Este artículo explica cómo el servicio de seguridad IPS y el firewall de Internet en la pila de seguridad de la Cato Cloud protege su red de ataques de phishing.
El phishing sigue siendo una de las amenazas más peligrosas para las organizaciones, y los ataques de phishing pueden ser un vector inicial para infiltrar la red corporativa o robar credenciales y otros datos privados. El servicio IPS de Cato y el firewall de Internet en la pila de seguridad tienen diferentes técnicas para identificar el tráfico como un ataque de phishing y bloquear el ataque antes de que entre a su red.
El equipo de seguridad de Cato crea protecciones IPS y firewall para los ataques de phishing basadas en Indicadores de Compromiso (IOCs). Los IOCs se acumulan a partir de una variedad de feeds de inteligencia de amenazas privadas y de código abierto que contienen dominios, URLs y otros datos sobre campañas de phishing conocidas. Cualquier tráfico que coincida con el IOC de una campaña de phishing conocida es automáticamente bloqueado por el motor IPS.
Otro nivel de protecciones en la pila de seguridad utiliza heurísticas y algoritmos basados en las características de los sitios de phishing. El equipo de seguridad analiza todos estos datos de la red y luego crea protecciones que pueden identificar sitios que son fuentes de ataques de phishing. Por ejemplo, una campaña de phishing puede usar una URL falsa de Office365 para engañar a los usuarios haciéndoles creer que este enlace es legítimo. Si un usuario hace clic por accidente en el enlace malicioso de Office365, el IPS o el firewall pueden bloquear el tráfico y prevenir el ataque de phishing.
Además, IPS incluye protecciones que utilizan algoritmos avanzados de aprendizaje automático y modelos de procesamiento de imágenes para proteger contra las últimas técnicas de ataque de phishing. Por ejemplo:
- Los algoritmos de aprendizaje automático de IPS pueden detectar y bloquear ataques que usan nuevos dominios creados por técnicas como DGA y ciberocupación
- Los modelos de procesamiento de imágenes de IPS pueden identificar sitios maliciosos que utilizan iconos falsos, así como sitios que utilizan iconos, gráficos y otros elementos idénticos a los de sitios legítimos
El equipo de seguridad está constantemente analizando el tráfico de la red en la Cato Cloud para mejorar las heurísticas y algoritmos y mejorar la capacidad de detectar nuevos ataques de phishing.
Las protecciones de phishing de IPS utilizan varias estrategias para detectar y mitigar ataques, lo que ayuda a maximizar la protección con la capacidad de bloquear ataques de phishing en diferentes etapas. Estos son los tipos de estrategias de protección:
-
Bloqueo de acceso - Estas protecciones identifican el destino de la navegación como un sitio de phishing y bloquean el acceso al sitio. Ejemplos que usan esta estrategia incluyen protecciones basadas en:
- Fuentes de inteligencia de amenazas
- Modelos de aprendizaje automático que identifican sitios de phishing potenciales
- Identificación de dominios recién registrados
- Heurísticas que identifican dominios de nivel superior sospechosos
- Heurísticas que detectan etiquetas de título HTML legítimas que se representan en un recurso desconocido
- Bloqueo de envío de credenciales — Detección avanzada de elementos de páginas de phishing - Estas protecciones pueden bloquear un ataque de phishing incluso después de que el usuario ya haya accedido al sitio malicioso y la página web se haya renderizado completamente en el navegador. El motor utiliza heurísticas avanzadas para detectar elementos visuales y funcionales legítimos de Office 365 que aparecen en páginas no pertenecientes ni operadas por Microsoft. Los atacantes cada vez clonan más activos auténticos, cuando se detectan tales inconsistencias entre activos de marca confiables y dominios no confiables, el servicio IPS interviene en el momento crítico bloqueando el envío de credenciales. Es importante mencionar que el usuario no ve una página de bloqueo. En su lugar, el sistema evita silenciosamente que las credenciales salgan del dispositivo o sesión del navegador. Se genera un evento de seguridad correspondiente en el CMA con el nombre de la amenaza: Intento de insertar información confidencial en un sitio de phishing.
