Cato Threat Prevention es un servicio de seguridad nativo en la nube que inspecciona el tráfico WAN e Internet en la Cato Cloud para detectar y bloquear archivos maliciosos, malware, ataques basados en red y otras amenazas de seguridad. Prevención de amenazas ayuda a asegurar su tráfico previniendo malware, bloqueando dominios y destinos maliciosos, detectando intentos de explotación y otras actividades de ataques, y deteniendo amenazas antes de que puedan afectar a los usuarios o recursos. Puede extender esta protección con servicios de Prevención Avanzada de Amenazas como Aislamiento Remoto de Navegadores (RBI), que aísla sesiones web del dispositivo del usuario, y Sandbox, que escanea archivos sospechosos en un entorno aislado para análisis más profundo.
Los motores de seguridad de Cato trabajan juntos en un único servicio nativo en la nube para entregar detecciones más precisas, mayor aplicación coherente y una protección más fuerte en todo el ciclo de vida de la amenaza. En lugar de tomar decisiones aisladas, los motores inspeccionan el mismo tráfico y se basan en un análisis compartido a través de múltiples capas de protección. Esta arquitectura unificada mejora la coordinación entre los controles de seguridad y ayuda a detener amenazas antes de que se puedan propagar o causar daños.
Cato Threat Prevention también usa IA y aprendizaje automático como parte de la infraestructura del servicio para mejorar la inteligencia sobre amenazas y fortalecer la calidad de detección. Esto incluye clasificación de IOC basada en IA, análisis de aprendizaje automático de metadatos de tráfico, protecciones de aprendizaje automático en IPS para amenazas y análisis proactivo basado en comportamiento en la prevención dinámica. Juntos, estas capacidades fortalecen la detección a través de motores de protección y ayudan a Cato a identificar amenazas tanto conocidas como desconocidas de manera más efectiva.
La inspección de amenazas completa requiere inspección TLS, para que el tráfico cifrado también pueda ser analizado.
Cato descifra, inspecciona y vuelve a cifrar el tráfico en línea para que los servicios de Prevención de Amenazas y Prevención Avanzada de Amenazas puedan analizar tráfico cifrado, incluyendo Anti-Malware, IPS y Sandbox. Esto extiende la inspección de amenazas a sesiones cifradas y permite que más tráfico sea evaluado por el conjunto completo de capas de protección. Reglas granulares de inspección y omisión le ayudan a mantener una cobertura de seguridad mientras excluye tráfico que no debería ser inspeccionado.
Debido a que la inspección TLS puede impactar la experiencia del usuario en sitios legítimos, Cato ofrece un asistente de configuración de inspección TLS que le ayuda a desplegar rápidamente las reglas de inspección y omisión recomendadas mientras personaliza la política para su entorno.
Los motores de prevención de amenazas operan en los PoPs en la Cato Cloud y solo inspeccionan el tráfico que pasa a través de ellos. El tráfico que omite la Cato Cloud, como el tráfico MPLS o tráfico de sitios y clientes que salen directamente al Internet público, no es inspeccionado por los servicios de Prevención de Amenazas o Prevención Avanzada de Amenazas. Este tráfico está fuera del alcance de la inspección de amenazas en línea de Cato.
Estos servicios trabajan juntos para entregar una protección en capas, combinando detección basada en firmas, análisis de comportamiento y aprendizaje automático para identificar amenazas tanto conocidas como desconocidas. Dado que todos operan en la Cato Cloud como parte de una única arquitectura de seguridad, cada capa se suma a una vista más amplia y coordinada de la actividad de amenazas. La gestión centralizada en el CMA le permite configurar fácilmente políticas, monitorear eventos y mantener la visibilidad a través de todo el tráfico protegido.
El IPS de Cato inspecciona el tráfico entrante, saliente y WAN para proteger aplicaciones, dispositivos y servicios de red contra vulnerabilidades conocidas, bots, tráfico malicioso y otros ataques basados en red. El servicio incluye múltiples capas de protección como análisis de reputación, protecciones contra vulnerabilidades conocidas, detección de bots, análisis de comportamiento de red, validación de protocolos, restricción geográfica y detección de ataques de túnel.
Las firmas de IPS son constantemente actualizadas por la investigación de seguridad de Cato, y las políticas de IPS están diseñadas para equilibrar la cobertura de seguridad con la estabilidad operativa. IPS puede aplicar protecciones en modo de bloqueo o monitorear el tráfico sin bloquear, y ayuda a prevenir la explotación de vulnerabilidades conocidas a través del tráfico que pasa por la Cato Cloud.
El servicio IPS incluye Protección DNS para aplicar la seguridad DNS al tráfico en su cuenta. Protección DNS bloquea solicitudes DNS hacia dominios maliciosos antes de que se establezca una conexión con el destino, lo que ayuda a detener amenazas como phishing, distribución de malware y comunicación de comando y control temprana en el flujo de ataque. Bloqueando solicitudes maliciosas en la capa DNS, Protección DNS ayuda a detener ataques antes de la entrega de carga útil y provee visibilidad que apoya una investigación de amenazas más amplia.
Puede habilitar o deshabilitar protecciones DNS específicas y definir acciones como Permitir, Bloquear o Sumidero para cada protección. La acción de sumidero redirige solicitudes DNS de dominios maliciosos a un servidor sumidero en lugar del destino original. Esto también ayuda a identificar el punto de origen de la solicitud, incluyendo en entornos que usan proxies DNS internos y apoya la detección de dispositivos potencialmente infectados.
El monitoreo de actividad sospechosa expande la visibilidad del IPS para actividad de red sospechosa que no es monitoreada por firmas estándar de IPS. SAM identifica actividad que puede indicar un compromiso o brecha, pero debido a que el tráfico no es definitivamente malicioso, monitorea el tráfico sin bloquearlo.
Al correlacionar eventos a lo largo del tiempo, SAM reduce el ruido y brinda a los equipos de seguridad mejor visibilidad de la actividad de ataque en etapas tempranas. Esto le ayuda a identificar amenazas que no son detectadas por controles basados en firmas IPS. Esto agrega contexto investigativo para actividad que puede no desencadenar una prevención directa y ayuda a identificar amenazas que los controles basados en firmas podrían pasar por alto.
Cato Anti-Malware y NG Anti-Malware proveen dos capas de protección para prevenir que archivos maliciosos entren en su red. Ambas capas escanean simultáneamente archivos desde tráfico WAN e Internet.
Anti-Malware usa firmas de archivos conocidas y análisis heurístico para detectar archivos maliciosos. NG Anti-Malware usa aprendizaje automático y modelos predictivos para clasificar archivos como benignos, sospechosos o maliciosos y detectar malware desconocido y de día cero. Este enfoque en capas bloquea ransomware, troyanos y otros malware de uso común sin afectar la experiencia de usuario.
Los servicios de Prevención Avanzada de Amenazas proveen protección adicional contra amenazas sofisticadas que pueden evadir los controles estándar de Prevención de Amenazas. Estos servicios extienden la protección de Cato con navegación aislada, análisis avanzado de archivos y prevención basada en comportamiento para ayudar a detectar y detener técnicas de ataque sofisticadas.
RBI es parte de la política de Firewall de Internet y protege a los usuarios de amenazas basadas en navegador y web sin bloquear el acceso a Internet. En lugar de renderizar contenido web en el dispositivo del usuario, RBI ejecuta la sesión de navegación en un entorno aislado en la Cato Cloud y transmite una representación visual segura al navegador. Esto ayuda a proteger contra amenazas como ransomware, malware, phishing, anuncios maliciosos y scripts entre sitios (XSS), mientras permite a los usuarios acceder a sitios web riesgosos o desconocidos de manera segura. RBI extiende la protección a actividad de navegación riesgosa sin forzar a los usuarios a omitir controles de seguridad.
La Prevención Dinámica es un motor de seguridad basado en comportamiento que aplica controles adaptativos de manera preventiva en respuesta a amenazas detectadas para reducir la superficie de ataque y mitigar amenazas temprano, antes de que puedan impactar su entorno. Analiza actividad a lo largo del tiempo y en un contexto más amplio que las detecciones puntuales tradicionales, lo que ayuda a identificar comportamiento sospechoso que pueda usar herramientas legítimas o de otro modo parecer benigno en aislamiento. Cuando se detecta comportamiento anormal, la Prevención Dinámica puede aplicar automáticamente controles temporales y ajustar o removerlos continuamente a medida que el comportamiento cambia.
Sandbox es un entorno aislado y seguro donde se ejecutan y analizan archivos potencialmente maliciosos o sospechosos sin riesgo para su red. Esto añade análisis profundo para la investigación de malware para detectar amenazas desconocidas y evasivas. Los archivos identificados por la política de Anti-Malware como maliciosos o sospechosos se escanean automáticamente en Sandbox, y también puede subir archivos específicos para análisis.
El marco MITRE ATT&CK es una base de conocimientos de tácticas y técnicas de adversarios que ayuda a los equipos de seguridad a clasificar e investigar la actividad de ataques. El tablero MITRE ATT&CK de Cato proporciona visibilidad en la actividad de ataque en su red usando el marco MITRE ATT&CK. Mapea las amenazas detectadas por los servicios de seguridad de Cato a tácticas y técnicas ATT&CK, ayudando a los equipos de seguridad a entender cómo los ataques progresan a través de la cadena de eliminación. El tablero incluye análisis y visualizaciones como resúmenes de tácticas, descomposición de técnicas, cronologías de eventos y dispositivos afectados. Puede profundizar en técnicas o fuentes específicas para investigar eventos de seguridad y analizar patrones de ataque en su entorno. Esto ayuda a conectar detecciones individuales con la historia de ataque más amplia y da a los equipos de seguridad una vista más clara de cómo se desarrollan las amenazas en todo el entorno.
0 comentarios
Inicie sesión para dejar un comentario.