغلال ثقة المستخدم.

توفر Cato طبقات شاملة من خدمات الأمان، بما في ذلك حماية الويب والسحابة والوصول إلى الشبكة بثقة صفرية (ZTNA) لاكتشاف ومنع محاولات التصيد، وتقليل تعرض المستخدم، ومساعدتك في تحديد وإصلاح الهجمات بسرعة.

يمكنك إدارة وتصور جميع الاكتشافات والسياسات والأحداث المتعلقة بالتصيد في تطبيق إدارة Cato (CMA). توفر الواجهة الموحدة الارتباط بين البيانات من خدمات مثل جدار الحماية الإنترنت وIPS وحماية DNS وعزل التصفح عن بُعد (RBI) ووسيط أمان الوصول للسحابة (CASB) وZTNA. تبسيط هذه الرؤية المدمجة التحقيق في التصيد والاستجابة له، مما يسمح لك بمراجعة الحوادث وتحليل النشاط وتحديث السياسات بدون التبديل بين الأدوات.

على سبيل المثال، إذا حظرت IPS أو حماية DNS مجال تصيد، فإن XOps يعرض الحدث المرتبط كجزء من قصة التصيد. ثم يمكنك تتبع الهجوم عبر الخدمات وتطبيق السياسات المحدثة، وكل ذلك داخل CMA.

ما هي هجمات التصيد؟

تعتبر هجمات التصيد واحدة من أكثر الطرق فعالية لاختراق المستخدمين والتسلل إلى المنظمات. يستخدم المهاجمون النطاقات الخادعة وصفحات تسجيل الدخول المزيفة والهندسة الاجتماعية لجمع بيانات الاعتماد أو تسليم البرامج الضارة، وغالبًا ما يتظاهرون بأنهم علامات تجارية موثوقة أو خدمات سحابية. تتضمن هذه الحملات في كثير من الأحيان رسائل بريد إلكتروني مزيفة أو مواقع ويب احتيالية مصممة لتبدو مثل شركات شرعية مثل مايكروسوفت أو AWS أو آبل، وتخدع المستخدمين لإدخال تفاصيل تسجيل الدخول الخاصة بهم أو الموافقة على طلبات خبيثة.

تستغل حملات التصيد الحديثة بشكل متزايد المنصات السحابية ومنصات التعاون، مما يجعل من الصعب على أدوات الأمان التقليدية اكتشاف النشاط الخبيث وحظره. يتكيف المهاجمون بسرعة، باستخدام الأتمتة والتشفير للهروب من الاكتشاف ولإخفاء الاتصال بالبنية التحتية للتحكم.

تحديات اكتشاف التصيد

تستمر حملات التصيد في التطور، مستغلة العلامات التجارية الموثوقة والخدمات السحابية. تشمل تحديات الاكتشاف الشائعة:

  • النطاقات المسجلة حديثًا (NRDs): يقوم المهاجمون بتسجيل وإلغاء النطاقات بسرعة للهروب من أنظمة السمعة

  • إساءة استخدام SaaS: المحتوى الخبيث المستضاف على خدمات التعاون أو التخزين الشرعية

  • تشفير TLS: يخفي الحمولات وروابط التصيد في حركة المرور المشفرة

  • رؤية مجزأة: تجعل المنتجات النقطية المنفصلة من الصعب ربط الاكتشافات وفهم التدفق الكامل للهجوم

كشف ومنع التصيد

تفحص Cato جميع حركة مرور WAN والإنترنت والوصول عن بُعد في الخط لكل PoP. تحدث اكتشاف وحجب التصيد من خلال خدمات أمان مدمجة تعمل بالتوازي داخل الكومة الموحدة.

تشمل الحمايات الأساسية مع خدمة Cato العادية. تتطلب الحماية من التهديدات والحماية المتقدمة من التهديدات وCASB وXOps كل منها ترخيصًا منفصلاً.

