Este artículo ofrece una visión general de la política Anti-Malware de Cato para los motores Anti-Malware y NG Anti-Malware de próxima generación (NG). Para más información sobre cómo personalizar la política de implementación, consulte Configurar la política Anti-Malware.
La política de seguridad Anti-Malware de Cato proporciona dos capas de protección para prevenir que archivos maliciosos entren en su red: Anti-Malware y NG Anti-Malware. Ambas capas escanean simultáneamente los archivos que llegan del tráfico WAN e Internet.
- La capa de Anti-Malware protege contra amenazas de malware basándose en firmas de archivos conocidas y mediante análisis heurístico.
- NG Anti-Malware es una segunda capa que se basa en tecnología de detección de malware mediante aprendizaje automático y utiliza modelos predictivos para clasificar archivos como benignos, sospechosos o maliciosos. Esta capa escanea el archivo y busca características que indiquen si el archivo es malicioso. Estos modelos son capaces de detectar malware desconocido y de día-cero.
Los motores Anti-Malware y NG Anti-Malware inspeccionan las conexiones secuencialmente, verificando si el tráfico coincide con una regla. La regla final en la base de reglas es una regla de bloqueo implícita ANY - ANY, por lo que si el tráfico NO coincide con una regla, el archivo se escanea automáticamente. Las reglas finales en la base de reglas son reglas de bloqueo por defecto ANY - ANY para archivos Maliciosos y Sospechosos; por lo que, para el tráfico que NO coincide con una regla, el archivo se escanea automáticamente y los archivos con estos veredictos son bloqueados.
Puede revisar los ajustes de regla por defecto en la sección Reglas por Defecto al final de la base de reglas. Estos ajustes de regla no se pueden editar.
Las reglas que están en la parte superior de la base de reglas tienen una mayor prioridad porque se aplican a las conexiones antes que las reglas inferiores en la base de reglas. Por ejemplo, si una conexión coincide con la regla n.º 2, se aplica la acción a la conexión, y los motores Anti-Malware o NG Anti-Malware ignoran las reglas n.º 3 y siguientes.
El motor de detección de Anti-Malware escanea cada archivo descargado en busca de una firma única y compara esa firma con una base de datos de archivos maliciosos conocidos. La base de datos se actualiza cada 30 minutos con nuevas firmas de archivos. Este motor también utiliza análisis heurístico para examinar el código fuente y compararlo con virus conocidos. Si el código coincide con el código de otros virus, entonces el archivo se identifica como malicioso. Esta capa es la protección primaria contra amenazas de malware.
Cato implementa el motor NG Anti-Malware de SentinelOne para proporcionar una segunda capa de protección contra amenazas. Este motor utiliza un modelo de IA que detecta amenazas en archivos ejecutables portátiles, PDFs y documentos de Microsoft Office. El modelo de IA se desarrolla extrayendo características de millones de muestras de malware en el repositorio de malware. Luego, se utiliza Machine Learning Supervisado (SML) para identificar y correlacionar diferentes características de archivos benignos y maliciosos. El motor luego utiliza este modelo para identificar características similares en archivos desconocidos, que son clasificados como:
- Archivo malicioso - Con toda certeza es malware
- Archivo sospechoso - El archivo o comportamiento muestra características asociadas con malware, pero no tiene suficiente confianza o datos para clasificarlo definitivamente como benigno o malicioso.
- Archivo benigno - Contiene características de archivos seguros y es muy probable que no sea malware
Nota
Nota: El modelo de IA para el motor NG Anti-Malware le permite detectar malware desconocido. Sin embargo, es posible que en casos raros este modelo produzca un falso positivo y bloquee un archivo legítimo. Puede crear una excepción y permitir a los usuarios acceder y descargar el archivo, consulte Configurar la política Anti-Malware.
Dado que el motor NG Anti-Malware se basa en un algoritmo y no utiliza detección basada en firmas, no requiere actualizaciones de alta frecuencia. El algoritmo del motor se actualiza cada pocos meses.
Esta sección explica cómo los archivos son escaneados simultáneamente por ambas capas de protección Anti-Malware y NG Anti-Malware cuando se utiliza la política predeterminada.
Al usar la política predeterminada, los motores Anti-Malware y NG Anti-Malware escanean todos los archivos descargados al mismo tiempo y bloquean cualquier archivo clasificado como malicioso o sospechoso. Si una solicitud de descarga de archivo es bloqueada, el archivo se descarta y se genera un evento. Si un archivo es bloqueado por ambos motores, es posible que se generen dos eventos.
Los motores Anti-Malware y NG Anti-Malware escanean el tráfico HTTP, HTTPS y FTP.
Basado en la política predeterminada, cuando un usuario final inicia el proceso para descargar un archivo de Internet o la WAN, este es el comportamiento de cada motor al escanear simultáneamente los archivos:
-
El motor Anti-Malware escanea el archivo y usa firmas de archivos y análisis heurístico para determinar si el archivo es Malicioso o Benigno.
- Si el veredicto es Malicioso, el archivo es bloqueado, eliminado y se genera un evento. Se muestra la página de Bloqueo en el navegador de Internet del usuario.
- Si el veredicto es Benigno, el archivo está potencialmente disponible para descargar.
-
La capa NG Anti-Malware escanea el archivo y usa un modelo de IA para clasificar el archivo como Malicioso, Sospechoso o Benigno.
- Si el archivo es malicioso o sospechoso, es bloqueado, eliminado y genera un evento. Se muestra la página de Bloqueo en el navegador de Internet del usuario.
- Si el veredicto es Benigno, el archivo está potencialmente disponible para descargar.
Nota
Nota: Los archivos escaneados son eliminados y no se retienen por Cato para todos los veredictos.
El archivo está permitido continuar hacia el usuario cuando ambos motores tienen un veredicto de Benigno, entonces se generan eventos con veredicto limpio.
El escaneo Anti-Malware unificado no crea un retraso apreciable para la experiencia del usuario. Los usuarios finales descargan archivos limpios de inmediato.
Los motores de detección Anti-Malware y NG Anti-Malware soportan formatos de archivo específicos. Para más información, consulte Formatos de archivo compatibles para la protección Anti-Malware. (Debe estar registrado para ver este artículo)
0 comentarios
Inicie sesión para dejar un comentario.