-
Detección post-compromiso — Identificación de envío de credenciales en formularios web de alto riesgo - En algunas situaciones, los usuarios pueden acceder a dominios sospechosos que no pueden ser categorizados definitivamente como maliciosos y por tanto no son bloqueados inmediatamente. En estos casos, el servicio de Monitoreo de Actividad Sospechosa (SAM) proporciona una capa secundaria crucial de protección. SAM monitorea continuamente las interacciones de los usuarios con formularios web de alto riesgo o no confiables, detectando comportamientos indicativos de recolección de credenciales. Si un usuario ingresa o envía credenciales corporativas en un sitio, SAM genera eventos detallados que alertan a los administradores sobre el posible compromiso para que puedan tomar medidas inmediatas.
Para habilitar estas detecciones, debe habilitarse la Inspección TLS, permitiendo la inspección de tráfico cifrado para identificar el uso indebido de activos legítimos de Microsoft en páginas maliciosas. También debe habilitarse la Inspección TLS para los siguientes dominios de Microsoft:- windows.net
- windows.com
- msauthimages.net
- msauth.net
- msftauthimages.net
Puede revisar los eventos de seguridad en Inicio > Eventos y encontrar cualquier ataque de phishing en su cuenta que haya sido bloqueado. Hay diferentes subtipos de eventos para ataques de phishing bloqueados por IPS y por el firewall. Para eventos de IPS, el tipo de amenaza puede clasificarse como Reputación, o como Phishing.
Este es un ejemplo de un evento para un ataque de phishing bloqueado por IPS:
-
Campos de evento IPS para un ataque de phishing:
- Tipo de evento - Seguridad
- Subtipo de evento - IPS
-
Tipo de amenaza - Reputación
- Nombre de amenaza - Firma basada en reputación de dominio – Phishing
-
Tipo de amenaza - Phishing
- Nombre de amenaza - Nombre que el equipo de seguridad da para este ataque de phishing
-
Campos de evento de firewall de Internet para un ataque de phishing:
- Tipo de evento - Seguridad
- Subtipo de evento – Firewall de Internet
- Categorías - Phishing
-
La estrategia de mitigación de IPS para un ataque de phishing puede identificarse por el formato del ID de firma en el evento, de la siguiente manera:
- Las firmas que bloquean el acceso tienen el prefijo: cid_heur_ba_phishing_detection_
- Las firmas que bloquean el envío de credenciales tienen el prefijo: cid_heur_bs_phishing_detection_
- Las firmas que detectan envíos de credenciales a formularios web riesgosos tienen el prefijo: cid_sam_cs_phishing_detection_ o cid_sam_suspected_phishing_submission_to_risky_web_form
Para más información, consulte Analizando Eventos de Seguridad Según la Reputación de Amenazas.
El Stories Workbench de XDR genera historias para ataques de malware potenciales incluyendo el phishing, y proporciona herramientas para investigar el ataque. El siguiente es un ejemplo de una historia para un ataque de phishing bloqueado por IPS. La historia ayuda a investigar el ataque proporcionando información como una descripción del ataque, el dominio y URL relacionados con el ataque, y más.
Esta sección contiene los siguientes pasos sugeridos si descubre que IPS o el firewall de Internet bloquearon ataques de phishing en su cuenta.
- Identifique cuáles usuarios finales en su organización fueron el objetivo del ataque de phishing.
- Hable con los usuarios finales e identifique qué tipo de información estaban compartiendo con este sitio.
-
Dígale a los usuarios finales que tomen las siguientes acciones:
- Cambiar sus contraseñas para el sitio web
- Iniciar un cierre de sesión completo de todos los servicios relacionados con el sitio web
- Verifique si algunos de los datos compartidos (o potencialmente compartidos) representan algún riesgo.
0 comentarios
Inicie sesión para dejar un comentario.