الحمايات الأساسية

  • جدار الحماية على الإنترنت: يستخدم فلاتر URL تستند إلى الفئة والسمعة، يتم تحديثها باستمرار من خلال عدّة تغذيات معلومات تهديد، لحظر الوصول إلى نطاقات التصيد المعروفة أو المحتملة. يمكنك تعريف واستيراد مؤشرات التسوية المخصصة (IoCs) لتحسين تغطية الاكتشاف لحملات التصيد المستهدفة أو الناشئة

  • ZTNA (الوصول إلى الشبكة بثقة صفرية): يفرض أقل امتياز للوصول إلى التطبيقات الداخلية والسحابية عبر الضوابط القائمة على الهوية. تشمل ميزات ZTNA التحقق من الهوية، وفحوصات الامتثال للأجهزة، والاتصال الدائم الذي يضمن توثيق جميع الجلسات ومراقبتها في الوقت الفعلي

  • فحص TLS: يفك تشفير ويعيد تشفير جلسات HTTPS في PoP، مما يتيح فحص روابط URL المشفرة والنماذج والبرامج النصية لاكتشاف صفحات التصيد المخفية داخل حركة مرور TLS

مقالات ذات صلة: 

منع التهديدات

  • حماية IPS وDNS: اكتشاف وحجب حملات التصيد باستخدام مؤشرات التسوية، التحليل التجريبي، ونماذج الذكاء الاصطناعي التي تحدد النطاقات الخطيرة أو الخادعة وصفحات تسجيل الدخول المستنسخة. حماية DNS تمنع طلبات DNS قبل إنشاء اتصال مع الخادم الخبيث - مما يمنع إجراء أي مصافحات TCP أو UDP

مقالات ذات صلة: 

أمثلة: Cybersquatting وحزم التصيد

  • Cybersquatting: تحمي Cato ضد النطاقات التي تم إنشاؤها عمدًا لتكون مشابهة للعلامات التجارية أو الخدمات الشرعية (على سبيل المثال، micros0ft-login.com)، والتي تخدع المستخدمين لإدخال بيانات الاعتماد الخاصة بهم. تعلّم المزيد في هذه المدونة: Cato Networks تضيف حماية من مخاطر Cybersquatting

  • حزم التصيد: يتعرف IPS أيضًا على النشاط المتعلق بحزم التصيد - مجموعات الأدوات المعبأة مسبقًا التي يستخدمها المهاجمون لأتمتة إنشاء صفحات تسجيل دخول مزيفة وبنى سرقة البيانات. تعلّم المزيد في هذه المدونة: كيتات التصيد المخادعة: Cato Networks تحليل متعمق ودفاع في الوقت الفعلي

منع التهديدات المتقدمة (ATP)

  • RBI (العزل عن بعد للمتصفح): ينفّذ جلسات التصفح للمواقع غير الموثوقة أو المجهولة في حاوية سحابية آمنة. يمنع إرسال بيانات الاعتماد وتنفيذ البرامج النصية، ويحمي المستخدمين الذين يزورون مواقع مشبوهة تتهرب من طبقات الاكتشاف الأخرى

مقالات ذات صلة: 

CASB - التحكم في التطبيقات

يوفر وسيط أمان الوصول إلى السحابة من Cato (CASB) الرؤية والتحكم في التطبيقات السحابية والـ SaaS، مما يساعدك في تحديد مخاطر التصيد ومنع اختراق الحسابات.

  • التحكم في التطبيقات: يستخدم الضوابط المضمنة لتطبيق السياسات على تطبيقات SaaS المعتمدة ويراقب نشاط التطبيقات غير المعتمدة من خلال تكاملات API. يساعد CASB في اكتشاف المخاطر المتعلقة بالتصيد مثل المشاركة الملفية المزيفة والروابط الخبيثة أو أذونات OAuth غير المصرح بها داخل أدوات التعاون السحابية

  • التحكم في التطبيقات عبر API: يوفر الرؤية والحكم على حركة المرور خارج النطاق، ومراقبة أنشطة المستخدم في تطبيقات SaaS المعتمدة حتى عندما لا تمر الحركة من خلال سحابة Cato

مقالات ذات صلة: 

مثال: العيش خارج السحابة

يساعد CASB من Cato في الحماية ضد حملات التصيد التي تؤدي إلى تواصل البرمجيات الخبيثة مع خوادم التحكم التي تستضيفها منصات سحابية شرعية مثل Google Drive أو Trello، وهي تقنية تعرف باسم العيش خارج السحابة. غالبًا ما يتم السماح بهذه الخدمات افتراضيًا في العديد من المؤسسات ويمكن أن تتفادى الدفاعات التقليدية ضد التصيد التي تعتمد على تصفية URL أو سمعة IP.

