Cómo la Cato Cloud protege su cuenta de ataques de phishing

Este artículo explica cómo el servicio de seguridad IPS y el firewall de Internet en la pila de seguridad de la Cato Cloud protege su red de ataques de phishing.

Cómo la pila de seguridad de Cato identifica ataques de phishing

El phishing sigue siendo una de las amenazas más peligrosas para las organizaciones, y los ataques de phishing pueden ser un vector inicial para infiltrar la red corporativa o robar credenciales y otros datos privados. El servicio IPS de Cato y el firewall de Internet en la pila de seguridad tienen diferentes técnicas para identificar el tráfico como un ataque de phishing y bloquear el ataque antes de que entre a su red.

IOCs Basados en Feeds de Inteligencia de Amenazas

El equipo de seguridad de Cato crea protecciones IPS y firewall para los ataques de phishing basadas en Indicadores de Compromiso (IOCs). Los IOCs se acumulan a partir de una variedad de feeds de inteligencia de amenazas privadas y de código abierto que contienen dominios, URLs y otros datos sobre campañas de phishing conocidas. Cualquier tráfico que coincida con el IOC de una campaña de phishing conocida es automáticamente bloqueado por el motor IPS.

Heurísticas y algoritmos basados en el análisis del tráfico

Otro nivel de protecciones en la pila de seguridad utiliza heurísticas y algoritmos basados en las características de los sitios de phishing. El equipo de seguridad analiza todos estos datos de la red y luego crea protecciones que pueden identificar sitios que son fuentes de ataques de phishing. Por ejemplo, una campaña de phishing puede usar una URL falsa de Office365 para engañar a los usuarios haciéndoles creer que este enlace es legítimo. Si un usuario hace clic por accidente en el enlace malicioso de Office365, el IPS o el firewall pueden bloquear el tráfico y prevenir el ataque de phishing.

Además, IPS incluye protecciones que utilizan algoritmos avanzados de aprendizaje automático y modelos de procesamiento de imágenes para proteger contra las últimas técnicas de ataque de phishing. Por ejemplo:

  • Los algoritmos de aprendizaje automático de IPS pueden detectar y bloquear ataques que utilizan nuevos dominios creados a través de técnicas como DGA y cybersquatting

  • Los modelos de procesamiento de imágenes de IPS pueden identificar sitios maliciosos que usan íconos falsos, así como sitios que usan íconos, gráficos y otros elementos idénticos a los de sitios legítimos

El equipo de seguridad está constantemente analizando el tráfico de la red en la Cato Cloud para mejorar las heurísticas y algoritmos y mejorar la capacidad de detectar nuevos ataques de phishing.

Estrategias de detección y mitigación

Las protecciones de phishing de IPS utilizan varias estrategias para detectar y mitigar ataques, lo que ayuda a maximizar la protección con la capacidad de bloquear ataques de phishing en diferentes etapas. Estos son los tipos de estrategias de protección:

  • Bloqueo de acceso - Estas protecciones identifican el destino de la navegación como un sitio de phishing y bloquean el acceso al sitio. Ejemplos que usan esta estrategia incluyen protecciones basadas en:

    • Feeds de inteligencia de amenazas

    • Modelos de aprendizaje automático que identifican potenciales sitios de phishing

    • Identificación de dominios recién registrados

    • Heurísticas que identifican dominios de nivel superior sospechosos

    • Heurísticas que detectan etiquetas de título HTML legítimas que se renderizan en un recurso desconocido

  • Bloqueo de envío de credenciales - Estas protecciones pueden bloquear un ataque de phishing incluso después de que el usuario accedió al sitio y el sitio se mostró en el navegador. Las protecciones utilizan heurísticas para detectar elementos legítimos de la página web que se muestran en un sitio malicioso. Por ejemplo, un logotipo legítimo de Office365 en un sitio que no pertenece a Microsoft. El servicio IPS sabotea el ataque de phishing impidiendo que el usuario envíe credenciales.

  • Detección post compromiso: Identificación de envío de credenciales en formularios web riesgosos - A veces, un usuario puede acceder a sitios sospechosos que no están bloqueados porque no son definitivamente maliciosos. El Servcio de Monitoreo de Actividades Sospechosas (SAM) puede identificar cuando un usuario envía credenciales en dichos sitios riesgosos y crea eventos que alertan al administrador sobre la posible violación.

Revisión de eventos de ataques de phishing bloqueados

Puede revisar los eventos de seguridad en Inicio > Eventos y encontrar cualquier ataque de phishing en su cuenta que haya sido bloqueado. Hay diferentes subtipos de eventos para ataques de phishing bloqueados por IPS y por el firewall. Para eventos de IPS, el tipo de amenaza puede clasificarse como Reputación, o como Phishing.

Este es un ejemplo de un evento para un ataque de phishing bloqueado por IPS:

PhishingEvent.png

  • Campos de evento IPS para un ataque de phishing:

    • Tipo de evento - Seguridad

    • Subtipo de evento - IPS

    • Tipo de amenaza - Reputación

      • Nombre de amenaza - Firma basada en reputación de dominio – Phishing

    • Tipo de amenaza - Phishing

      • Nombre de amenaza - Nombre que el equipo de seguridad da para este ataque de phishing

    • Campos de evento de firewall de Internet para un ataque de phishing:

      • Tipo de evento - Seguridad

      • Subtipo de evento – Firewall de Internet

      • Categorías - Phishing

  • La estrategia de mitigación de IPS para un ataque de phishing puede identificarse por el formato del ID de firma en el evento, de la siguiente manera:

    • Las firmas que bloquean el acceso tienen el prefijo: cid_heur_ba_phishing_detection_

    • Las firmas que bloquean el envío de credenciales tienen el prefijo: cid_heur_bs_phishing_detection_

    • Las firmas que detectan envíos de credenciales a formularios web riesgosos tienen el prefijo: cid_sam_cs_phishing_detection_ o cid_sam_suspected_phishing_submission_to_risky_web_form

Para más información, consulte Analizando Eventos de Seguridad Según la Reputación de Amenazas.

Revisión de historias XDR para ataques de phishing

El Stories Workbench de XDR genera historias para ataques de malware potenciales incluyendo el phishing, y proporciona herramientas para investigar el ataque. El siguiente es un ejemplo de una historia para un ataque de phishing bloqueado por IPS. La historia ayuda a investigar el ataque proporcionando información como una descripción del ataque, el dominio y URL relacionados con el ataque, y más.

XDR_Phishing_Story.png

Cato bloqueó un ataque de phishing - ¿Y ahora qué?

Esta sección contiene los siguientes pasos sugeridos si descubre que IPS o el firewall de Internet bloquearon ataques de phishing en su cuenta.

  1. Identifique cuáles usuarios finales en su organización fueron el objetivo del ataque de phishing.

  2. Hable con los usuarios finales e identifique qué tipo de información estaban compartiendo con este sitio.

  3. Dígale a los usuarios finales que tomen las siguientes acciones:

    • Cambiar sus contraseñas para el sitio web

    • Iniciar un cierre de sesión completo de todos los servicios relacionados con el sitio web

  4. Verifique si algunos de los datos compartidos (o potencialmente compartidos) representan algún riesgo.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 2

0 comentarios