Cet article explique comment le service de sécurité IPS et le pare-feu Internet dans la pile de sécurité de Cato Cloud protège votre réseau des attaques de phishing.
Le phishing continue d'être l'une des menaces les plus dangereuses pour les organisations, et les attaques de phishing peuvent être un vecteur initial pour infiltrer le réseau d'entreprise ou voler des identifiants et d'autres données privées. Le service IPS de Cato et le pare-feu Internet dans la pile de sécurité disposent de différentes techniques pour identifier le trafic comme une attaque de phishing et bloquer l'attaque avant qu'elle n'entre dans votre réseau.
L'équipe de sécurité de Cato crée des protections IPS et pare-feu pour les attaques de phishing basées sur des indicateurs de compromission (IOCs). Les IOCs sont accumulés à partir de divers flux de renseignements sur les menaces privés et open source qui contiennent des domaines, des URLs et d'autres données sur des campagnes de phishing connues. Tout trafic qui correspond à l'IOC d'une campagne de phishing connue est automatiquement bloqué par le moteur IPS.
Un autre niveau de protections dans la pile de sécurité utilise des heuristiques et des algorithmes basés sur les caractéristiques des sites de phishing. L'équipe de sécurité analyse toutes ces données réseau puis crée des protections qui peuvent identifier les sites qui sont à l'origine des attaques de phishing. Par exemple, une campagne de phishing peut utiliser une URL Office365 factice pour tromper les utilisateurs en leur faisant croire que ce lien est légitime. Si un utilisateur clique par erreur sur le lien Office365 malveillant, l'IPS ou le pare-feu peut bloquer le trafic et éviter l'attaque de phishing.
De plus, IPS inclut des protections qui utilisent des algorithmes avancés d'apprentissage automatique et des modèles de traitement d'images pour se protéger contre les dernières techniques d'attaque de phishing. Par exemple :
- Les algorithmes de machine learning d'IPS peuvent détecter et Bloquer les attaques utilisant des nouveaux Domaines créés par des techniques telles que DGA et le cyber-squatting
- Les modèles de traitement d'image IPS peuvent identifier les Sites malveillants utilisant de fausses icônes, ainsi que des Sites utilisant des icônes, des graphismes et autres éléments identiques à ceux des Sites légitimes
L'équipe de sécurité analyse en permanence le trafic réseau dans le Cato Cloud pour améliorer les heuristiques et les algorithmes et améliorer la capacité de détecter de nouvelles attaques de phishing.
Les protections de phishing IPS utilisent diverses stratégies pour détecter et atténuer les attaques, ce qui aide à maximiser la protection avec la capacité de bloquer les attaques de phishing à différentes étapes. Voici les types de stratégies de protection :
-
Blocage de l'accès - Ces protections identifient la destination de navigation comme un site de phishing et bloquent l'accès au site. Des exemples utilisant cette stratégie incluent des protections basées sur :
- Flux de renseignements sur les Menaces
- Modèles de machine learning qui identifient les Sites potentiels pour le Hameçonnage
- Identification des nouveaux Domaines Enregistrés
- Heuristiques qui identifient les Domaines de premier niveau suspect
- Heuristiques qui détectent les balises de Titre HTML légitimes rendues dans une Ressource inconnue
- Bloquer la Soumission des Identifiants — Détection Avancée des Éléments de Pages de Hameçonnage - Ces protections peuvent Bloquer une attaque par Hameçonnage même après que l'Utilisateur a déjà accédé au site malveillant et que la page a été entièrement rendue dans le navigateur. Le moteur utilise des heuristiques avancées pour détecter les éléments visuels et fonctionnels légitimes d'Office 365 qui apparaissent sur des pages qui ne sont pas détenues ou exploitées par Microsoft. Les attaquants clonent de plus en plus des ressources authentiques, lorsque de telles incohérences entre les ressources de marque de confiance et les Domaines non fiables sont détectées, le service IPS intervient au moment critique en Bloquant la Soumission des Identifiants. Important, l'Utilisateur ne voit pas une Page de Blocage. Au lieu de cela, le système empêche silencieusement les identifiants de quitter l'Appareil ou la session du navigateur. Un événement de Sécurité correspondant est généré dans le CMA avec le Nom de la Menace : Tentative d'insertion d'informations sensibles dans un site de Hameçonnage.
-
Détection Post-Compromission — Identification de la Soumission des Identifiants dans les Formulaires Web à Haut Risque - Dans certaines situations, les Utilisateurs peuvent accéder à des Domaines suspects qui ne peuvent pas être catégoriquement classés comme malveillants et ne sont donc pas immédiatement Bloqués. Dans ces cas, le service Surveillance d'activité suspecte (SAM) fournit une couche secondaire de protection cruciale. SAM surveille en continu les interactions des utilisateurs avec les formulaires Web à Haut Risque ou non fiables, détectant des comportements indicatifs de récolte des Identifiants. Si un Utilisateur saisit ou soumet des identifiants d'entreprise sur un tel site, SAM génère des Événements détaillés qui alertent les Administrateurs sur le potentiel de compromis afin qu'ils puissent prendre des mesures immédiates.
Pour activer ces détections, l'Inspection TLS doit être activée, permettant l'inspection du Trafic chiffré pour identifier l'utilisation abusive des ressources légitimes de Microsoft au sein des pages malveillantes.L'Inspection TLS doit également être activée pour les Domaines Microsoft suivants :- windows.net
- windows.com
- msauthimages.net
- msauth.net
- msftauthimages.net
Vous pouvez vérifier les événements de Sécurité dans Accueil > Événements et trouver les attaques de phishing dans votre compte qui ont été bloquées Il existe différents sous-types d'événements pour les attaques de phishing bloquées par IPS et par le pare-feu. Pour les événements IPS, le type de menace peut être classé comme Réputation ou comme Phishing.
Ceci est un exemple d'un événement pour une attaque de phishing bloquée par IPS :
-
Champs d'événement IPS pour une attaque de phishing :
- Type d'événement - Sécurité
- Sous-type d'événement - IPS
-
Type de menace - Réputation
- Nom de la menace - Signature basée sur la réputation du domaine – Phishing
-
Type de menace - Phishing
- Nom de la menace - Nom donné par l'équipe de sécurité pour cette attaque de phishing
-
Champs d'événement de pare-feu Internet pour une attaque de phishing :
- Type d'événement - Sécurité
- Sous-type d'événement – Pare-feu Internet
- Catégories - Phishing
-
La stratégie de mitigation IPS pour une attaque de phishing peut être identifiée par le format du ID de signature dans l'événement, comme suit :
- Les signatures qui bloquent l'accès ont le préfixe : cid_heur_ba_phishing_detection_
- Les signatures qui bloquent la soumission des identifiants ont le préfixe : cid_heur_bs_phishing_detection_
- Les signatures qui détectent les soumissions d'identifiants à des formulaires web risqués ont le préfixe : cid_sam_cs_phishing_detection_ ou cid_sam_suspected_phishing_submission_to_risky_web_form
Pour plus d'informations, consultez Analyser les événements de sécurité selon la réputation des menaces.
L'atelier d'histoires XDR génère des histoires pour d'éventuelles attaques de logiciels malveillants, y compris le phishing, et fournit des outils pour enquêter sur l'attaque. Voici un exemple d'une histoire pour une attaque de phishing bloquée par IPS. L'histoire aide à enquêter sur l'attaque en fournissant des informations telles qu'une description de l'attaque, le domaine et l'URL liés à l'attaque, et plus.
Cette section contient les prochaines étapes suggérées si vous découvrez que l'IPS ou le pare-feu Internet a bloqué des attaques de phishing pour votre compte.
- Identifiez lesquels des utilisateurs finaux de votre organisation ont été ciblés par l'attaque de phishing.
- Parlez aux utilisateurs finaux et identifiez le type d'informations qu'ils partageaient avec ce site.
-
Demandez aux utilisateurs finaux de prendre les mesures suivantes :
- Changer leurs mots de passe pour le site
- Initier une déconnexion complète de tous les services liés au site
- Vérifiez si des données partagées (ou potentiellement partagées) présentent un risque quelconque.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.