  • قيود المستأجر: تطبيق قيود المستأجر لمنع الوصول إلى التطبيقات السحابية غير المعتمدة أو الشخصية، وضمان أن الحسابات المعتمدة فقط هي التي يمكن الوصول إليها

  • ضوابط مستوى النشاط: فرض ضوابط لحظر الإجراءات ذات الخطورة العالية، مثل تحميل الملفات أو الوصول إلى الخدمات السحابية عبر العملاء غير المصرح بهم، لمنع المهاجمين من استغلال الخدمات السحابية الموثوقة لاستخراج البيانات أو إصدار أوامر عن بُعد إلى الأنظمة المخترقة

  • لمزيد من المعلومات، شاهد هذا الفيديو

XOps 

XOps هي خدمة التحليلات المتقدمة وارتباط الأحداث من Cato. يعمل على دمج البيانات من جميع محركات الأمان لتحديد أولويات وتوفير سياق للأحداث المتعلقة بالتصيد. من خلال تقديم هذه الرؤى كقصص مرتبة وتحليلات سلوكية، يتيح لك XOps اكتشاف، تحقيق، ومعالجة نشاط التصيد بشكل أكثر فعالية في CMA.

  • قصص الأمان: ربط اكتشافات التصيد في سرد موحد للتحليل

    يمكنك أيضًا اتخاذ خطوات للتصدي للتهديدات المتعلقة بالتصيد مباشرة من داخل القصة، مثل إلغاء الجلسة للمستخدمين عن بعد أو إدراج الهدف في حاوية تحظرها قاعدة جدار الحماية

  • UEBA: يكتشف أنماط تسجيل الدخول غير المعتادة أو الحركة الجانبية بعد محاولة التصيد، مما يساعدك على تحديد الحسابات المخترقة واحتواء النشاط بعد الهجوم

مقالات ذات صلة: 

حماية الهوية والسلوك

تعزز قدرات هوية وسلوك Cato مقاومة التصيد عن طريق تقليل التعرض وتقليل تأثير سرقة بيانات الاعتماد. تفرض هذه الميزات التحقق من المستخدم، وامتثال الجهاز، وأقل خيارات الوصول لضمان أن المستخدمين المصادق عليهم والآمنين فقط يمكنهم الاتصال بالموارد المؤسسية.

التوعية للمستخدم

يربط إطار التوعية للمستخدم من Cato جميع الأنشطة عبر المنصة بهويات المستخدمين المصادق عليهم. سياسات الوصول المستندة إلى الهوية والرؤية في CMA تتيح لك تتبع النشاط المرتبط بالتصيد إلى حسابات محددة وتطبيق تقسيم مستهدف للاحتواء.

لمزيد من المعلومات، انظر التوعية للمستخدم

المصادقة وضوابط الوصول

تعتمد هجمات التصيد غالبًا على بيانات الاعتماد المسروقة. تخفف Cato هذا الخطر من خلال التكامل مع مزودي الهوية المؤسسية لتسجيل الدخول الأحادي (SSO) والمصادقة متعددة العوامل (MFA). يتم فرض سياسات الوصول ديناميكيًا في PoP بناءً على هوية المستخدم، موقف الجهاز، والسياق لمنع إعادة استخدام بيانات الاعتماد والحركة الجانبية.

لمزيد من المعلومات، انظر IdP تسجيل الدخول الأحادي

الامتثال والتحقق من موقف الجهاز

تتحقق Cato من أن الأجهزة المتوافقة والمدارة فقط هي التي يمكنها الاتصال بالموارد المؤسسية. قبل منح الوصول، يتحقق النظام من موقف الجهاز (البرامج الأمنية، نظام التشغيل، التكوين) ويمنع النقاط النهائية غير المتوافقة لضمان أن الأجهزة التي قد تكون تعرضت للاختراق لا يمكن استخدامها في حملات التصيد.

