En plus du pare-feu et du filtrage d'URL de Cato, il existe des services de sécurité supplémentaires : anti-malware et système de prévention des intrusions (IPS). Les deux services peuvent être activés instantanément et nécessitent presque aucune configuration. Ces services fournissent une couche de sécurité supplémentaire pour le trafic WAN, le trafic Internet ou les deux.
-
En bref, Anti-Malware détectera et bloquera les fichiers malveillants. Il peut être considéré comme une passerelle anti-virus dans le cloud.
-
L'IPS, en revanche, détectera et bloquera l'exploitation des vulnérabilités de l'hôte. Par exemple, si un utilisateur utilise une version non corrigée de Windows (sans les dernières mises à jour de sécurité), le serveur distant peut exploiter une vulnérabilité spécifique de l'hôte et exécuter du code malveillant sur la station de travail. L'IPS est généralement considéré comme un serveur de "correctifs virtuels". La plupart du temps, l'informatique lutte pour s'assurer que tous les hôtes ont les dernières mises à jour de sécurité et correctifs. L'IPS est la solution immédiate pour les nouvelles vulnérabilités.
L'activation du service Anti-Malware et IPS est fortement recommandée. L'utilisateur final ne ressent aucun délai en raison du traitement anti-malware. Lorsqu'un fichier malveillant est détecté, l'accès de l'utilisateur sera bloqué et l'utilisateur sera redirigé vers une page de blocage.
Il n'y a aucune raison de ne pas activer ces services. L'équipe de sécurité de Cato garde la base de données de protection contre les malwares à jour en permanence sur la base des bases de données d'intelligence des menaces mondiales pour assurer une protection efficace contre les menaces actuelles.
Comme meilleure pratique pour activer les services Anti-Malware et IPS, il est conseillé de suivre le flux de travail suivant :
-
Activer l'Anti-Malware et l'IPS en mode Monitor pour le trafic WAN et Internet. En mode Monitor, le trafic malveillant est uniquement enregistré et non arrêté.
-
Si nécessaire, vous pouvez configurer le suivi pour recevoir une alerte par courriel lorsqu'un malware a été détecté (mais non bloqué car il est en mode Monitor).
-
Examinez les événements AM et IPS dans quelques jours et passez progressivement les services en mode Bloquer.
Remarque
Remarque : Pour des résultats de détection maximaux, l'inspection TLS doit être activée.
L'inspection TLS permet aux moteurs de sécurité d'analyser le trafic chiffré qui pourrait contenir des fichiers malveillants ou du code. L'activation de l'inspection TLS est l'étape finale pour activer l'Anti-Malware et l'IPS. Un guide pour activer l'inspection TLS et des directives pour distribuer le certificat Cato en utilisant GPO se trouvent ici.
Ci-dessous, un guide étape par étape pour configurer les services de sécurité et examiner les résultats.
-
Dans le volet de navigation, cliquez sur Sécurité > Anti-Malware.
-
Click the left slider to enable (green) or disable (gray) Anti-Malware protection for the account.
-
Click the right slider to enable (green) or disable (gray) the NG Anti-Malware engine.
Maintenant, les moteurs Anti-Malware sont activés. L'étape suivante consiste à configurer les paramètres de protection contre les malwares.
Pour chaque règle Anti-Malware, cliquez dans la colonne Action et sélectionnez l'une des options suivantes :
-
Bloquer - Empêcher le fichier malveillant de continuer vers sa destination. Lorsque cela s'applique, redirige l'utilisateur vers une page web de blocage dédiée.
-
Permettre - Laisser le fichier malveillant continuer vers sa destination.
To monitor without blocking, set the rule to Allow, and in the Tracking section, enable the Event option. Cela crée des journaux d'événements que vous pouvez examiner sur la page Événements (Accueil > Événements). Vous pouvez également Envoyer des notifications déclenchées par le type de trafic. En cas d'un événement de sécurité (détection de malware), une notification sera envoyée aux Groupes d'Abonnement, Listes de Diffusion et Intégrations d'Alerte prédéfinis. Pour plus d'informations sur ces types de notifications, consultez l'article pertinent dans la section Alertes.
-
Dans le volet de navigation, cliquez sur Sécurité > IPS.
-
Click the IPS slider to enable (green) or disable (gray) IPS protection for the account.
Similaire au moteur AM, activez maintenant la protection IPS pour Trafic WAN, Trafic entrant et Trafic sortant. Le WAN serait considéré comme tout type de trafic entre les éléments du réseau connectés à Cato (sites et utilisateurs). La protection entrante s'applique au trafic provenant d'Internet et transmis aux hôtes internes en utilisant le transfert de port distant. Sortant est tout type de trafic provenant des hôtes internes vers Internet - navigation Internet régulière.
Comme mentionné ci-dessus, une fois que les services de sécurité sont activés, le moteur de sécurité détermine quel trafic est réellement détecté et potentiellement bloqué.
La page Événements (Accueil > Événements) affiche des données sur les événements qui ont eu lieu sur un ou tous les sites et utilisateurs pendant une période spécifique.
Pour filtrer uniquement les événements AM, dans le menu déroulant Sélectionner des préréglages, sélectionnez Anti-malware.
Pour filtrer uniquement les événements IPS, dans le menu déroulant Sélectionner des préréglages, sélectionnez IPS.
Faites défiler vers le bas et vous trouverez les événements. Pour chaque événement, vous pouvez développer pour obtenir plus de détails.
* Si Anti-Malware et/ou IPS n'est pas présent, cela signifie qu'aucun événement n'a été généré. Dans ce cas, vous pouvez filtrer une période de temps plus large.
Une fois que l'Anti-Malware et l'IPS sont activés, vous pouvez les tester en essayant de télécharger des fichiers malveillants, voir Sites recommandés pour tester l'Anti-Malware et l'IPS
-
Le flux réseau est inspecté par le pare-feu WAN - les administrateurs de sécurité peuvent autoriser ou bloquer le trafic entre les entités organisationnelles telles que les sites, les utilisateurs, les hôtes, les sous-réseaux et plus encore. Par défaut, le pare-feu WAN de Cato suit une approche de liste d'autorisations, avec une règle implicite de blocage tous-contre-tous.
-
Pare-feu Internet - les administrateurs de sécurité peuvent définir des règles pour autoriser ou bloquer entre des entités de réseau telles que des sites, des utilisateurs individuels, des sous-réseaux et plus encore pour diverses applications, services et sites Web. Par défaut, le pare-feu Internet de Cato suit une approche de liste de blocage, avec une règle implicite d'autorisation tous-contre-tous. Ainsi, pour bloquer l'accès, vous devez définir des règles qui bloquent explicitement les connexions d'une ou plusieurs entités de réseau à des applications.
-
Filtrage d'URL - améliorant le pare-feu Internet. Prêt à l'emploi, Cato fournit une politique prédéfinie de dizaines de catégories différentes d'URL, y compris des catégories orientées vers la sécurité telles que Spam suspecté et Malware suspecté. Alors que le pare-feu Internet fournit une prévention d'accès statique aux applications Internet, le filtrage d'URL complète la sécurité Internet avec des protections dynamiques.
-
Anti-Malware - peut être considéré comme une passerelle antivirus dans le cloud. Les clients peuvent utiliser ce service pour inspecter à la fois le trafic WAN et Internet à la recherche de malware. Le traitement anti-malware comprend les éléments suivants :
-
Inspection approfondie des paquets de la charge utile du trafic pour le trafic clair et chiffré (si activé).
-
La détection de type de fichier réel est utilisée pour identifier le type réel d'un fichier passant par le réseau, indépendamment de son extension de fichier ou de l'en-tête de type de contenu.
-
Détection de malware utilisant une base de données de signatures et de heuristiques qui est maintenue à jour en permanence sur la base des bases de données mondiales d'intelligence des menaces pour assurer une protection efficace contre les menaces actuelles. Cato ne partage AUCUN fichier ou donnée avec des dépôts basés sur le cloud pour garantir que les données clients restent confidentielles.
-
-
IPS - Le système de prévention des intrusions réseau basé sur le cloud de Cato (IPS) inspecte le trafic entrant, sortant et WAN, y compris le trafic SSL. L'IPS peut fonctionner en mode surveillance (IDS) sans qu'aucune action de blocage ne soit effectuée. En mode IDS, tout le trafic est évalué et des événements de sécurité sont générés.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.