Cómo la Cato Cloud protege tu Cuenta de extensiones de Chrome sospechosas

Este artículo explica cómo el servicio de seguridad IPS protege tu red de extensiones sospechosas y maliciosas para el navegador Chrome.

Cómo el servicio IPS de Cato identifica extensiones de Chrome sospechosas

Las extensiones de Chrome ofrecen a los usuarios muchas funciones y características, sin embargo, las organizaciones se enfrentan al reto de protegerse contra los atacantes que explotan extensiones de Chrome típicamente confiables a través de una variedad de vectores de ataque. El servicio Anti-Malware no puede distinguir entre extensiones benignas y maliciosas, y deja a las organizaciones vulnerables a ataques. El servicio IPS de Cato proporciona cobertura para estas vulnerabilidades de red mediante técnicas avanzadas que identifican extensiones potencialmente maliciosas y ofrecen una protección única y valiosa para tu organización.

Requisitos Previos

Las protecciones para extensiones de Chrome están incluidas en la licencia de IPS. Para obtener más información sobre la compra de la licencia IPS, por favor contacta a tu representante de Cato
El servicio IPS debe estar habilitado y configurado en la acción Bloquear para la funcionalidad de protección de extensiones de Chrome

Ajuste fino de las fuentes de inteligencia sobre amenazas

Las extensiones maliciosas de Chrome pueden abusar de su nivel de permiso en el host infectado para distribuir malware y comprometer el host. Esto expone toda la red a amenazas como ransomware, filtraciones de datos, agotamiento de recursos, entre otras. El servicio IPS utiliza técnicas innovadoras para mantener, desarrollar y ajustar finamente las fuentes de inteligencia sobre amenazas para hacer posible la identificación de actividad sospechosa asociada con extensiones de Chrome.

Bloqueo de amenazas de extensiones de Chrome

Una vez que el servicio IPS detecta que un host está conectado a la Cato Cloud y está utilizando una extensión de Chrome sospechosa, el servicio bloquea la conexión HTTP/S en ese flujo de red. Esto impide que el host utilice la extensión sospechosa y bloquea la conectividad a la extensión para evitar que reciba actualizaciones, envíe datos, entre otros.

Nota

Nota: Se bloquean las extensiones sospechosas y maliciosas solo de acuerdo con la configuración de Ámbito de Protección del IPS. Por ejemplo, si el ámbito de Tráfico WAN está configurado en Monitorear o Permitir, ese ámbito no estará protegido de extensiones de Chrome maliciosas.

Revisión de Eventos para extensiones de Chrome bloqueadas

Puedes revisar Eventos de Seguridad en Inicio > Eventos y encontrar los eventos de bloqueo del IPS relacionados con las extensiones de Chrome.

Este es un ejemplo de un evento para una extensión de Chrome bloqueada:

Estos son los campos de eventos IPS para un evento de extensión de Chrome sospechosa:

Tipo de Evento - Seguridad
Subtipo de Evento - IPS
MITRE ATT&CK® Técnicas - Intérprete de Comandos y Scripts (T1059)
Tipo de Amenaza - PuP
Nombre de la Amenaza - Extensión de Chrome de baja credibilidad

Estos son ejemplos de ID de Firma para un evento de extensión de Chrome:

feed_extensión_sospechosa_chrome_baja_popularidad
feed_extensión_sospechosa_chrome_alta_popularidad
feed_extensión_chrome_riesgosa_en_tienda_web
feed_extensión_chrome_riesgosa_en_tienda_web_sin_intersección

Para más información sobre registros de eventos, consulta Analizando Eventos en Tu Red.

Cato bloqueó una extensión de Chrome - ¿Y ahora qué?

Después de que Cato bloquea una extensión de Chrome, recomendamos que el gerente de TI inspeccione todas las extensiones de Chrome en uso y elimine cualquier que no sea familiar. Además, como las extensiones maliciosas de Chrome pueden infectar extensiones legítimas para explotar sus permisos, la mejor práctica es eliminar todas las extensiones del navegador existentes y restablecer Chrome a su configuración predeterminada.