لمزيد من المعلومات، انظر سياسة اتصال العميل (موقف الجهاز).

التحقيق في نشاط التصيد

يوفر CMA رؤية موحدة للنشاط المتعلق بالتصيد من خلال تجميع الاكتشافات من جميع محركات الأمان في Cato، بما في ذلك جدار الحماية الإنترنت وIPS وحماية DNS وRBI والوصول عن بُعد ومراقبة النشاط المشبوه (SAM). يستخدم CMA المعلومات السحابية على نطاق واسع من Cato لتحسين دقة اكتشاف التصيد بشكل مستمر وتحديد سلوكيات الهجوم الناشئة.

التحقيق في الأحداث

يمكنك التحقيق في الأحداث المتعلقة بالتصيد في CMA باستخدام مرشحات سياقية مثل المستخدم والتطبيق والموقع لتحديد الاكتشافات المرتبطة. توفر عمليات البحث الطبيعية والتقارير المالية وصولًا سريعًا إلى أحداث التصيد.

تشمل لوحات المعلومات والتقارير الرئيسية لوحة الأمان، لوحة التطبيقات، تقارير نشاط المستخدم، وتقارير التهديد، والتي تسلط الضوء على نطاقات التصيد، وتقديم بيانات الاعتماد المتكررة، ونشاط المستخدم الخطير.

التحقيق مع XOps

يوفر XOps ارتباطات متقدمة وتحليلات الحوادث التي تبسط تحقيقات التصيد. يجمع اكتشافات من عدة محركات أمان، بما في ذلك IPS، وDNS Protection، وRBI، وSAM، ويربطها في قصص أمان موحدة تعرض التسلسل كامل لهجمات التصيد الإلكتروني. تسلط قصص مشابهة الضوء على الهجمات ذات الصلة، وتسرع الملخصات التي تولدها الذكاء الاصطناعي في عمليات الفرز. يسمح التكامل مع أدوات مثل SentinelOne وMicrosoft Defender وCrowdStrike بتمديد السياق إلى النهايات لتحقيق التحقيق الموحد. لمزيد من المعلومات، انظر XOps Security Playbook - Phishing Website Attack.

مراقبة النشاط المشتبه (SAM)

يعزز SAM من اكتشاف وتصنيع هجمات التصيد من خلال تحديد سلوكيات الشبكة التي قد تشير إلى تهديدات ناشئة أو إساءة استخدام تتعلق بحملات التصيد. يكتشف الأنماط المرورية التي تطابق التوقيعات التي أنشأها فريق أبحاث الأمان في Cato، ويحدد النشاط الذي ينحرف عن سلوك المستخدم أو التطبيق المتوقع. على سبيل المثال، يمكن أن يعلّم SAM عن عمليات تقديم بيانات الاعتماد المتكررة إلى نطاقات غير معروفة، والطلبات الصادرة المشبوهة بعد محاولة التصيد، أو حركة المرور التي تتماشى مع الاتصال بأمر وتحكم.

لمزيد من المعلومات، انظر Monitoring Suspicious Activity with IPS (SAM).

تخفيف التصيد الإلكتروني عبر دورة حياة الهجوم

يخفف Cato من الهجمات التصيدية في كل مرحلة من مراحل دورة حياة الهجوم - من المحاولات الأولية للوصول إلى الأنشطة بعد الاختراق - عن طريق ربط الاكتشافات عبر محركات الأمان الخاصة به. يضمن هذا المنهج أن يتم حظر التهديدات في الوقت الفعلي وتعقبها، وتصنيعها، واحتواؤها من خلال الرؤية المتكاملة والأتمتة في CMA وXOps.

حظر الوصول

تمنع محركات الفحص الموضوعة من Cato المستخدمين بشكل استباقي من الاتصال بالبنية التحتية للتصيد، مما يقلل من التعرض قبل إنشاء الجلسة.

  • جدار حماية الإنترنت وحماية DNS: حظر الوصول إلى النطاقات المشبوهة أو الخطرة

  • IPS: حظر الوصول إلى مواقع التصيد الإلكتروني المعروفة وبنية جمع بيانات الاعتماد

حظر تقديم بيانات الاعتماد

يمنع Cato المستخدمين من تقديم بيانات الاعتماد إلى مواقع التصيد التي تتجاوز عوامل تصفية سمعة المجالات أو عناوين URL.

  • IPS: يكتشف الأنماط المدخلة للبيانات وهياكل صفحات التصيد في الوقت الفعلي

  • RBI: يعزل الجلسات الويب في حاوية آمنة، مما يمنع إدخال البيانات أو التفاعل مع النماذج النصية والتصيد

اكتشاف النشاط بعد الاختراق

يوفر Cato رؤية للنشاط الغير عادي الذي قد يشير إلى تصيد ناجح أو إساءة استخدام بيانات اعتماد، مما يساعدك في تحديد واحتواء المخاطر المحتملة بسرعة.

  • يولد SAM الأحداث عندما يلاحظ تكرار تقديم بيانات الاعتماد، أو اتصالات صادرة غير طبيعية، أو سلوك متوافق مع الاتصال بأمر وتحكم.

    على سبيل المثال، إذا تملص هجوم تصيد متطور من حماية أخرى، فإن مراقبة أحداث SAM يمكن أن تساعد في تحديد المضيف المصاب.

ربط أحداث التصيد مع XOps

توحد خدمة XOps البيانات المتعلقة بالتصيد من محركات الأمن المتعددة في عرض تحقيق واحد.

  • قصص الأمان: ربط الأحداث من IPS، وDNS Protection، وRBI، وSAM في سرد هجومي زمني

  • تحليل تقوده الذكاء الاصطناعي: يبرز الأسباب الجذرية، والمستخدمين المتضررين، والإجراءات اللاحقة

  • قصص مشابهة: تحديد الحملات المتكررة التي تستهدف نفس المؤسسة أو المستخدمين

إدارة استجابة وعمليات التصيد

يبسط Cato استجابة التصيد وسير العمليات التشغيلية من خلال مركزية التحقيق، والاحتواء، والتنسيق عبر محركات الأمن في CMA مع XOps. تتيح لك هذه النهج الموحدة إدارة الحوادث بكفاءة، وتسريع التصليح، وتقليل التأثير العام لهجمات التصيد.

إجراءات الاستجابة

يمكنك احتواء حوادث التصيد مباشرة من CMA لتقليل وقت الاستجابة وتقليل تأثير إساءة استخدام بيانات الاعتماد أو الحسابات المخترقة.

  • تحكمات المستخدم والجلسة: عزل المستخدمين المتأثرين وحجب الوصول الإضافي

    • المستخدمون عن بعد: إلغاء بيانات اعتماد المستخدمين المتصلين عبر عميل Cato لمنع الوصول المستمر من الحسابات المخترقة

    • المستخدمون خلف موقع: تعطيل المستخدمين المتأثرين وإنشاء قواعد جدار حماية WAN والإنترنت التي تحجب المستخدم المحدد كمصدر للمرور (يتطلب وعي المستخدم)

  • فرض السياسة: تحديث سياسات جدار الحماية للإنترنت والـ WAN في الوقت الحقيقي لحجب الاتصال بالنطاقات أو عناوين IP التي تم تحديدها حديثاً باعتبارها تهديداً للتصيد

  • تكامل متعدد المنصات: التكامل مع أدوات حماية النهايات مثل SentinelOne وMicrosoft Defender وCrowdStrike وCato Endpoint Protection (EPP)

    • يتم تضمين البيانات من هذه الأدوات EPP في سياق حدث CMA، مما يتيح لك عرض اكتشافات النهايات إلى جانب أحداث أمان شبكة Cato

  • ارتباط XOps: تتضمن قصص الأمن التابعة لـ XOps بيانات اكتشاف واستجابة النهاية (EDR)، مما يتيح رؤية متكاملة عبر طبقات الشبكة والنهاية

مقالات ذات صلة: 

عمليات سير العمل التشغيلية

يعمل CMA على تحسين عمليات الأمان من خلال أتمتة إدارة التنبيهات، والتحقيق، والمهام التقريرية.

