Cet article fournit des informations sur le Niveau de Risque Utilisateur Cato, comment il est calculé, et comment vous pouvez l’implémenter pour améliorer votre posture de sécurité.
Dans le cadre de l'approche de Cato pour le ZTNA universel et l'évaluation et vérification continues, Cato calcule un Niveau de Risque dynamique pour chaque utilisateur de votre organisation afin de déterminer le risque qu'ils représentent.
Le Niveau de Risque Utilisateur vous aide à améliorer votre posture de sécurité et vos capacités d'accès adaptatives. Vous pouvez créer des règles dans vos différentes politiques pour déterminer l'accès aux ressources en fonction de ce niveau. Par exemple, créer une règle qui bloque le trafic vers les ressources sensibles de l'entreprise des utilisateurs ayant un Niveau de Risque de Élevé ou supérieur.
Vous pouvez voir le niveau de risque pour tous les utilisateurs de votre organisation, qu'ils aient une licence SDP ou non. Cela vous donne une indication de la posture de sécurité globale. De plus, vous pouvez voir tous les événements de sécurité connectés à un utilisateur spécifique et déterminer leur niveau de risque.
Note : Pour voir le niveau de Risque de l'utilisateur, vous devez avoir les autorisations nécessaires dans le rôle Accès à l'admin.
L'entreprise ABC travaille avec des applications SaaS et, en suivant les meilleures pratiques de sécurité, souhaite s'assurer que seules les personnes nécessaires peuvent accéder à ces applications. En outre, ils veulent s'assurer que personne dans le groupe autorisé avec un niveau de risque de élevé ou supérieur ne puisse accéder à ces applications.
L'entreprise crée une règle dans leur pare-feu Internet pour bloquer tout le trafic vers leurs applications SaaS.
Lorsque John Doe ne peut pas accéder à l'application SaaS, il contacte le service informatique qui voit que son niveau de risque est élevé. Cependant, après avoir examiné les événements qui ont déterminé le niveau, le service informatique décide qu'il ne pose pas de risque et réinitialise le niveau pour qu'il puisse accéder aux applications dont il a besoin.
L'entreprise ABC dispose d'un serveur de base de données qui doit être accessible depuis ses différents bureaux. Ils veulent s'assurer qu'il est accessible aux développeurs mais doivent également s'assurer qu'il est sécurisé, car il fournit un Accès au cloud à des Données sensibles et propriétaires.
L'entreprise crée une règle dans le pare-feu WAN pour n'autoriser l'accès qu'aux utilisateurs autorisés dont le niveau de risque est inférieur à élevé.
Toutes les activités des utilisateurs sont surveillées et enregistrées, en utilisant le contexte partagé Cato, et les utilisateurs se voient attribuer dynamiquement un Niveau de Risque basé sur un algorithme propriétaire qui prend en compte plusieurs points de données. Le Niveau de Risque peut alors être utilisé dans les politiques Internet et WAN pour uniquement autoriser l'accès aux utilisateurs présentant les risques les plus faibles.
Cato collecte les attributs suivants.
Attributs de l'utilisateur marqués politique peuvent être utilisés dans les politiques. Pour plus d'informations, consultez la Politique de Connectivité Client.
|
Éléments |
Attribut |
Exemples |
|---|---|---|
|
1 |
Activité des chevaux de Troie |
Dridex, Peacomm, PeacommBanking |
|
2 |
Logiciels Malveillants Bancaires |
Bancos, Banload, Banker |
|
3 |
Voleurs d'Information |
Zeus/Zbot, Agent, Symmi |
|
4 |
Activité de Compromission |
plusieurs signatures mappées à des techniques MITRE ATT&CK |
|
5 |
Trafic de Botnet |
Mirai, plusieurs signatures C2 |
|
6 |
Tunnel DNS |
Détections multiples de tunnels DNS |
|
7 |
Activité de Balise |
Vérifications régulières de Commande & Contrôle |
|
8 |
Communications de Domaines Multiples |
Domaines menaçants multiples puis serveur à faible réputation |
|
9 |
Communications de Ransomware |
Activité SMB et communications externes |
|
10 |
Comportement de Chiffrement |
Activité de chiffrement du système de fichiers |
|
11 |
Livraison de note de rançon |
Placement ou livraison de note de rançon |
|
12 |
Communications de Pool de Mining |
CryptInject, Cryptomineext, Groupfabric Bitcoinminer |
|
13 |
Utilisation des ressources |
Utilisation anormale du système pour le minage |
|
14 |
Transfert de données vers des destinations suspectes |
Exfiltration d'informations système, Exfiltration RaiDrive |
|
15 |
Vol d'identifiants |
Activité de vol d'identifiants et exfiltration |
|
16 |
Grands transferts de données |
Transferts sortants anormalement grands |
|
17 |
Exploitation de CVE |
CVE-2018-0101, CVE-2017-0199, CVE-2021-44228 (Log4Shell) |
|
18 |
Exploitation de jour zéro |
Signatures pour menaces émergentes |
|
19 |
Injection de commande |
Tentatives d'injection de commande détectées |
|
20 |
Traversal de répertoire |
Comportement de traversée de chemin |
|
21 |
Tentatives de téléversement de fichiers |
Téléversements de fichiers suspects vers des applications web |
|
22 |
Injection SQL |
Tentatives d'attaque SQLi |
|
23 |
Scripts multi-sites et CSRF |
Détections XSS et CSRF |
|
24 |
Hameçonnage Obfusqué |
Détection de tactiques cachées de hameçonnage |
|
25 |
Hameçonnage des identifiants |
Insertion de données sensibles dans des pages de hameçonnage |
|
26 |
Impersonation de marque |
Hameçonnage lié à DHL |
|
27 |
Outils de Scanning Automatisés |
Nikto, Nessus, OpenVAS |
|
28 |
Sondes de vulnérabilité ciblées |
Scans centrés sur CVE |
|
29 |
Énumération de réseau |
Scans de port et découverte de réseau |
|
30 |
Communication IP/Domaine connu mauvais |
Accès au domaine à faible réputation, TOR/proxy |
|
31 |
Email Utilisateur |
(politique - voir ci-dessous) |
|
32 |
Groupe Utilisateur |
(politique - voir ci-dessous) |
|
33 |
Niveau de Confiance Utilisateur |
(politique - voir ci-dessous) |
|
34 |
Plateforme |
(politique - voir ci-dessous) |
|
35 |
Pays |
(politique - voir ci-dessous) |
|
36 |
Origine de la connexion |
(politique - voir ci-dessous) |
|
37 |
Exécution à distance via SMB |
PsExec, PAExec, RemCom, CSExec |
|
38 |
Exécution à distance WinRM |
Shell de commande WinRS, PowerShell WinRM |
|
39 |
Exécution à distance Impacket |
Impacket PsExec, Impacket SMBExec, Impacket DCOMExec |
|
40 |
Exécution à distance WMI |
Exécution WMI via DCOM |
|
41 |
Manipulation des services à distance |
Créer le Service SVCCTL, Démarrer le Service SVCCTL, Supprimer le Service SVCCTL |
|
42 |
Tâches planifiées à distance |
tâches sch à distance, exécution de la tâche AT via atsvc |
|
43 |
Reconnaissance LDAP |
dump de confiance LDAP, personnes, ordinateurs, utilisateurs admins, requêtes de groupes |
|
44 |
Reconnaissance SAMR / LSARPC |
Recherche admin SAMR, Affichage des informations de la requête SAMR, enum admin local SAMR, admin intégré LSARPC |
|
45 |
Scan Multi-Service des Ports |
Scan des services FTP, SSH, RDP depuis une seule source IP |
|
46 |
Transfert d'outils d'authentification |
Transfert Mimikatz SMB |
|
47 |
Transfert d'outils offensifs via SMB |
Scripts PowerShell, Scripts Batch, Netcat, Nmap, ADFind, TDSSKiller |
|
48 |
Transfert d'outils de transfert de fichiers via SMB |
WinSCP, FileZilla, PuTTY, MobaXterm |
|
49 |
Exfiltration Rclone |
Rclone SSH, Rclone HTTP, téléchargement Rclone |
|
50 |
Exfiltration dans le Stockage Cloud |
API MEGA téléversement hors navigateur, téléversement de services cloud peu populaires |
|
51 |
Accès Bot Pastebin |
Accès non-navigateur au contenu brut de Pastebin |
|
52 |
FTP vers des Destinations Suspectes |
FTP vers IP de faible réputation, domaine de faible réputation, port non standard |
|
53 |
Tunnelisation des Protocoles |
Tunnel RDP sur les ports web, RDP sur TLS sur des ports non standards |
|
54 |
Téléchargement d'Outil RMM |
TeamViewer, AnyDesk, ScreenConnect, Splashtop, SimpleHelp, Atera, Zoho Assist |
|
55 |
Connexion Active RMM |
session WAN/inbound TeamViewer, bureau à distance AnyDesk, relais Splashtop, SimpleHelp latéral/UDP |
|
56 |
Transfert d'Outil RMM via SMB |
Transfert SMB AnyDesk, Transfert SMB Splashtop |
|
57 |
Utilisation d'outil CLI suspecte |
curl / wget vers des sites de faible réputation, téléchargement binaire curl / wget |
|
58 |
Téléchargement Suite PSTools |
Téléchargement PSTools suivi d'une exécution de masse PsExec (15+ hôtes en 10 min) |
Cato examine de nombreux indicateurs différents pour déterminer les comportements à Risque et les classe dans les 4 catégories ci-dessus. Ces indicateurs incluent :
-
Indicateurs des systèmes déjà compromis - plus de 2500 signatures, y compris :
-
Malware, tel que chevaux de Troie, logiciels malveillants financiers et diverses techniques de porte dérobée
-
Communications Commande & Contrôle, telles que trafic de botnet, tunnel DNS, et communications multiples de domaine
-
Activité de ransomware, tel que comportement de chiffrement, livraison de notes de ransomware, et communications de ransomware
-
Crypto mining, tel que communications de pool de minage et utilisation des ressources
-
Activités d'exfiltration, telles que transfert de données vers des destinations suspectes, vol de CREDENTIAL, et transferts de données larges
-
-
Indicateurs de tentatives bloquées qui pourraient conduire à une infection - plus de 2300 signatures, y compris :
-
Tentatives d'exécution de code à distance (RCE), telles qu'exploitation CVE, tentatives d'exploitation zéro-day, et injection de commande
-
Attaques d'application Web, telles que traversée de répertoire, tentatives de téléchargement de fichier, et XSS/CSRF
-
Activités de hameçonnage, telles que vol de CREDENTIAL par hameçonnage et usurpation de marque
-
Scan de vulnérabilité, tel que l'utilisation d'outils de scan automatiques et énumération réseau
-
-
Violations de Politique et activités à Risque qui pourraient potentiellement conduire à une compromission - plus de 1500 signatures, y compris :
-
Tentatives de mouvement latéral, telles qu'utilisation de psexec, utilisation de WinRM et télécommandes PowerShell
-
Divulgation d'informations, telles qu'exposition de données sensibles, fuites de messages d'erreur, et listings de répertoire
-
Indicateurs basés sur la réputation, tels que utilisation de TOR ou proxy, accès de domaine suspect, et communication avec adresses IP reconnues malveillantes
-
Événements bloqués déclenchés par le moteur de sécurité basé sur le comportement de Dynamic Prevention. Pour plus d'informations, consultez Qu'est-ce que la Prévention Dynamique?
-
Le Niveau de Risque Utilisateur est un outil essentiel pour les équipes réseau et sécurité, permettant des politiques de contrôle d'accès dynamique zéro-confiance pour protéger à la fois le trafic d'applications internes et le trafic Internet. Il offre des Aperçus précieux sur votre posture de Risque, vous permettant d'ajuster vos stratégies de Sécurité de manière dynamique en réponse à des Menaces en évolution.
Vous pouvez créer des politiques basées sur le risque dans vos pare-feu Internet et WAN pour bloquer l'accès à vos applications.
Pour définir une règle basée sur le risque dans vos pare-feux :
-
Lors de la configuration de vos politiques de pare-feux Internet ou WAN, ajoutez l'Utilisateur ou les Groupes d'Utilisateurs auxquels la règle s'applique.
-
Dans la section Appareil de la règle, sous Attributs d'Utilisateur, cliquez sur Ajouter Attribut.
-
Entrez les critères de Niveau de Risque pour faire correspondre la règle.
-
Définissez l'Action à prendre lorsque la règle est correspondante et cliquez sur Enregistrer.
La page Accès > Utilisateurs fournit une visibilité sur l'ensemble des utilisateurs de votre système et leurs niveaux de risque.
Vous pouvez filtrer les informations de la page en fonction du niveau de risque afin de trouver facilement ceux qui posent potentiellement la plus grande menace pour l'organisation. Les valeurs de niveau de risque sont :
-
Critique
-
Élevé
-
Moyen
-
Faible
Depuis cette page, vous pouvez effectuer des actions spécifiques basées sur le niveau de risque, telles que révoquer une session utilisateur ou réinitialiser le niveau de risque.
Pour comprendre ce qui détermine le Niveau de Risque d'un utilisateur, vous pouvez cliquer sur un utilisateur individuel et naviguer sur la page Risque Utilisateur, qui présente alors leur tableau de bord de Score de Risque. Utilisez le Tableau de bord Score de Risque Utilisateur pour enquêter sur la posture de Risque d'un Utilisateur spécifique et prendre des actions de remédiation immédiates. Le tableau de bord vous aide à comprendre comment le Risque d'un Utilisateur change au fil du Temps, ce qui contribue à ce Risque et quels événements de Sécurité sont liés, afin que vous puissiez passer rapidement de l'enquête à la remédiation. Vous accédez au tableau de bord depuis l'Annuaire des utilisateurs.
Pour voir les informations d'un utilisateur spécifique, vous devez avoir les autorisations nécessaires définies dans le rôle Accès à l'admin :
-
Aucun - vous ne pouvez pas accéder au tableau de bord du Score de Risque pour un utilisateur spécifique
-
Voir - vous pouvez voir le tableau de bord du Score de Risque, mais ne pouvez pas effectuer de actions
-
Modifier - vous avez toutes les autorisations pour voir le tableau de bord du Score de Risque et effectuer des actions telles que révoquer une session ou réinitialiser le Score de Risque
Utilisez les vues du tableau de bord pour enquêter sur la raison pour laquelle le score de Risque de l'utilisateur a changé et ce qui y contribue. Examinez le Risque au fil du Temps pour identifier les pics de score et les tendances, les contributeurs de Risque pour voir les facteurs influençant le score actuel, les événements de Sécurité liés pour voir les événements de Sécurité associés à l'utilisateur, et les événements de contribution de Score pour voir les événements spécifiques qui ont contribué aux Modifications de score, pour chacun des éléments suivants :
-
IPS
-
Anti-Malware
-
Activité Suspecte
-
Pare-feu
-
Prévention Dynamique
Vous pouvez cliquer sur n'importe lequel des liens dans une section donnée, par exemple, Voir tous les événements IPS pour naviguer vers la page des Événements, qui est alors filtrée par l'Utilisateur et le type d'événement.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.