Además del Firewall y filtrado de URL de Cato, hay servicios de seguridad adicionales: Anti-Malware y Sistema de Prevención de Intrusiones (IPS). Ambos servicios pueden habilitarse instantáneamente y requieren casi ninguna configuración. Estos servicios proporcionan una capa adicional de seguridad para el tráfico WAN, el tráfico de Internet o ambos.
-
En resumen, Anti-Malware detectará y bloqueará archivos maliciosos. Puede considerarse como un gateway Anti-Virus en la nube.
-
El IPS, por otro lado, detectará y bloqueará la explotación de vulnerabilidades del host. Por ejemplo, si un usuario está usando una versión sin parches de Windows (sin las últimas actualizaciones de seguridad), el servidor remoto puede aprovechar una vulnerabilidad específica del host y ejecutar código malicioso en la estación de trabajo. El IPS se considera usualmente como un servidor de "parches virtuales". La mayoría de las veces, TI lucha por asegurarse de que todos los hosts tienen las últimas actualizaciones de seguridad y parches. El IPS es la solución inmediata para nuevas vulnerabilidades.
Se recomienda altamente habilitar el servicio de Anti-Malware y IPS. El usuario final experimenta sin demora debido al procesamiento de anti-malware. Cuando se detecta un archivo malicioso, se bloqueará el acceso del usuario y será redirigido a una página de bloqueo.
No hay razón para no habilitar esos servicios. El equipo de seguridad de Cato mantiene la base de datos de protección contra malware actualizada en todo momento basada en bases de datos de inteligencia de amenazas globales para asegurar una protección efectiva contra amenazas actuales.
Como mejor práctica para habilitar los servicios de Anti-Malware y IPS, se aconseja el siguiente flujo de trabajo:
-
Habilitar Anti-Malware e IPS en modo Monitor para el tráfico WAN e Internet. En modo Monitor, el tráfico malicioso solo es registrado y no detenido.
-
Si es necesario, puedes configurar el seguimiento para recibir una alerta por correo electrónico cuando se detecte malware (pero no bloqueado porque está en modo Monitor).
-
Revisa los eventos de AM e IPS en unos pocos días y gradualmente cambia los servicios al modo Bloquear.
Nota
Nota: Para obtener resultados de detección máximos, debe estar habilitada la inspección TLS.
La inspección TLS permite a los motores de seguridad analizar el tráfico cifrado que podría contener archivos o código malicioso. Habilitar la inspección TLS es el paso final en la habilitación de Anti-Malware e IPS. Una guía para habilitar la inspección TLS y pautas para distribuir el certificado de Cato utilizando GPO pueden encontrarse aquí.
A continuación, se presenta una guía paso a paso para configurar los servicios de seguridad y revisar los resultados.
-
Desde el panel de navegación, haz clic en Seguridad > Anti-Malware.
-
Haz clic en el deslizador izquierdo para habilitar (verde) o deshabilitar (gris) la protección Anti-Malware para la cuenta.
-
Haz clic en el deslizador derecho para habilitar (verde) o deshabilitar (gris) el motor NG Anti-Malware.
Ahora los motores Anti-Malware están habilitados. El siguiente paso es configurar los ajustes de protección contra malware.
Para cada regla de Anti-Malware, haz clic en la columna Acción y selecciona uno de los siguientes:
-
Bloquear - Evitar que el archivo malicioso continúe hacia su destino. Cuando sea aplicable, redirige al usuario a una página web de bloqueo dedicada.
-
Permitir - Dejar que el archivo malicioso continúe hacia su destino.
Para monitorear sin bloquear, configura la regla en Permitir, y en la sección Seguimiento, habilita la opción Evento. Esto crea registros de eventos que puedes revisar en la página de Eventos (Inicio > Eventos). También puedes Enviar Notificaciones activadas por el tipo de tráfico. En caso de un evento de seguridad (detección de malware), se enviará una notificación a los Grupos de Suscripción, Listas de Correo y Alertas Integraciones predefinidos. Para más información sobre estos tipos de notificación, consulta el artículo relevante en la sección Alertas.
-
Desde el panel de navegación, haz clic en Seguridad > IPS.
