Mejores prácticas para implementar la prevención de amenazas de Cato

Resumen de los servicios de seguridad de Cato

El Cato Cloud contiene poderosos servicios de seguridad que son fáciles de configurar y ayudan a mantener su red segura. Este artículo explica las recomendaciones y mejores prácticas para los distintos servicios de Prevención de Amenazas.

El Cato Cloud ofrece estas dos capas de protección para su cuenta:

  • Capa de acceso - incluye firewalls para el tráfico WAN y de Internet

  • Capa de seguridad - incluye los servicios de Prevención de Amenazas de Cato: Anti-Malware, NG Anti-Malware, e IPS

El Cato Cloud aplica las reglas en los firewalls para determinar si el tráfico está permitido o bloqueado. Además, los servicios de Prevención de Amenazas analizan el tráfico en busca de malware, vulnerabilidades basadas en red, actividad maliciosa en la red y más.

Capa de Acceso

Cada flujo de la red es inspeccionado por el firewall de WAN y de Internet. El firewall de WAN le permite permitir o bloquear el tráfico entre entidades organizacionales como sitios, usuarios, hosts, subredes y más. El firewall de Internet le permite controlar el acceso a sitios web y aplicaciones basadas en web.

Por defecto, el firewall de WAN de Cato utiliza un enfoque de lista blanca y solo permite el tráfico que está explícitamente definido por una regla de firewall y bloquea todo tráfico no identificado. El firewall de Internet controla el tráfico saliente hacia Internet y utiliza un enfoque de lista negra. La regla final del firewall de Internet es una regla implícita de permiso total, por lo que debe definir reglas para bloquear explícitamente las conexiones a Internet.

De fábrica, Cato tiene muchas categorías predefinidas que contienen docenas de servicios y aplicaciones para ayudar a gestionar el tráfico de la red. Estas categorías se actualizan regularmente por el equipo de Seguridad de Cato.

Por defecto, el firewall de Internet incluye una regla que bloquea potencialmente categorías peligrosas de tráfico. Recomendamos encarecidamente que no desactive esta regla y brinde la mejor seguridad para su red.

Capa de Seguridad

La capa de seguridad de Cato tiene múltiples motores que analizan el tráfico de WAN e Internet en busca de malware y riesgos de seguridad.

  1. Anti-Malware es un gateway antivirus en la nube e incluye lo siguiente:

    • Inspección profunda de paquetes de la carga útil del tráfico claro y cifrado (si la Inspección TLS está habilitada).

    • Detección de tipo de archivo verdadero identifica el tipo real de un archivo que circula por la red, independientemente de su extensión de archivo o encabezado de tipo de contenido.

    • Detección de malware utilizando una base de datos de firmas y heurísticas que se mantiene actualizada en todo momento basada en bases de datos de inteligencia de amenazas globales para proteger contra amenazas conocidas actuales. Cato NO comparte ningún archivo o dato con repositorios en la nube para garantizar que los datos de los clientes se mantengan confidenciales.

  2. NG Anti-Malware implementa el motor SentinelOne que utiliza un modelo de IA para detectar amenazas en archivos ejecutables portátiles, PDFs y documentos de Office. El modelo de IA se desarrolla extrayendo características de millones de muestras de malware en el repositorio de malware. Luego se utiliza el aprendizaje automático supervisado para identificar y correlacionar diferentes características de archivos benignos y maliciosos. NG Anti-Malware puede predecir y prevenir malware y virus desconocidos.

  3. IPS - El sistema de prevención de intrusiones basado en la nube de Cato (IPS) inspecciona el tráfico entrante, saliente y de WAN, incluido el tráfico TLS (si la Inspección TLS está habilitada). IPS también puede funcionar en modo de monitorización (IDS) y no bloquea el tráfico. En modo IDS, todo el tráfico es evaluado y se generan eventos de seguridad.

Mejores Prácticas para Habilitar la Prevención de Amenazas

Recomendamos encarecidamente que habilite los servicios de Prevención de Amenazas para su cuenta. Los usuarios finales experimentan sin retraso debido al procesamiento de anti-malware e IPS. Cuando se detecta un archivo malicioso, se bloquea el acceso del usuario y se redirige al usuario a una página de bloqueo.

El equipo de seguridad de Cato mantiene la base de datos de Prevención de Amenazas actualizada en todo momento basada en bases de datos de inteligencia de amenazas globales para garantizar una protección efectiva contra amenazas actuales.

El siguiente flujo de trabajo es la mejor práctica para habilitar los servicios de Prevención de Amenazas:

  1. Habilite las políticas de Prevención de Amenazas en modo Monitor para todo el tráfico. En modo Monitor, el tráfico malicioso solo se registra y no se bloquea.

  2. Si es necesario, puede configurar la opción de seguimiento para enviar una alerta por correo electrónico si se detecta malware (en modo Monitor, no hay alertas para el tráfico bloqueado).

  3. Después de unos días, revise los eventos de Prevención de Amenazas y cambie gradualmente las políticas al modo Bloquear.

  4. Habilite la inspección TLS para permitir que los motores de Prevención de Amenazas analicen el tráfico cifrado.

Nota

Nota: Para obtener los resultados máximos de detección, la inspección TLS debe estar habilitada. La inspección TLS permite que los motores de seguridad analicen el tráfico cifrado que podría contener archivos o código maliciosos. Habilitar la inspección TLS es el paso final para habilitar el AM y IPS.

Artículos Relacionados

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios