La Prevención Dinámica es un motor de detección de seguridad basado en comportamiento que aplica controles dinámicos de forma preventiva en respuesta a amenazas detectadas para reducir la superficie de ataque y mitigar amenazas temprano, antes de que ocurra algún impacto.
En lugar de depender de reglas estáticas o firmas, la Prevención Dinámica aprovecha la visibilidad del tráfico en toda la red de Cato para aprender continuamente qué es el comportamiento normal en su red. Construye una línea de base de comportamiento para cada tipo de entidad, representando patrones típicos de uso y actividad esperada.
Cuando se detecta un comportamiento anormal, la Prevención Dinámica aplica automáticamente controles temporales y dinámicos. Estos controles dinámicos adaptativos bloquean el acceso a servicios expuestos, acciones o rutas de acceso para reducir la posible superficie de ataque. Los controles aplican acciones de mitigación basadas en un análisis exhaustivo y la investigación de numerosos escenarios de violación por parte del equipo de investigación de Cato.
La Prevención Dinámica reevaluá continuamente el comportamiento con el tiempo y ajusta automáticamente o elimina los controles aplicados a medida que el comportamiento cambia. Esto permite una interrupción temprana de actividad de ataque, reduce la superficie de ataque expuesta y minimiza la necesidad de intervención manual, mientras se mantiene la visibilidad completa y el control administrativo.
Hacia proporcionar una vista más completa del comportamiento arriesgado de los usuarios, los eventos de bloquear desencadenados por el motor de seguridad basado en el comportamiento de Dynamic Prevention se incorporan en la puntuación de riesgo del usuario. Para más información, consulte Comprender el Nivel de Riesgo del Usuario.
Dynamic Prevention requiere una Licencia de Protección contra Amenazas Avanzada
Caso de Uso - Bloqueo de Descubrimiento y Comunicación de Comando y Control Después de Compromiso por Phishing
Un empleado de la empresa ABC fue víctima de un ataque de phishing que comprometió su punto de conexión. Poco después del compromiso, el atacante inició intentos de descubrimiento y mapeo de red utilizando herramientas legítimas. Esta actividad legítima nunca había sido observada en este dispositivo antes. Dynamic Prevention detectó inmediatamente este comportamiento como una desviación de alto riesgo de la línea de base establecida, identificándolo como reconocimiento malicioso.
En respuesta, el motor de Dynamic Prevention aplica un control de seguridad adaptativo que previene la descarga y ejecución de AnyDesk. El atacante estaba intentando usar este archivo para acceso remoto y comunicación C2. Al aplicar automáticamente este control, Dynamic Prevention detuvo el ataque en una etapa temprana. Previno el control externo, detuvo la entrega de carga útil adicional y eliminó el riesgo de movimiento lateral.
Con Dynamic Prevention, la empresa ABC neutraliza amenazas post-phishing automáticamente, sin intervención manual, reduciendo significativamente la superficie de ataque, el impacto y fortaleciendo su postura de seguridad general.
Dynamic Prevention analiza continuamente la actividad en su entorno para identificar y detener comportamientos sospechosos utilizando el siguiente proceso de cuatro pasos:
- Construir una Línea de Base de Entidad: Dynamic Prevention monitorea continuamente la actividad de red a lo largo del tiempo para establecer un perfil de comportamiento normal para cada entidad. Una entidad puede ser un host, como una computadora portátil o un servidor.
- Detectar Desviaciones: Dynamic Prevention recoge señales en tiempo real de múltiples motores de seguridad, incluyendo servicios integrados y fuera de banda como Anti-Malware, IPS y DLP. También analiza información a largo plazo del lago de datos de Cato, que agrega todos los eventos de seguridad. Estas señales se comparan con la línea de base de comportamiento para identificar actividad anormal. Incluso las acciones que parecen benignas pueden ser marcadas si se desvían significativamente del comportamiento normal.
- Controles Dinámicos: Para reducir la superficie de ataque, cuando se detecta un comportamiento sospechoso, Dynamic Prevention aplica automáticamente un control apropiado.
- Bloquear Acción Maliciosa: Si se realiza una acción maliciosa, se bloquea en tiempo real para prevenir amenazas.
- Adaptar Controles Dinámicos: Dynamic Prevention reevalúa continuamente el comportamiento de las entidades y ajusta o elimina controles aplicados según cambia el nivel de riesgo.
Muchos ataques modernos consisten en secuencias de acciones de baja señal que parecen legítimas por sí solas pero indican intención maliciosa cuando se correlacionan en el tiempo. Mientras que los motores de seguridad tradicionales efectivamente hacen cumplir políticas y bloquean amenazas conocidas en etapas específicas del ciclo de vida del ataque, normalmente operan dentro de contextos de evaluación de corta duración. Detectar estas amenazas requiere correlacionar el tráfico, los eventos de seguridad y el comportamiento de la entidad en ventanas de tiempo extendidas, lo que de otra manera demanda una afinación de políticas complejas, establecimiento manual de baselines y un profundo entendimiento de los patrones normales de acceso en toda la organización.
Dynamic Prevention agrega una capa de prevención adaptativa que correlaciona señales en marcos de tiempo extendidos y múltiples fuentes de datos. Analizando conjuntamente flujos de tráfico, eventos y patrones de comportamiento, identifica amenazas avanzadas que emergen solo cuando las acciones se ven como parte de una secuencia amplia en lugar de incidentes individuales.
Cuando Dynamic Prevention detecta comportamiento sospechoso, aplica automáticamente una aplicación graduada y consciente del contexto para detener la progresión de la amenaza en tiempo real. Estas restricciones adaptativas se aplican inmediatamente, sin requerir reglas personalizadas o intervención manual, y se ajustan continuamente en base a una evaluación de riesgo actualizada.
Juntos, los motores de seguridad existentes brindan protección precisa a nivel de evento, mientras que Dynamic Prevention ofrece detección con contexto prolongado y respuesta automatizada. Esta combinación le permite prevenir ataques sofisticados que evaden controles tradicionales, sin aumentar la complejidad de configuración ni el costo operativo.
0 comentarios
El artículo está cerrado para comentarios.