Bonnes pratiques pour la mise en œuvre de la prévention des menaces Cato

Aperçu des services de sécurité de Cato

Le Cato Cloud contient des services de sécurité puissants qui sont faciles à configurer et aident à sécuriser votre réseau. Cet article explique les recommandations et les meilleures pratiques pour les différents services de prévention des menaces.

Le Cato Cloud a ces deux couches de protection pour votre compte :

  • Couche d'accès - inclut les pare-feu pour le trafic WAN et Internet

  • Couche de sécurité - inclut les services de prévention des menaces Cato : Anti-Malware, NG Anti-Malware et IPS

Le Cato Cloud applique les règles dans les pare-feu pour déterminer si le trafic est autorisé ou bloqué. En outre, les services de prévention des menaces analysent le trafic pour détecter des malwares, des vulnérabilités sur le réseau, des activités réseau malveillantes et plus.

Couche d'accès

Chaque flux réseau est inspecté par le pare-feu WAN et Internet. Le pare-feu WAN vous permet d'autoriser ou de bloquer le trafic entre des entités organisationnelles telles que sites, utilisateurs, hôtes, sous-réseaux, etc. Le pare-feu Internet vous permet de contrôler l'accès aux sites Web et aux applications Web.

Par défaut, le pare-feu WAN de Cato utilise une approche de liste blanche, et n'autorise que le trafic explicitement défini par une règle de pare-feu et bloque tout trafic non identifié. Le pare-feu Internet contrôle le trafic sortant vers Internet et utilise une approche de liste noire. La règle finale du pare-feu Internet est une règle implicite autorisant tout le trafic, vous devez donc définir des règles pour bloquer explicitement les connexions à Internet.

Prêt à l'emploi, Cato propose de nombreuses catégories prédéfinies contenant des dizaines de services et d'applications pour aider à gérer le trafic réseau. Ces catégories sont régulièrement mises à jour par l'équipe de sécurité de Cato.

Par défaut, le pare-feu Internet inclut une règle qui bloque des catégories de trafic potentiellement dangereuses. Nous recommandons vivement de ne pas désactiver cette règle et de fournir la meilleure sécurité pour votre réseau.

Couche de sécurité

La couche de sécurité Cato possède de multiples moteurs qui analysent le trafic WAN et Internet pour détecter les malwares et les risques de sécurité.

  1. Anti-Malware est une passerelle antivirus dans le cloud et inclut les éléments suivants :

    • Inspection approfondie des paquets de la charge utile pour le trafic clair et chiffré (si l'inspection TLS est activée).

    • La détection du véritable type de fichier identifie le type réel d'un fichier sur le réseau, indépendamment de son extension ou de l'en-tête du type de contenu.

    • Détection de malware utilisant une base de données de signatures et d'heuristiques constamment à jour basée sur des bases de données intelligentes de menaces mondiales pour se protéger contre les menaces connues actuelles. Cato ne partage AUCUN fichier ou donnée avec des référentiels basés sur le cloud pour garantir la confidentialité des données des clients.

  2. NG Anti-Malware implémente le moteur SentinelOne qui utilise un modèle d'IA pour détecter les menaces dans les fichiers exécutables portables, PDF et documents Office. Le modèle d'IA est développé en extrayant des caractéristiques de millions d'exemples de malware dans le référentiel de malware. Ensuite, l'apprentissage automatique supervisé est utilisé pour identifier et corréler différentes caractéristiques de fichiers bénins et malveillants. NG Anti-Malware peut prédire et prévenir les malwares et virus inconnus.

  3. IPS - Le système de prévention des intrusions de réseau basé sur le cloud de Cato (IPS) inspecte le trafic entrant, sortant et WAN, y compris le trafic TLS (si l'inspection TLS est activée). IPS peut également fonctionner en mode de surveillance (IDS) et ne bloque pas le trafic. En mode IDS, tout le trafic est évalué et des événements de sécurité sont générés.

Bonnes pratiques pour activer la prévention des menaces

Nous recommandons vivement d'activer les services de prévention des menaces pour votre compte. Les utilisateurs finaux ne subissent aucun retard dû au traitement de l'anti-malware et de l'IPS. Lorsqu'un fichier malveillant est détecté, l'accès de l'utilisateur est bloqué et l'utilisateur est redirigé vers une page de blocage.

L'équipe de sécurité de Cato maintient la base de données de prévention des menaces à jour à tout moment, basée sur des bases de données intelligentes de menaces mondiales pour garantir une protection efficace contre les menaces actuelles.

Le flux de travail suivant est la meilleure pratique pour activer les services de prévention des menaces :

  1. Activez les politiques de prévention des menaces en mode Surveillance pour tout le trafic. En mode Surveillance, le trafic malveillant est seulement enregistré et n'est pas bloqué.

  2. Si nécessaire, vous pouvez configurer l'option de suivi pour envoyer une alerte e-mail si un malware est détecté (en mode Surveillance, il n'y a pas d'alertes pour le trafic bloqué).

  3. Après quelques jours, examinez les événements de prévention des menaces et passez progressivement les politiques en mode Blocage.

  4. Activez l'inspection TLS pour permettre aux moteurs de prévention des menaces d'analyser le trafic chiffré.

Remarque

Remarque : Pour des résultats de détection maximaux, l'inspection TLS doit être activée. L'inspection TLS permet aux moteurs de sécurité d'analyser le trafic chiffré qui pourrait contenir des fichiers ou du code malveillants. L'activation de l'inspection TLS est la dernière étape pour activer l'AM et l'IPS.

Articles connexes

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire