Cato Threat Prevention est un service de sécurité cloud native qui inspecte le trafic WAN et Internet dans le Cato Cloud pour détecter et bloquer les fichiers malveillants, les logiciels malveillants, les attaques réseau et autres menaces de sécurité. La prévention des menaces aide à sécuriser votre trafic en empêchant les logiciels malveillants, en bloquant les domaines et destinations malveillants, en détectant les tentatives d'exploitation et autres activités d'attaque et en arrêtant les menaces avant qu'elles n'affectent les utilisateurs ou les ressources. Vous pouvez étendre cette protection avec des services avancés de prévention des menaces tels que l'isolation du navigateur à distance (RBI), qui isole les sessions Web de l'appareil de l'utilisateur, et Sandbox, qui scanne les fichiers suspects dans un environnement isolé pour une analyse plus approfondie.
Les moteurs de sécurité de Cato travaillent ensemble dans un service cloud native unique pour fournir des détections plus précises, une application plus cohérente et une protection plus forte tout au long du cycle de vie des menaces. Plutôt que de prendre des décisions isolées, les moteurs inspectent le même trafic et s'appuient sur des analyses partagées à travers plusieurs couches de protection. Cette architecture unifiée améliore la coordination entre les contrôles de sécurité et aide à arrêter les menaces avant qu'elles ne puissent se propager ou causer des dommages.
Cato Threat Prevention utilise également l'IA et l'apprentissage automatique en tant qu'élément de l'infrastructure de service pour améliorer l'intelligence sur les menaces et renforcer la qualité de détection. Cela inclut la classification des IOC basée sur l'IA, l'analyse par apprentissage automatique des métadonnées de trafic, les protections par apprentissage automatique dans l'IPS pour les menaces et l'analyse proactive basée sur le comportement dans Dynamic Prevention. Ensemble, ces capacités renforcent la détection à travers les moteurs de protection et aident Cato à identifier plus efficacement les menaces connues et inconnues.
Une inspection complète des menaces nécessite une inspection TLS, afin que le trafic chiffré puisse également être analysé.
Cato déchiffre, inspecte et ré-chiffre le trafic en ligne afin que les services de prévention des menaces et de prévention avancée des menaces puissent analyser le trafic chiffré, y compris l'Anti-Malware, l'IPS et le bac à sable. Cela étend l'inspection des menaces aux sessions chiffrées et permet à plus de trafic d'être évalué par l'ensemble complet des couches de protection. Les règles Granular Inspect et Bypass vous aident à maintenir la couverture de sécurité tout en excluant le trafic qui ne doit pas être inspecté.
Parce que l'inspection TLS peut affecter l'expérience utilisateur pour les sites légitimes, Cato fournit un assistant de configuration d'inspection TLS qui vous aide à déployer plus rapidement les règles Inspect et Bypass recommandées tout en personnalisant la politique pour votre environnement.
Les moteurs de prévention des menaces fonctionnent dans les PoPs du Cato Cloud et inspectent uniquement le trafic qui le traverse. Le trafic qui contourne le Cato Cloud, tel que le trafic MPLS ou le trafic provenant de sites et de clients qui sortent directement vers Internet public, n'est pas inspecté par les services de prévention des menaces ou de prévention avancée des menaces. Ce trafic est en dehors de la portée de l'inspection des menaces en ligne de Cato.
Ces services travaillent ensemble pour offrir une protection en couches en combinant la détection basée sur les signatures, l'analyse comportementale et l'apprentissage automatique pour identifier les menaces connues et inconnues. Comme ils fonctionnent tous dans le Cato Cloud dans le cadre d'une architecture de sécurité unique, chaque couche contribue à une vue plus large et plus coordonnée de l'activité des menaces. La gestion centralisée dans le CMA vous permet de configurer facilement des politiques, de surveiller les événements et de maintenir la visibilité sur tout le trafic protégé.
Cato IPS inspecte le trafic entrant, sortant et WAN pour protéger les applications, les appareils et les services réseau contre les vulnérabilités connues, les bots, le trafic malveillant et d'autres attaques basées sur le réseau. Le service comprend plusieurs couches de protection telles que l'analyse de réputation, les protections de vulnérabilité connues, la détection anti-bot, l'analyse comportementale réseau, la validation de protocole, la restriction géographique et la détection des attaques par tunnel.
Les signatures IPS sont continuellement mises à jour par Cato Research, et les politiques IPS sont conçues pour équilibrer la couverture de sécurité avec la stabilité opérationnelle. L'IPS peut appliquer des protections en mode blocage ou surveiller le trafic sans bloquer, et il aide à prévenir l'exploitation des vulnérabilités connues dans le trafic traversant le Cato Cloud.
Le service IPS inclut la protection DNS pour mettre en œuvre la sécurité DNS pour le trafic de votre compte. La protection DNS bloque les requêtes DNS vers des domaines malveillants avant qu'une connexion ne soit établie avec la destination, ce qui aide à stopper les menaces telles que le phishing, la livraison de logiciels malveillants et la communication de commande-et-contrôle plus tôt dans le flux des attaques. En bloquant les demandes malveillantes au niveau de la couche DNS, la protection DNS aide à stopper les attaques avant la livraison de la charge utile et offre une visibilité qui soutient une enquête sur les menaces plus étendue.
Vous pouvez activer ou désactiver des protections DNS spécifiques et définir des actions telles qu'Autoriser, Bloquer ou Trou Noir pour chaque protection. L'action Trou Noir redirige les demandes DNS de domaines malveillants vers un serveur Trou Noir au lieu de la destination originale. Cela aide également à identifier le point d'origine de la demande, y compris dans les environnements utilisant des proxys DNS internes, et prend en charge la détection d'appareils potentiellement infectés.
La surveillance des activités suspectes élargit la visibilité IPS pour les activités suspectes du réseau qui ne sont pas surveillées par les signatures IPS standard. SAM identifie les activités pouvant indiquer une compromission ou une violation, mais le trafic n'étant pas définitivement malveillant, il surveille le trafic sans le bloquer.
En corrélant les événements au fil du temps, SAM réduit le bruit et offre aux équipes de sécurité une meilleure visibilité sur les activités de l'attaque au stade précoce. Cela vous aide à identifier les menaces qui ne sont pas détectées par les contrôles basés sur les signatures IPS. Cela ajoute un contexte d'enquête pour les activités qui peuvent ne pas déclencher une prévention directe et aide à identifier les menaces que les contrôles basés sur les signatures pourraient seuls manquer.
Cato Anti-Malware et NG Anti-Malware offrent deux couches de protection pour empêcher les fichiers malveillants de pénétrer dans votre réseau. Les deux couches scannent simultanément les fichiers du trafic WAN et Internet.
L'Anti-Malware utilise des signatures de fichiers connues et une analyse heuristique pour détecter les fichiers malveillants. NG Anti-Malware utilise l'apprentissage automatique et des modèles prédictifs pour classer les fichiers comme bénins, suspects ou malveillants et détecter les logiciels malveillants inconnus et zero-day. Cette approche en couches bloque les ransomwares, les chevaux de Troie et autres logiciels malveillants sans impact sur l'expérience utilisateur.
Les services de prévention avancée des menaces offrent une protection supplémentaire contre les menaces sophistiquées qui peuvent contourner les contrôles standard de prévention des menaces. Ces services étendent la protection de Cato avec une navigation isolée, une analyse avancée des fichiers et une prévention basée sur le comportement pour aider à détecter et arrêter les techniques d'attaque sophistiquées.
RBI fait partie de la politique de pare-feu Internet et protège les utilisateurs des menaces basées sur le Web et le navigateur sans bloquer l'accès à Internet. Au lieu de rendre le contenu Web sur l'appareil de l'utilisateur, RBI exécute la session de navigation dans un environnement isolé dans le Cloud Cato et diffuse une représentation visuelle sécurisée au navigateur. Cela aide à protéger contre les menaces telles que les ransomwares, les logiciels malveillants, le phishing, les publicités malveillantes et le cross-site scripting (XSS), tout en permettant aux utilisateurs d'accéder en toute sécurité aux sites Web risqués ou inconnus. RBI étend la protection à l'activité de navigation risquée sans obliger les utilisateurs à contourner les contrôles de sécurité.
La prévention dynamique est un moteur de sécurité basé sur le comportement qui applique de manière préemptive des contrôles adaptatifs en réponse aux menaces détectées pour réduire la surface d'attaque et atténuer les menaces rapidement, avant qu'elles ne puissent affecter votre environnement. Il analyse l'activité au fil du temps et dans un contexte plus large que les détections ponctuelles traditionnelles, ce qui aide à identifier des comportements suspects qui peuvent utiliser des outils légitimes ou apparaître autrement bénins de manière isolée. Lorsque des comportements anormaux sont détectés, la prévention dynamique peut appliquer automatiquement des contrôles temporaires et les ajuster ou les supprimer continuellement au fur et à mesure que le comportement change.
Le bac à sable est un environnement isolé et sécurisé où des fichiers potentiellement malveillants ou suspects sont exécutés et analysés sans risquer votre réseau. Cela ajoute une analyse approfondie pour l'enquête sur les logiciels malveillants afin de détecter les menaces inconnues et furtives. Les fichiers identifiés par la politique Anti-Malware comme malveillants ou suspects sont automatiquement scannés dans le bac à sable, et vous pouvez également télécharger des fichiers spécifiques pour une analyse.
Le cadre MITRE ATT&CK est une base de connaissances des tactiques et techniques adverses qui aide les équipes de sécurité à classifier et enquêter sur l'activité d'attaque. Le tableau de bord Cato MITRE ATT&CK offre une visibilité sur l'activité d'attaque dans votre réseau en utilisant le cadre MITRE ATT&CK. Il cartographie les menaces détectées par les services de sécurité Cato aux tactiques et techniques ATT&CK, aidant les équipes de sécurité à comprendre comment les attaques progressent à travers la chaîne de destruction. Le tableau de bord inclut des analyses et des visualisations telles que des résumés de tactiques, des relevés de techniques, des chronologies d'événements et des appareils affectés. Vous pouvez explorer de manière approfondie des techniques ou sources spécifiques pour enquêter sur des événements de sécurité et analyser des modèles d'attaque dans votre environnement. Cela aide à connecter les détections individuelles à l'histoire plus large de l'attaque et donne aux équipes de sécurité une vue plus claire de la façon dont les menaces se développent dans l'environnement.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.