أفضل الممارسات لتطبيق منع تهديدات كاتو

نظرة عامة على خدمات أمن كاتو

تحتوي سحابة كاتو على خدمات أمنية قوية سهلة التكوين وتساعد في الحفاظ على أمان شبكتك. تشرح هذه المقالة التوصيات وأفضل الممارسات لخدمات منع التهديدات المختلفة.

تحتوي سحابة كاتو على طبقتين من الحماية لحسابك:

  • طبقة الوصول - تشمل الجدران النارية لحركة مرور الشبكة العريضة والإنترنت

  • طبقة الأمان - تشمل خدمات منع التهديدات من كاتو: مكافحة البرامج الضارة، NG مكافحة البرامج الضارة و IPS

تطبق سحابة كاتو القواعد في الجدر النارية لتحديد ما إذا كانت الحركة مسموحة أو محظورة. بالإضافة إلى ذلك، تقوم خدمات منع التهديدات بتحليل الحركة بحثًا عن البرامج الضارة والثغرات الأمنية القائمة على الشبكة والنشاط الشبكي الضار وغيره.

طبقة الوصول

يتم تفتيش كل تدفق شبكي بواسطة جدار الحماية للشبكة العريضة والإنترنت. يسمح جدار الحماية للشبكة العريضة لك بالسماح أو حظر الحركة بين الكيانات التنظيمية مثل المواقع والمستخدمين والمضيفين والشبكات الفرعية وغيرها. يتيح لك جدار حماية الإنترنت التحكم في الوصول إلى المواقع الإلكترونية والتطبيقات القائمة على الويب.

بشكل افتراضي، يستخدم جدار حماية كاتو للشبكة العريضة أسلوب الأبيض، ويسمح فقط بالحركة المعرفة بشكل صريح بواسطة قاعدة جدار الحماية ويحظر جميع الحركة غير المعروفة. يتحكم جدار حماية الإنترنت في الحركة الصادرة إلى الإنترنت ويستخدم أسلوب القائمة السوداء. القاعدة الأخيرة في جدار حماية الإنترنت هي قاعدة السماح الشاملة الضمنية، لذلك يجب عليك تحديد قواعد لحظر الاتصالات مع الإنترنت بشكل صريح.

منذ البداية، يحتوي نظام كاتو على العديد من الفئات المعرفة سابقًا التي تحتوي على عشرات الخدمات والتطبيقات للمساعدة في إدارة حركة الشبكة. يتم تحديث هذه الفئات بانتظام بواسطة فريق أمن كاتو.

بشكل افتراضي، يشمل جدار حماية الإنترنت قاعدة تحظر الفئات التي قد تكون خطيرة من الحركة. نوصي بشدة بعدم تعطيل هذه القاعدة وتوفير أفضل أمان لشبكتك.

طبقة الأمان

تحتوي طبقة الأمان في كاتو على محركات متعددة تحلل حركة الفيديو والشبكة العريضة والإنترنت بحثاً عن البرامج الضارة والمخاطر الأمنية.

  1. مكافحة البرمجيات الخبيثة هي بوابة مضادة للفيروسات في السحابة وتشمل ما يلي:

    • تفتيش عميق لحزم حمولات الحركة لحركة المرور الواضحة والمشفرة (في حال تم تفعيل فحص TLS).

    • تحديد نوع الملف الحقيقي يحدد نوع الملف الفعلي المتنقل عبر الشبكة بغض النظر عن امتداده أو ترويسة نوع المحتوى.

    • اكتشاف البرمجيات الضارة باستخدام قاعدة بيانات التوقيع والاستخبارات التي يتم تحديثها باستمرار بناءً على قواعد بيانات استخبارات التهديدات العالمية للحماية من التهديدات الحالية المعروفة. كتو لا تشارك أي ملفات أو بيانات مع مستودعات السحابة لضمان بقاء بيانات العميل سرية.

  2. ينفذ NG لمكافحة البرمجيات الخبيثة المحرك SentinelOne الذي يستخدم نموذج الذكاء الاصطناعي لاكتشاف التهديدات في الملفات التنفيذية المحمولة، وملفات PDF، ومستندات Office. يتم تطوير نموذج الذكاء الاصطناعي عن طريق استخراج الميزات من ملايين عينات البرمجيات الضارة في مستودع البرمجيات الضارة. ثم يتم استخدام التعلم الآلي الموجه لتحديد وربط مختلف ميزات الملفات الحسنة والضارة. يمكن لبرنامج NG لمكافحة البرمجيات الخبيثة التنبؤ ومنع البرمجيات الخبيثة والفيروسات غير المعروفة.

  3. نظام منع التطفل على الشبكة السحابية (IPS) يقوم بفحص حركة المرور الواردة والصادرة وحركة الشبكة العريضة WAN، بما في ذلك حركة TLS (إذا كان فحص TLS ممكّنًا). يمكن أن يعمل IPS أيضًا في وضع المراقبة (IDS) ولا يحظر الحركة. في وضع التعرف على الهجمات، يتم تقييم جميع الحركة وتوليد أحداث الأمان.

أفضل الممارسات لتمكين منع التهديدات

نوصي بشدة بتمكين خدمات منع التهديدات لحسابك. لا يواجه المستخدمون أي تأخير بسبب معالجة مكافحة البرمجيات الخبيثة و IPS. عند اكتشاف ملف ضار، يتم حظر وصول المستخدم ويتم إعادة توجيهه إلى صفحة الحظر.

يحافظ فريق أمن كاتو على تحديث قاعدة بيانات منع التهديدات باستمرار بناءً على قواعد بيانات استخبارات التهديدات العالمية لضمان الحماية الفعالة من التهديدات الحالية.

يعتبر سير العمل التالي أفضل ممارسة لتمكين خدمات منع التهديدات:

  1. فعّل سياسات منع التهديدات في وضع المراقبة لجميع الحركة. في وضع المراقبة، يتم فقط تسجيل الحركة الضارة ولا يتم حظرها.

  2. إذا لزم الأمر، يمكنك تكوين خيار التتبع لإرسال تنبيه بالبريد الإلكتروني إذا تم اكتشاف برمجيات ضارة (في وضع المراقبة، لا توجد تنبيهات للحركة المحظورة).

  3. بعد بضعة أيام، قم بمراجعة أحداث منع التهديدات وتحويل السياسات تدريجياً إلى وضع الحظر.

  4. يمكنك تمكين فحص TLS لتمكين محركات منع التهديدات من تحليل الحركة المشفرة.

ملاحظة

ملاحظة: للحصول على أقصى نتائج الكشف، يجب تمكين فحص TLS. يتيح فحص TLS للمحركات الأمنية تحليل الحركة المشفرة التي قد تحتوي على ملفات ضارة أو شفرات. تمكين فحص TLS هو الخطوة الأخيرة في تمكين مكافحة البرمجيات الخبيثة و IPS.

المقالات ذات الصلة

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات