Le hameçonnage reste une cause majeure de vol de données d'identification et de propagation de logiciels malveillants, même dans les organisations qui déploient des protections avancées pour les courriels et les navigateurs. Les attaquants continuent de développer leurs techniques pour contourner les contrôles de sécurité et exploiter la confiance des utilisateurs.
Cato fournit des services de sécurité complets, y compris des protections web, cloud et Zero Trust Network Access (ZTNA), pour détecter et bloquer les tentatives de hameçonnage, minimiser l'exposition des utilisateurs et vous aider à identifier et rectifier les attaques rapidement.
Vous gérez et visualisez toutes les détections, politiques et événements liés au hameçonnage dans l'application de gestion Cato. L'interface unifiée corrèle les données de services tels que le pare-feu Internet, l'IPS, la Protection DNS, l'Isolation du navigateur à distance (RBI), le Courtier de sécurité d'accès au cloud (CASB) et le ZTNA. Cette vue consolidée simplifie l'enquête et la réponse aux incidents de hameçonnage, vous permettant de revoir les incidents, analyser l'activité et mettre à jour les politiques sans changer d'outil.
Par exemple, si l'IPS ou la Protection DNS bloque un domaine de hameçonnage, XOps affiche immédiatement l'événement corrélé dans le cadre d'une histoire de hameçonnage. Vous pouvez ensuite tracer l'attaque à travers les services et appliquer des politiques mises à jour, tout cela au sein de la CMA.
Les attaques de hameçonnage sont parmi les méthodes les plus efficaces pour compromettre les utilisateurs et infiltrer les organisations. Les attaquants utilisent des domaines trompeurs, des pages de connexion factices et l'ingénierie sociale pour collecter des données d'identification ou diffuser des logiciels malveillants, souvent en se faisant passer pour des marques de confiance ou des services cloud. Ces campagnes incluent souvent des courriels fictifs ou des sites Web frauduleux conçus pour ressembler à des entreprises légitimes telles que Microsoft, AWS ou Apple, incitant les utilisateurs à entrer leurs données de connexion ou à approuver des requêtes malveillantes.
Les campagnes de hameçonnage modernes exploitent de plus en plus les plateformes cloud et de collaboration, rendant plus difficile pour les outils de sécurité traditionnels de détecter et bloquer les activités malveillantes. Les acteurs de la menace s'adaptent rapidement, utilisant l'automatisation et le chiffrement pour échapper à la détection et masquer la communication avec l'infrastructure de commande et de contrôle.
Les campagnes de hameçonnage continuent d'évoluer, exploitant les marques de confiance et les services cloud. Les défis courants de détection incluent :
-
Domaines Nouvellement Enregistrés (NRDs) : les attaquants enregistrent et rejettent rapidement les domaines pour échapper aux systèmes de réputation.
-
Abus de SaaS : contenu malveillant hébergé sur des services de collaboration ou de stockage légitimes.
-
Chiffrement TLS : cache les charges utiles de hameçonnage et les URLs dans le trafic chiffré.
-
Visibilité Fragmentée : les produits ponctuels séparés rendent difficile la corrélation des détections et la compréhension du flux complet de l'attaque.
Cato inspecte tout le trafic WAN, Internet et l'accès distant en ligne au sein de chaque PoP. La détection et le blocage du hameçonnage se produisent grâce à des services de sécurité convergés qui opèrent en parallèle dans la pile unifiée.
Les protections de base sont incluses avec le service Cato régulier. La Protection contre les menaces, la Protection avancée contre les menaces, CASB et XOps nécessitent chacun une licence distincte.
-
Pare-feu Internet : Utilise le filtrage d'URL basé sur la catégorie et la réputation, continuellement mis à jour par de multiples flux d'intelligence des menaces, pour bloquer l'accès aux domaines de hameçonnage connus ou suspects. Vous pouvez définir et importer des indicateurs de compromis (IoCs) personnalisés pour améliorer la couverture de détection des campagnes de hameçonnage ciblées ou émergentes.
-
ZTNA (Accès réseau Zero Trust) : Applique un accès minimal aux applications internes et cloud via des contrôles basés sur l'identité. Les fonctionnalités du ZTNA incluent la vérification de l'identité, les contrôles de conformité de l'appareil, et la connectivité Toujours Active qui garantit que toutes les sessions sont authentifiées et inspectées en temps réel.
-
Inspection TLS : Déchiffre et re-chiffre les sessions HTTPS au PoP, permettant l'inspection des URLs, formulaires et scripts chiffrés pour identifier et bloquer les pages de hameçonnage cachées dans le trafic TLS.
Articles connexes :
-
IPS et Protection DNS : Détecte et bloque les campagnes de hameçonnage en utilisant les IoCs, l'analyse heuristique et les modèles AI/ML qui identifient les domaines risqués ou trompeurs et les pages de connexion clonées. La Protection DNS bloque les requêtes DNS avant qu'une connexion ne soit établie avec le serveur malveillant — empêchant toute poignée de main TCP ou UDP
Articles connexes :
-
Cybersquatting : Cato protège contre les domaines créés intentionnellement pour ressembler à des marques ou services légitimes (par exemple, micros0ft-login.com), qui trompent les utilisateurs pour entrer leurs identifiants. En savoir plus sur ce blog : Cato Networks ajoute une protection contre les dangers du cybersquatting
-
Kits de hameçonnage : L'IPS identifie également les activités liées aux kits de hameçonnage — ensembles d'outils pré-packagés utilisés par les attaquants pour automatiser la création de pages de connexion factices et l'infrastructure de vol d'identifiants. En savoir plus sur ce blog : Kits de hameçonnage furtifs exposés : analyse approfondie et défense en temps réel par Cato Networks
-
RBI (Isolation du navigateur à distance) : Exécute les sessions de navigation pour des sites non fiables ou inconnus dans un conteneur cloud sécurisé. Empêche la soumission d'identifiants et l'exécution de scripts, protégeant ainsi les utilisateurs qui visitent des sites suspects échappant aux autres couches de détection.
Articles connexes :
Le Courtier de sécurité d'accès au cloud (CASB) de Cato offre visibilité et contrôle sur les applications SaaS et cloud, vous aidant à identifier les risques de hameçonnage et à prévenir les compromis des comptes.
-
Contrôle d'application : Utilise des contrôles en ligne pour appliquer des politiques des applications SaaS approuvées et surveille les activités des applications non approuvées via des intégrations API. CASB aide à détecter les risques liés au hameçonnage tels que le partage de fichiers factices, les liens malveillants ou les autorisations OAuth non autorisées dans les outils de collaboration cloud.
-
Contrôle d'application via API : Offre visibilité et gouvernance pour le trafic hors bande, surveillant les activités des utilisateurs dans les applications SaaS autorisées même lorsque le trafic ne passe pas par le Cloud Cato.
Articles connexes :
Le CASB de Cato aide à protéger contre les campagnes de hameçonnage qui entraînent une communication de logiciels malveillants avec des serveurs de commande et de contrôle (C2) hébergés sur des plateformes cloud légitimes comme Google Drive ou Trello, une technique connue sous le nom de "Vivre sur le Cloud". Ces services sont souvent autorisés par défaut dans de nombreuses organisations et peuvent échapper aux défenses contre le hameçonnage qui reposent sur le filtrage d'URL ou la réputation IP.
-
Restrictions de locataire : Appliquez des restrictions de locataire pour bloquer l'accès aux instances d'applications cloud non autorisées ou personnelles, assurant que seuls les comptes approuvés par l'entreprise sont accessibles.
-
Contrôles au niveau des activités : Appliquez des contrôles pour bloquer les actions à haut risque, telles que télécharger des fichiers ou accéder à des services cloud via des clients non autorisés, empêchant les attaquants d'utiliser des services cloud de confiance pour exfiltrer des données ou émettre des commandes à distance vers des systèmes compromis.
-
Pour plus d'informations, consultez cette vidéo
XOps est le service d'analyse avancée et de corrélation d'incidents de Cato. Il combine les données de tous les moteurs de sécurité pour identifier, prioriser et contextualiser les incidents liés au hameçonnage. En présentant ces insights sous forme d'histoires corrélées et d'analyses comportementales, XOps vous permet de détecter, d'examiner et de rectifier l'activité de hameçonnage plus efficacement dans la CMA.
-
Histoires de sécurité : Corrèle les détections de hameçonnage en récits unifiés pour l'analyse.
Vous pouvez également prendre des mesures pour atténuer directement une menace de hameçonnage au sein d'une histoire, comme révoquer la session pour les utilisateurs distants ou ajouter la cible à un conteneur bloqué par une règle de pare-feu.
-
UEBA : Détecte des modèles de connexion anormaux ou des mouvements latéraux après une tentative de hameçonnage, vous aidant à identifier les comptes compromis et à contenir l'activité post-attaque.
Articles connexes :
Les capacités d'identité et de comportement de Cato renforcent la résilience au hameçonnage en limitant l'exposition et en réduisant l'impact du vol de données d'identification. Ces fonctionnalités imposent la vérification des utilisateurs, la conformité des appareils et l'accès minimal pour garantir que seuls les utilisateurs authentifiés et sécurisés peuvent se connecter aux ressources de l'entreprise.
Le cadre de sensibilisation de l'utilisateur de Cato associe toutes les activités sur la plateforme à des identités vérifiées. Les politiques d'accès basées sur l'identité et visibilité dans la CMA vous permettent de tracer l'activité liée au hameçonnage à des comptes spécifiques et d'imposer une segmentation ciblée pour le confinement.
Pour plus d'informations, consultez Sensibilisation de l'Utilisateur
Les attaques de hameçonnage dépendent souvent de l'utilisation de données d'identification volées. Cato atténue ce risque grâce à des intégrations avec les fournisseurs d'identité d'entreprise pour l'authentification unique (SSO) et l'authentification multi-facteurs (MFA). Des politiques d'accès sont dynamiquement appliquées au PoP en fonction de l'identité de l'utilisateur, de la posture du dispositif et du contexte pour empêcher la réutilisation des identifiants et le mouvement latéral.
Pour plus d'informations, consultez IdP Authentification Unique
Cato vérifie que seuls les appareils conformes et gérés peuvent se connecter aux ressources de l'entreprise. Avant que l'accès ne soit accordé, la plateforme vérifie la posture de l'appareil (logiciel de sécurité, OS, configuration) et bloque les points d'extrémité non conformes pour s'assurer que les appareils potentiellement compromis ne peuvent pas être utilisés dans des campagnes de hameçonnage.
Pour plus d'informations, consultez Politique de Connectivité Client (Posture de l'appareil).
La CMA fournit une visibilité unifiée des activités liées au hameçonnage en regroupant les détections de tous les moteurs de sécurité de Cato, y compris Pare-feu Internet, IPS, Protection DNS, RBI, l'accès distant et Surveillance d'Activités Suspectes (SAM). La CMA exploite l'intelligence à l'échelle du cloud de Cato pour améliorer continuellement l'exactitude de la détection du hameçonnage et identifier les comportements d'attaque émergents.
Vous pouvez enquêter sur les événements liés au hameçonnage dans la CMA en utilisant des filtres contextuels tels que l'utilisateur, l'application et le site pour identifier les détections connexes. La recherche en langage naturel et les rapports détaillés fournissent un accès rapide aux événements de hameçonnage.
Les tableaux de bord et rapports clés incluent le tableau de bord de sécurité, le tableau de bord des applications, les rapports d'activité utilisateur et les rapports de menaces, qui mettent en évidence les domaines de hameçonnage, les soumissions répétées d'identifiants et les activités utilisateur risquées.
XOps fournit une corrélation avancée et des analyses d'incidents qui simplifient les enquêtes sur le hameçonnage. Il agrège les détections de plusieurs moteurs de sécurité, y compris l'IPS, la Protection DNS, le RBI et le SAM, les corrélant en Histoires de Sécurité unifiées qui montrent la séquence complète de hameçonnage. Les Histoires Similaires mettent en lumière des attaques connexes, et les résumés générés par l'IA accélèrent la triage. L'intégration avec des outils tels que SentinelOne, Microsoft Defender et CrowdStrike étend le contexte aux Points d'Extrémité pour une investigation unifiée. Pour plus d'informations, voir XOps Security Playbook - Phishing Website Attack.
SAM améliore la détection et l'investigation de hameçonnage en identifiant les comportements réseau qui peuvent indiquer des menaces émergentes ou un usage abusif lié aux campagnes de hameçonnage. Il détecte les motifs de trafic qui correspondent aux signatures créées par l'équipe de recherche Cato Sécurité, identifiant une activité qui dévie du comportement attendu de l'utilisateur ou de l'application. Par exemple, SAM peut signaler des soumissions répétées d'informations d'identification vers des domaines inconnus, des demandes sortantes suspectes suite à une tentative de hameçonnage, ou un trafic cohérent avec une communication de commandement et contrôle.
Pour plus d'informations, voir Surveillance d'activité suspecte avec IPS (SAM).
Cato atténue les attaques de hameçonnage à chaque étape du cycle de vie de l'attaque - de tentatives initiales d'accès à l'activité post-compromis - en corrélant les détections à travers ses moteurs de Sécurité. Cette approche du cycle de vie garantit que les menaces sont bloquées en temps réel et suivies, contextualisées et contenues grâce à la visibilité intégrée et l'automatisation dans le CMA et XOps.
Les moteurs d'inspection en ligne de Cato empêchent proactivement les utilisateurs de se connecter à l'infrastructure de hameçonnage, réduisant l'exposition avant qu'une session soit établie.
-
Pare-feu Internet et Protection DNS : Bloque l'accès aux domaines risqués ou suspects
-
IPS : Bloque l'accès aux sites de hameçonnage connus et à l'infrastructure de collecte de crédentials
Cato empêche les utilisateurs de soumettre des crédentials à des sites de hameçonnage qui contournent les filtres de réputation de domaine ou URL.
-
IPS : Détecte les motifs d'entrée de crédentials et les structures de pages de hameçonnage en temps réel
-
RBI : Isole les sessions web dans un conteneur sécurisé, empêchant la saisie de données ou l'interaction avec les formulaires et scripts de hameçonnage
Cato fournit une visibilité sur l'activité inhabituelle qui peut indiquer un hameçonnage réussi ou un usage abusif des crédentials, vous aidant à identifier et à contenir rapidement des compromissions potentielles.
-
SAM génère des événements lorsqu'il observe des soumissions répétées de crédentials, des connexions sortantes anormales, ou un comportement cohérent avec une communication de commandement et contrôle
Par exemple, si une attaque de hameçonnage sophistiquée a échappé à d'autres protections, la surveillance des événements SAM peut aider à identifier un hôte infecté.
Le service XOps unifie les données liées au hameçonnage de plusieurs moteurs de Sécurité en une seule vue d'investigation.
-
Histoires de Sécurité : Connectez les événements de l'IPS, de la Protection DNS, du RBI et du SAM en un récit chronologique de l'attaque
-
Analyse pilotée par l'IA : Met en lumière les causes profondes, les utilisateurs affectés et les actions de suivi
-
Histoires Similaires : Identifiez les campagnes récurrentes ciblant la même organisation ou les mêmes utilisateurs
Cato simplifie la réponse au hameçonnage et les flux de travail opérationnels en centralisant l'investigation, la containment et la coordination à travers les moteurs de Sécurité dans le CMA avec XOps. Cette approche unifiée vous permet de gérer efficacement les incidents, d'accélérer la remédiation et de réduire l'impact global des attaques de hameçonnage.
Vous pouvez contenir les incidents de hameçonnage directement depuis le CMA pour réduire le temps de réponse et minimiser l'impact de l'abus de crédentials ou des comptes compromis.
-
Contrôles utilisateur et session : Isolez les utilisateurs affectés et bloquez tout accès supplémentaire
-
Utilisateurs distants : Révoquez les crédentials des utilisateurs connectés via le Client Cato pour éviter un accès continu par des comptes compromis
-
Utilisateurs derrière un site : Désactivez les utilisateurs affectés et créez des règles de pare-feu WAN et Internet qui bloquent l'utilisateur spécifique en tant que source de trafic (nécessite la Sensibilisation de l'Utilisateur)
-
-
Application de la Politique : Mettez à jour les politiques de pare-feu WAN et Internet en temps réel pour bloquer la communication vers des domaines ou des adresses IP de hameçonnage nouvellement identifiés
-
Intégration multiplateformes : Intégrez-vous avec des outils de protection des points de terminaison tels que SentinelOne, Microsoft Defender, CrowdStrike et Protection des Points Terminaux Cato (EPP)
-
Les données de ces outils EPP sont incluses dans le contexte des événements CMA, vous permettant de voir les détections de points d'extrémité aux côtés des événements de Sécurité réseau de Cato
-
-
Corrélation XOps : Les histoires de Sécurité XOps incluent les données EDR de détection et de réponse des points de terminaison, fournissant une visibilité corrélée à travers les couches réseau et point d'extrémité
Articles connexes :
Le CMA simplifie les opérations de Sécurité en automatisant la gestion des alertes, les tâches d'investigation et de reporting.
-
Alertes centralisées : Voir, filtrer et prioriser les alertes liées au hameçonnage de tous les moteurs de Sécurité en un seul endroit
-
Intégrations de notifications : Envoyez des alertes automatisées aux plateformes de collaboration telles que Slack, ServiceNow ou email pour accélérer l'escalade et le suivi
-
Examens des événements : Révisez les événements de hameçonnage, y compris les détections SAM et IPS, pour identifier les tendances et améliorer la précision
-
Rapports incluant les données de hameçonnage : Générer des rapports qui résument l'activité liée au hameçonnage, tels que le Rapport des événements de Sécurité, le Rapport des investigations XOps et le Rapport des détections XOps, pour soutenir la visibilité opérationnelle et le reporting exécutif
Articles connexes :
Les protections complémentaires de Cato fonctionnent en parallèle des défenses contre le hameçonnage pour fournir une sécurité complète à travers les données, les points d'extrémité, et les appareils connectés. Ces services protègent contre la perte de données, l'infection par des logiciels malveillants, et l'exploitation IoT qui peut survenir durant ou après une attaque de hameçonnage. Chaque protection nécessite une licence séparée.
-
DLP : Aide à prévenir les tentatives d'exfiltration de données qui peuvent suivre une attaque de hameçonnage
-
Cato EPP : Détecte et bloque les logiciels malveillants ou autres charges utiles livrées par des vecteurs de hameçonnage
-
Sécurité IoT : Protège les ressources IoT gérées et identifie les appareils non gérés qui pourraient être exploités suite à un compromis de hameçonnage
Le moteur DLP de Cato protège les informations sensibles de l'exfiltration après une tentative de hameçonnage. Pour plus d'informations, voir Qu'est-ce que le service DLP de Cato ?.
-
Application DLP en ligne : Inspecte tout le trafic pour des informations sensibles et bloque les transferts non autorisés à l'extérieur de l'organisation
-
Surveillance hors bande : Utilise des connecteurs basés sur l'API pour surveiller l'activité des données et le partage au sein des applications SaaS autorisées, même lorsque le trafic ne passe pas par le Cloud Cato
-
Visibilité : Fournit des données d'événements dans le CMA pour la revue et l'audit des violations de politique de gestion de données
La Protection des Points Terminaux de Cato (EPP) sécurise les points d'extrémité en détectant et bloquant les logiciels malveillants et les charges utiles livrées par hameçonnage sans dépendre de l'inspection du trafic PoP. Cela garantit une protection continue, même lorsque les appareils fonctionnent en dehors du Cloud Cato. Pour plus d'informations, voir Getting Started with Cato's Endpoint Protection (EPP).
-
Prévention locale des menaces : Détecte et bloque les fichiers malveillants, les scripts, et les charges utiles avant leur exécution
-
Analyse comportementale : Identifie les processus suspects et l'activité de type ransomware provenant d'attaques de hameçonnage
-
Intégration CMA : Envoie des alertes de points d'extrémité et des données de télémetrie au CMA pour une visibilité centralisée, vous permettant d'investiguer les logiciels malveillants liés au hameçonnage aux côtés des données réseau et d'identité
-
Découverte des appareils : Identifie automatiquement tous les appareils IoT et OT connectés au réseau
-
Surveillance comportementale : Détecte des motifs de communication anormaux, tels que des appareils tentant de contacter des domaines contrôlés par hameçonnage ou de commandement et contrôle
0 commentaire
Vous devez vous connecter pour laisser un commentaire.