-
Haz clic en el deslizador IPS para habilitar (verde) o deshabilitar (gris) la protección IPS para la cuenta.
Similar al motor AM, ahora habilita la protección IPS para Tráfico WAN, Tráfico Entrante y Tráfico Saliente. Establecer WAN se consideraría como cualquier tipo de tráfico entre los elementos de red conectados a Cato (sitios y usuarios). La protección entrante se aplica al tráfico que proviene de Internet y se reenvía a hosts internos utilizando reenvío de puerto remoto. Saliente es cualquier tipo de tráfico originado desde los hosts internos hacia Internet - navegación regular de Internet.
Como se mencionó anteriormente, una vez que los servicios de seguridad están habilitados, el motor de seguridad determina qué tráfico se detecta realmente y potencialmente se bloquea.
La página de Eventos (Inicio > Eventos) muestra datos sobre eventos que han ocurrido en cualquiera o todos los sitios y usuarios durante un período específico.
Para filtrar solo eventos de AM, desde el menú desplegable Seleccionar Preestablecidos, selecciona Anti-malware.
Para filtrar solo eventos de IPS, desde el menú desplegable Seleccionar Preestablecidos, selecciona IPS.
Desplázate hacia abajo y encontrarás los eventos. Para cada evento puedes expandir para obtener más detalles.
* Si Anti-Malware y/o IPS no está presente, significa que no se generaron eventos. En tal caso, puedes filtrar un marco de tiempo más amplio.
Una vez habilitados Anti-Malware y IPS, puedes probarlo intentando descargar archivos maliciosos, ver Sitios Recomendados para Probar Anti-Malware e IPS
-
El flujo de red es inspeccionado por el Firewall WAN - los administradores de seguridad pueden permitir o bloquear el tráfico entre entidades organizacionales como sitios, usuarios, hosts, subredes y más. Por defecto, el Firewall WAN de Cato sigue un enfoque de lista de permitidos, teniendo una regla implícita de bloqueo de cualquier a cualquier.
-
Firewall de Internet - los administradores de seguridad pueden configurar reglas de permitir o bloquear entre entidades de red como sitios, usuarios individuales, subredes y más a diversas aplicaciones, servicios y sitios web. Por defecto, el Firewall de Internet de Cato sigue un enfoque de lista de bloqueados, teniendo una regla implícita de permitir de cualquier a cualquier. Por lo tanto, para bloquear el acceso, debes definir reglas que bloqueen explícitamente las conexiones de una o más entidades de red a aplicaciones.
-
Filtrado de URL - mejorando el Firewall de Internet. Directamente de la caja, Cato proporciona una política predefinida de docenas de diferentes categorías de URL, incluidas categorías orientadas a la seguridad como Spam Sospechoso y Malware Sospechoso. Mientras que el Firewall de Internet proporciona prevención de acceso estático a aplicaciones de Internet, el filtrado de URL completa la seguridad de Internet con protecciones dinámicas.
-
Anti-Malware - puede considerarse como un gateway antivirus en la nube. Los clientes pueden usar este servicio para inspeccionar tanto el tráfico WAN como el tráfico de Internet en busca de malware. El procesamiento anti-malware incluye lo siguiente:
-
Inspección profunda de paquetes de la carga útil del tráfico para tráfico claro y cifrado (si está habilitado).
-
La detección de tipo de archivo verdadero se utiliza para identificar el tipo real de un archivo que se transmite por la red independientemente de su extensión de archivo o el encabezado de tipo de contenido.
-
Detección de malware utilizando una base de datos de firmas y heurísticas que se mantiene actualizada en todo momento basada en bases de datos de inteligencia de amenazas globales para asegurar una protección efectiva contra amenazas actuales. Cato NO comparte ningún archivo o dato con repositorios basados en la nube para garantizar que los datos del cliente permanezcan confidenciales.
-
-
IPS - El Sistema de Prevención de Intrusiones Basado en la Nube de Cato (IPS) inspecciona el tráfico entrante, saliente y WAN, incluidos el tráfico SSL. IPS puede operar en modo monitor (IDS) sin que se realice ninguna acción de bloqueo. En modo IDS, todo el tráfico es evaluado y se generan eventos de seguridad.
0 comentarios
Inicie sesión para dejar un comentario.