Cet article décrit le service d'intelligence des menaces géré de Cato qui est inclus dans la licence de Prévention des Menaces.
Pour plus d'informations sur l'achat d'une licence de Prévention des Menaces, veuillez contacter votre représentant Cato.
L'Intelligence des Menaces est le processus de collecte et d'analyse d'informations sur les menaces potentielles ou existantes pour les actifs, systèmes ou opérations d'une organisation. Vous pouvez utiliser ces informations pour aider à identifier et évaluer les risques, anticiper les menaces et développer des stratégies pour prévenir ou atténuer les attaques potentielles.
Cato propose un service géré d'intelligence des menaces opérationnelles qui est une solution de cybersécurité sur mesure fournissant des flux d'intelligence des menaces pour les IOC tels que les adresses IP, les domaines et les URL. Nos experts en cybersécurité analysent et surveillent méticuleusement ces flux pour assurer leur précision, puis les déploient dans les services de sécurité Cato tels que IPS et XDR. Par exemple, de nombreuses signatures de menaces IPS de Cato sont conçues pour bloquer le trafic qui correspond aux IOC dans les flux d'intelligence des menaces. L'expertise et les ressources étendues de Cato pour la gestion de l'intelligence des menaces offrent les avantages suivants :
-
Expertise et Ressources
Cato dispose d'experts en sécurité spécialisés et d'un système interne d'intelligence des menaces équipé de mécanismes avancés qui offrent des solutions complètes d'intelligence des menaces. Cela permet aux organisations de tirer parti de l'expertise et de l'infrastructure de Cato sans l'investissement interne nécessaire au développement et à la maintenance de telles capacités.
-
Capacité de Réactivité et Ponctualité
Cato fournit des capacités de surveillance, de réduction et d'analyse en temps réel, offrant aux clients des notifications immédiates pour les menaces actives détectées grâce à sa fonctionnalité d'Intelligence des Menaces. Cela garantit que les organisations restent à jour sur les menaces émergentes et leur permet d'atténuer les risques de manière proactive.
-
Propriété et Contrôle
Cato assume la responsabilité et la propriété de la plateforme d'intelligence des menaces du client. Cela implique de se tenir informé des tendances de la cybersécurité, des différents groupes d'attaquants, et des IOC à travers diverses sources d'intelligence. De plus, Cato assure une maintenance continue de la plateforme existante et effectue des examens réguliers et complets des données.
-
Coûts et Évolutivité
Le modèle de Cato permet aux organisations de bénéficier d'un spectre plus large de sources d'intelligence des menaces, avec une amélioration et un perfectionnement continus du module Cato. Cato ajoute constamment de nouvelles fonctionnalités qui sont incluses dans le package sans coût supplémentaire.
À partir de 2024, Cato ingère environ 250 différentes sources d'intelligence des menaces contenant environ 20 millions d'IOC. Étant donné que les flux provenant des communautés open source et des fournisseurs commerciaux varient considérablement en qualité, ils contiennent souvent des faux positifs. Trop de faux positifs entraînent des alertes inutiles qui submergent les équipes de sécurité, les empêchant de détecter les menaces légitimes. Les faux positifs perturbent également l'activité, empêchant les utilisateurs d'accéder à des ressources légitimes. Le service géré de Cato améliore les résultats d'affaires en évaluant continuellement les flux d'intelligence des menaces et en éliminant les faux positifs. En moyenne, Cato identifie 10 % des IOC comme étant des faux positifs. Cela signifie qu'après le processus d'évaluation et d'élimination, environ 18 millions d'IOC restants sont déployés dans les services de sécurité du Cato Cloud pour fournir une protection à tous les clients. Ce cycle de déploiement pour le nouveau contenu d'intelligence des menaces vers le Cato Cloud prend environ 3 heures de bout en bout.
La figure suivante résume le cycle de déploiement pour le nouveau contenu d'intelligence des menaces :
Cette section décrit les différentes méthodes que Cato utilise pour évaluer et affiner les flux d'intelligence des menaces.
Le processus d'évaluation des flux de Cato suit un protocole interne pour évaluer la qualité des flux et faciliter l'intégration en douceur. Dirigé par un analyste en sécurité, cela implique un examen manuel de chaque flux pour garantir une haute qualité et réduire l'incidence des faux positifs. Le processus implique la vérification de la fiabilité de la source du flux, sa configuration au sein du système interne d'intelligence des menaces, et une vérification minutieuse des IOC tout en utilisant des filtres adaptés pour amplifier les vrais positifs et minimiser les faux positifs.
Cato exploite la vaste quantité d'informations collectées à partir du trafic sur notre réseau pour améliorer son intelligence des menaces. Des algorithmes d'apprentissage automatique peuvent être exécutés sur les données dans l'entrepôt de données de Cato, qui est construit à partir des métadonnées pour les flux de trafic à travers le Cato Cloud. Voici quelques-unes des façons dont ces données sont utilisées pour une meilleure intelligence des menaces :
-
Modèles de Popularité pour Évaluer la Fréquence et la Signification des Menaces - Ces modèles nous aident à évaluer la pertinence des menaces sur la base de leur fréquence de rencontre par les clients. Les modèles de popularité attribuent des scores aux menaces indiquant leur fréquence. Un score plus élevé suggère une plus grande probabilité d'une menace véritable. Pour construire les modèles de popularité, nous collectons des données sur le trafic Internet et examinons les interactions des clients avec les sites Web et les adresses IP. Le score de popularité reflète le niveau d'intérêt pour une cible sur notre réseau.
-
Évaluation des Signatures de Menaces IPS - Nous mesurons constamment la précision des signatures IPS basées sur les données extraites des environnements des clients où les signatures ont été détectées. Ce cycle de rétroaction affine notre surveillance et améliore la qualité des IPS sans l'intervention du client.
Un modèle AI sophistiqué évalue chaque IOC et lui attribue un score de classification. Cato stocke les IOC dans une base de données pour recueillir des données de réputation connexes et utilise l'AI pour mettre à jour continuellement le score de classification. Ce score détermine si IPS bloque un IOC et s'il est marqué comme malveillant dans les histoires XDR. Ces entrées de base de données sont maintenues à long terme et les données sont améliorées sur la base de nombreuses sources externes et de nos propres flux d'intelligence des menaces.
Pour plus d'informations sur l'intelligence des menaces de Cato, consultez les articles suivants :
0 commentaire
Cet article n'accepte pas de commentaires.