تشرح هذه المقالة كيف تحمي خدمة أمن IPS وجدار الحماية على الإنترنت في مكدس أمان Cato Cloud شبكتك من هجمات التصيد.
يستمر التصيد في كونه أحد أخطر التهديدات للمؤسسات، ويمكن أن تكون هجمات التصيد جهة دخول أولية لاختراق الشبكة المؤسسية أو لسرقة بيانات الاعتمادات والبيانات الخاصة الأخرى. تمتلك خدمة Cato IPS وجدار الحماية على الإنترنت في مكدس الأمان تقنيات مختلفة لتحديد حركة المرور كهجوم تصيد وقطع الهجوم قبل أن يدخل شبكتك.
يخلق فريق الأمن الحماية من التصيد لـIPS وجدار الحماية بناءً على مؤشرات الخرق (IOC). تتراكم IOCs من مجموعة متنوعة من تغذيات استخبارات التهديد الخاصة والمفتوحة المصدر التي تحتوي على نطاقات وعناوين URLs وبيانات أخرى عن حملات التصيد المعروفة. يتم تلقائيًا حظر أي حركة مرور تتطابق مع IOC لحملة تصيد معروفة بواسطة محرك IPS.
يستخدم مستوى آخر من الحماية في مكدس الأمان الاستدلالات والخوارزميات التي تستند إلى خصائص مواقع التصيد. يقوم فريق الأمن بتحليل جميع بيانات الشبكة هذه ثم يخلق حمايات يمكنها تحديد المواقع التي تعتبر مصادر هجمات التصيد. على سبيل المثال، يمكن لحملة تصيد استخدام عنوان URL مزيف لـOffice365 لخداع المستخدمين للاعتقاد بأن الرابط شرعي. إذا نقرت المستخدم خطأً على الرابط الضار لـOffice365، يمكن لـIPS أو جدار الحماية حجب حركة المرور ومنع هجوم التصيد.
بالإضافة إلى ذلك، تشمل IPS حمايات تستخدم خوارزميات تعلم الآلة المتقدمة ونماذج معالجة الصور للحماية من أحدث تقنيات هجمات التصيد. على سبيل المثال:
- يمكن لخوارزميات التعلم الآلي لنظام الحماية من التهديدات الدولية اكتشاف ومنع الهجمات التي تستخدم مجالات جديدة تم إنشاؤها من خلال تقنيات مثل DGA والاستيلاء الإلكتروني
- يمكن لنماذج معالجة الصور لنظام الحماية من التهديدات الدولية تحديد المواقع الخبيثة التي تستخدم أيقونات مزيفة وكذلك المواقع التي تستخدم أيقونات ورسوم وعناصر أخرى متطابقة مع تلك الخاصة بالمواقع الشرعية
يقوم فريق الأمان بتحليل حركة مرور الشبكة باستمرار في Cato Cloud لتحسين الاستدلالات والخوارزميات وتحسين القدرة على اكتشاف هجمات التصيد الجديدة.
تستخدم حمايات التصيد لـIPS استراتيجيات مختلفة للكشف والتخفيف من الهجمات، مما يساعد في تعظيم الحماية مع القدرة على حجب هجمات التصيد في مراحل مختلفة. هذه هي أنواع استراتيجيات الحماية:
-
حجب الوصول - تحدد هذه الحمايات وجهة التصفح كموقع تصيد وتمنع الوصول إليه. تشمل الأمثلة التي تستخدم هذه الاستراتيجية الحمايات المستندة إلى:
- تغذية استخبارات التهديدات
- نماذج التعلم الآلي التي تحدد المواقع المحتملة للتصيد الاحتيالي
- تحديد المجالات المسجلة حديثًا
- الوسائل التي تحدد المجالات العليا المشبوهة
- الوسائل التي تكشف علامات العنوان الشرعية في ملفات HTML التي تظهر في مورد غير معروف
- حظر إرسال بيانات الاعتماد — اكتشاف عناصر الصفحة المتقدمة لهجمات التصيد الاحتيالي - يمكن لهذه الحمايات منع هجوم التصيد الاحتيالي حتى بعد أن يصل المستخدم إلى الموقع الخبيث وتكون صفحة الويب قد تم عرضها بالكامل في المتصفح. يستخدم المحرك الوسائل المتقدمة لاكتشاف العناصر البصرية والوظيفية الشرعية لـ Office 365 والتي تظهر على الصفحات التي لا تملكها أو تديرها شركة مايكروسوفت. يقوم المهاجمون بشكل متزايد باستنساخ الأصول الأصلية، وعندما يتم اكتشاف هذه التناقضات بين أصول العلامة التجارية الموثوقة والمجالات غير الموثوقة، يتدخل نظام الحماية من التهديدات الدولية في اللحظة الحاسمة عن طريق منع إرسال البيانات الاعتمادية. مهم أن المستخدم لا يرى صفحة الحظر. بدلاً من ذلك، يقوم النظام بحظر إرسال البيانات الاعتمادية بصمت من مغادرة الجهاز أو جلسة المتصفح. يتم إنشاء حدث أمني مطابق في نظام CMA باسم التهديد: محاولة إدخال معلومات حساسة في موقع تصيد احتيالي.
-
الكشف بعد الاختراق — تحديد إرسال بيانات الاعتماد في أشكال الويب عالية المخاطر - في بعض الحالات، قد يصل المستخدمون إلى مجالات مشبوهة لا يمكن تصنيفها بشكل مؤكد كمواقع خبيثة ولذلك لا يتم حظرها فورًا. في هذه الحالات، يقدم خدمة مراقبة النشاط المشبوه (SAM) طبقة حماية ثانوية حاسمة. SAM يراقب باستمرار تفاعلات المستخدمين مع نماذج الويب ذات المخاطر العالية أو غير الموثوقة، مكتشفًا السلوكيات التي تدل على استغلال البيانات الاعتمادية. إذا قام المستخدم بإدخال أو تقديم بيانات الاعتماد المؤسسية على موقع مثل هذا، فإن SAM يخلق أحداثًا مفصلة تنبه المسؤولين إلى احتمال حدوث اختراق حتى يتسنى لهم اتخاذ إجراء فوري.
لتمكين هذه الاكتشافات، يجب تفعيل فحص TLS، مما يتيح فحص حركة المرور المشفرة لتحديد الاستخدام غير المناسب لأصول مايكروسوفت الشرعية داخل الصفحات الخبيثة. يجب أيضًا تفعيل فحص TLS للمجالات التالية التي تخص مايكروسوفت:- windows.net
- windows.com
- msauthimages.net
- msauth.net
- msftauthimages.net
يمكنك مراجعة أحداث الأمان في الصفحة الرئيسية > الأحداث والعثور على أي هجمات تصيد في حسابك قد تم حجبها. هناك أنواع فرعية مختلفة من الأحداث للعمليات التصيد المحجوبة بواسطة IPS والجدار العازل. بالنسبة لأحداث IPS، يمكن تصنيف نوع التهديد كـ السمعة، أو كـ التصيد.
هذا مثال على حدث لهجوم تصيد تم حجبه بواسطة IPS:
-
حقول حدث IPS لهجوم تصيد:
- نوع الحدث - الأمن
- نوع الحدث الفرعي - IPS
-
نوع التهديد - السمعة
- اسم التهديد - توقيع الحمولة استنادًا إلى سمعة النطاق - التصيد
-
نوع التهديد - التصيد
- اسم التهديد - الاسم الذي يعطيه فريق الأمان لهذا الهجوم التصيدي
-
حقول حدث جدار حماية الإنترنت لهجوم تصيد:
- نوع الحدث - الأمن
- نوع الحدث الفرعي - جدار حماية الإنترنت
- الفئات - التصيد
-
يمكن تحديد استراتيجية التخفيف لنظام منع التسلل لهجوم التصيد الاحتيالي عن طريق تنسيق الهوية التوقيعية في الحدث، كما يلي:
- التوقيعات التي تمنع الوصول تحمل البادئة: cid_heur_ba_phishing_detection_
- التوقيعات التي تمنع إرسال الاعتمادات تحمل البادئة: cid_heur_bs_phishing_detection_
- التوقيعات التي تكتشف إرسال الاعتمادات إلى نماذج الويب الخطرة تحمل البادئة: cid_sam_cs_phishing_detection_ أو cid_sam_suspected_phishing_submission_to_risky_web_form
لمزيد من المعلومات، انظر تحليل أحداث الأمان وفقًا لسمعة التهديد.
أداة القصص لـXDR تنشئ قصصًا لهجمات البرمجيات الخبيثة المحتملة بما في ذلك التصيد، وتوفر أدوات للتحقيق في الهجوم. فيما يلي مثال على قصة لهجوم تصيد تم حجبه بواسطة IPS. تساعد القصة في التحقيق في الهجوم من خلال توفير معلومات مثل وصف الهجوم، النطاق وعنوان URL المرتبطين بالهجوم، وغير ذلك.
تحتوي هذه القسم على خطوات مقترحة تالية إذا اكتشفت أن IPS أو جدار الحماية على الإنترنت قد حجب هجمات التصيد لحسابك.
- تحديد أي المستخدمين النهائيين في مؤسستك كانوا هدفًا لهجوم التصيد.
- التحدث إلى المستخدمين النهائيين، وتحديد نوع المعلومات التي كانوا يشاركونها مع هذا الموقع.
-
أخبر المستخدمين النهائيين باتخاذ الإجراءات التالية:
- تغيير كلمات المرور الخاصة بهم للموقع
- البدء في تسجيل خروج تام من جميع الخدمات المتعلقة بالموقع
- التحقق مما إذا كان أي بيانات تم مشاركتها (أو قد يتم مشاركتها) تشكل أي خطر.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.