Este artículo describe el servicio de inteligencia de amenazas gestionado de Cato que está incluido en la licencia de Prevención de Amenazas.
Para más información sobre la compra de una licencia de Prevención de Amenazas, por favor contacte a su representante de Cato.
La Inteligencia de Amenazas es el proceso de recopilar y analizar información sobre amenazas potenciales o existentes a los activos, sistemas u operaciones de una organización. Puede usar esta información para ayudar a identificar y evaluar riesgos, anticipar amenazas y desarrollar estrategias para prevenir o mitigar ataques potenciales.
Cato ofrece un servicio gestionado de inteligencia de amenazas operativa que es una solución de ciberseguridad personalizada que proporciona flujos de inteligencia de amenazas para IOCs como direcciones IP, dominios y URLs. Nuestros expertos en ciberseguridad analizan y monitorean meticulosamente estos flujos para asegurar su precisión, y luego los despliegan en los servicios de Cato Security tales como IPS y XDR. Por ejemplo, muchas de las firmas de amenazas del IPS de Cato están diseñadas para bloquear el tráfico que coincide con los IOCs en los flujos de inteligencia de amenazas. La amplia experiencia y recursos de Cato para gestionar la inteligencia de amenazas proporcionan las siguientes ventajas:
-
Experiencia y Recursos
Cato cuenta con expertos en seguridad especializados y un sistema de inteligencia de amenazas interno equipado con mecanismos avanzados que ofrecen soluciones completas de inteligencia de amenazas. Esto permite a las organizaciones aprovechar la experiencia e infraestructura de Cato sin la necesidad de inversión interna para desarrollar y mantener tales capacidades.
-
Capacidad de Respuesta y Puntualidad
Cato proporciona capacidades de monitoreo, mitigación y análisis en tiempo real, ofreciendo a los clientes notificaciones inmediatas para amenazas activas detectadas a través de su funcionalidad de Inteligencia de Amenazas. Esto asegura que las organizaciones se mantengan actualizadas sobre amenazas emergentes y les permite mitigar riesgos proactivamente.
-
Propiedad y Control
Cato asume la responsabilidad y propiedad de la plataforma de inteligencia de amenazas del cliente. Esto implica mantenerse informado sobre tendencias de ciberseguridad, diferentes grupos de atacantes e IOCs a través de varias fuentes de inteligencia. Además, Cato realiza mantenimiento continuo de la plataforma existente y lleva a cabo exámenes regulares y exhaustivos de los datos.
-
Costos y Escalabilidad
El modelo de Cato permite a las organizaciones beneficiarse de un espectro más amplio de fuentes de inteligencia de amenazas, con mejora continua y optimización del módulo de Cato. Cato añade constantemente nuevas características que se incluyen como parte del paquete sin costo adicional.
A partir de 2024, Cato incorpora aproximadamente 250 diferentes fuentes de inteligencia de amenazas que contienen alrededor de 20 millones de IOCs. Dado que los flujos provienen de comunidades de código abierto y proveedores comerciales, varían mucho en calidad y a menudo contienen falsos positivos. Demasiados falsos positivos generan alertas innecesarias que abruman a los equipos de seguridad, impidiéndoles detectar amenazas legítimas. Los falsos positivos también interrumpen el negocio, impidiendo que los usuarios accedan a recursos legítimos. El servicio gestionado de Cato mejora los resultados empresariales al evaluar continuamente los flujos de inteligencia de amenazas y eliminar los falsos positivos. En promedio, Cato identifica un 10% de los IOCs como falsos positivos. Esto significa que tras el proceso de evaluación y eliminación, aproximadamente 18 millones de IOCs restantes se despliegan en los servicios de seguridad en el Cato Cloud para proporcionar protección a todos los clientes. Este ciclo de despliegue para nuevo contenido de inteligencia de amenazas al Cato Cloud toma aproximadamente 3 horas de principio a fin.
La siguiente figura resume el ciclo de despliegue para nuevo contenido de inteligencia de amenazas:
Esta sección describe los diferentes métodos que usa Cato para evaluar y refinar los flujos de inteligencia de amenazas.
El proceso de evaluación de flujos de Cato sigue un protocolo interno para medir la calidad de los flujos y facilitar la integración de manera fluida. Encabezado por un analista de seguridad, esto implica un examen manual de cada flujo para garantizar alta calidad y reducir la incidencia de falsos positivos. El proceso implica verificar la fiabilidad de la fuente del flujo, configurarlo dentro del sistema de inteligencia de amenazas interno y revisar meticulosamente los IOCs mientras se emplean filtros personalizados para amplificar los verdaderos positivos y minimizar los falsos positivos.
Cato aprovecha la gran cantidad de información recopilada del tráfico a través de nuestra red para mejorar su inteligencia de amenazas. Se pueden ejecutar algoritmos de aprendizaje automático sobre los datos en el almacén de datos de Cato, el cual se construye a partir de los metadatos para los flujos de tráfico a través del Cato Cloud. Estas son algunas de las maneras en las que se usa esta información para mejorar la inteligencia de amenazas:
-
Modelos de Popularidad para Evaluar la Frecuencia y Significancia de las Amenazas - Estos modelos nos ayudan a medir la relevancia de las amenazas basado en la frecuencia con la que se encuentran por los clientes. Los modelos de popularidad asignan puntajes a las amenazas indicando su frecuencia. Un puntaje más alto sugiere una mayor probabilidad de una amenaza genuina. Para construir los modelos de popularidad, recopilamos datos sobre el tráfico de internet y examinamos las interacciones de los clientes con sitios web y direcciones IP. El puntaje de popularidad refleja el nivel de interés en un objetivo dentro de nuestra red.
-
Evaluación de Firmas de Amenazas de IPS - Constantemente medimos la precisión de las firmas de IPS basándonos en datos obtenidos de entornos de clientes donde se detectaron las firmas. Este bucle de retroalimentación refina nuestro monitoreo y mejora la calidad de IPS sin la intervención del cliente.
Un sofisticado modelo de AI evalúa cada IOC y le asigna un puntaje de clasificación. Cato almacena IOCs en una base de datos para recopilar datos de reputación relacionados y utiliza AI para actualizar continuamente el puntaje de clasificación. Este puntaje determina si el IPS bloquea un IOC y si se marca como malicioso en historias XDR.. Estas entradas en la base de datos se mantienen a largo plazo y los datos se mejoran basándose en muchas fuentes externas y nuestros propios flujos de inteligencia de amenazas.
Para más información sobre la inteligencia de amenazas de Cato, consulte los siguientes artículos:
0 comentarios
El artículo está cerrado para comentarios.