  • التنبيهات المركزية: عرض، وتصنيف، وتحديد الأولويات للتنبيهات المتعلقة بالتصيد من جميع محركات الأمان في مكان واحد

  • تكاملات التنبيهات: إرسال تنبيهات تلقائية إلى منصات التعاون مثل Slack وServiceNow أو البريد الإلكتروني لتسريع التصعيد والتتبع

  • مراجعات الأحداث: مراجعة أحداث التصيد، بما في ذلك اكتشافات SAM وIPS، لتحديد الاتجاهات وتحسين الدقة

  • تقارير تتضمن بيانات التصيد: إنشاء تقارير تلخص النشاط المتعلق بالتصيد، مثل تقرير أحداث الأمان، تقرير تحقيقات XOps، وتقرير اكتشافات XOps، لدعم الرؤية التشغيلية والتقرير التنفيذي

مقالات ذات صلة: 

الحمايات التكميلية

تعمل الحمايات التكميلية من Cato جنبًا إلى جنب مع دفاعات التصيد لتوفير أمان كامل عبر البيانات والنهايات والأجهزة المتصلة. تحمي هذه الخدمات من فقدان البيانات، عدوى البرامج الضارة، واستغلال إنترنت الأشياء التي يمكن أن تحدث أثناء أو بعد هجوم التصيد. كل حماية تتطلب ترخيصًا منفصلاً.

  • DLP: يساعد في منع محاولات الاستيلاء على البيانات التي قد تتبع هجوم التصيد

  • Cato EPP: يكتشف ويحجب البرمجيات الخبيثة أو الأحمال الأخرى التي يتم توصيلها عبر متجهات التصيد

  • أمان إنترنت الأشياء: يحمي الأصول المدارة لإنترنت الأشياء ويحدد الأجهزة غير المدارة التي يمكن استغلالها عقب حدوث التصيد

DLP

يحمي محرك DLP من Cato المعلومات الحساسة من أن يتم استخراجها بعد محاولة التصيد. لمزيد من المعلومات، انظر What is the Cato DLP Service?.

  • فرض DLP ضمن السطر: يقوم بفحص جميع المرور للكشف عن المعلومات الحساسة ويمنع التحويلات غير المصرح بها خارج المؤسسة

  • المراقبة خارج نطاق: يستخدم الموصلات المعتمدة على الواجهة البرمجية لمراقبة نشاط البيانات والمشاركة ضمن التطبيقات السحابية المصرح بها، حتى عند عدم مرور المرور عبر سحابة Cato

  • الرؤية: يوفر بيانات الأحداث في CMA لمراجعة وفرض انتهاكات سياسة معالجة البيانات

Cato EPP

يحمي Cato Endpoint Protection (EPP) النهايات عن طريق اكتشاف وحجب البرمجيات الخبيثة والأحمال التي يتم توصيلها عبر التصيد دون الاعتماد على فحص حركة المرور بواسطة PoP. يضمن هذا الحصول على حماية مستمرة، حتى عند العمل خارج سحابة Cato. لمزيد من المعلومات، انظر البدء مع حماية نقاط النهاية من Cato (EPP).

  • منع التهديدات المحلية: يكتشف ويحجب الملفات الخبيثة والنصوص البرمجية والأحمال قبل تنفيذها

  • تحليل السلوك: يحدد العمليات المشبوهة والنشاط المشابه للفدية الناتج عن هجمات التصيد

  • تكامل CMA: يرسل تنبيهات النهايات والبيانات المراقبة إلى CMA للرؤية المركزية، مما يتيح لك التحقيق في البرمجيات الخبيثة المتعلقة بالتصيد إلى جانب بيانات الشبكة والهوية

أمان آي أو تي و أو تي

  • اكتشاف الجهاز: يحدد تلقائيًا جميع أجهزة آي أو تي و أو تي المتصلة بالشبكة

  • مراقبة السلوك: يكتشف الأنماط الاتصالية غير الطبيعية، مثل الأجهزة التي تحاول الاتصال بنطاقات تحت السيطرة التصيدية أو الأمر والتحكم

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات