Comment le Cato Cloud protège votre compte contre les attaques de phishing

Cet article explique comment le service de sécurité IPS et le pare-feu Internet dans la pile de sécurité de Cato Cloud protège votre réseau des attaques de phishing.

Comment la pile de sécurité Cato identifie les attaques de phishing

Le phishing continue d'être l'une des menaces les plus dangereuses pour les organisations, et les attaques de phishing peuvent être un vecteur initial pour infiltrer le réseau d'entreprise ou voler des identifiants et d'autres données privées. Le service IPS de Cato et le pare-feu Internet dans la pile de sécurité disposent de différentes techniques pour identifier le trafic comme une attaque de phishing et bloquer l'attaque avant qu'elle n'entre dans votre réseau.

IOCs basés sur des flux de renseignements sur les menaces

L'équipe de sécurité de Cato crée des protections IPS et pare-feu pour les attaques de phishing basées sur des indicateurs de compromission (IOCs). Les IOCs sont accumulés à partir de divers flux de renseignements sur les menaces privés et open source qui contiennent des domaines, des URLs et d'autres données sur des campagnes de phishing connues. Tout trafic qui correspond à l'IOC d'une campagne de phishing connue est automatiquement bloqué par le moteur IPS.

Heuristiques et algorithmes basés sur l'analyse du trafic

Un autre niveau de protections dans la pile de sécurité utilise des heuristiques et des algorithmes basés sur les caractéristiques des sites de phishing. L'équipe de sécurité analyse toutes ces données réseau puis crée des protections qui peuvent identifier les sites qui sont à l'origine des attaques de phishing. Par exemple, une campagne de phishing peut utiliser une URL Office365 factice pour tromper les utilisateurs en leur faisant croire que ce lien est légitime. Si un utilisateur clique par erreur sur le lien Office365 malveillant, l'IPS ou le pare-feu peut bloquer le trafic et éviter l'attaque de phishing.

De plus, IPS inclut des protections qui utilisent des algorithmes avancés d'apprentissage automatique et des modèles de traitement d'images pour se protéger contre les dernières techniques d'attaque de phishing. Par exemple :

  • Les algorithmes de machine learning d'IPS peuvent détecter et bloquer les attaques qui utilisent de nouveaux domaines créés par des techniques telles que DGA et cybersquatting

  • Les modèles de traitement d'images d'IPS peuvent identifier les sites malveillants qui utilisent de faux icônes, ainsi que les sites qui utilisent des icônes, des graphiques et d'autres éléments identiques à ceux de sites légitimes

L'équipe de sécurité analyse en permanence le trafic réseau dans le Cato Cloud pour améliorer les heuristiques et les algorithmes et améliorer la capacité de détecter de nouvelles attaques de phishing.

Stratégies de détection et de mitigation

Les protections de phishing IPS utilisent diverses stratégies pour détecter et atténuer les attaques, ce qui aide à maximiser la protection avec la capacité de bloquer les attaques de phishing à différentes étapes. Voici les types de stratégies de protection :

  • Blocage de l'accès - Ces protections identifient la destination de navigation comme un site de phishing et bloquent l'accès au site. Des exemples utilisant cette stratégie incluent des protections basées sur :

    • Flux de renseignements sur les menaces

    • Modèles d'apprentissage automatique qui identifient les sites de phishing potentiels

    • Identification des nouveaux domaines enregistrés

    • Heuristiques qui identifient les domaines de premier niveau suspectes

    • Heuristiques qui détectent les balises de titre HTML légitimes se rendant dans une ressource inconnue

  • Blocage de la soumission des identifiants - Ces protections peuvent bloquer une attaque de phishing même après que l'utilisateur a accédé au site et que le site a été affiché dans le navigateur. Les protections utilisent des heuristiques pour détecter des éléments de page web légitimes affichés dans un site malveillant. Par exemple, un logo Office365 légitime dans un site qui n'appartient pas à Microsoft. Le service IPS sabote l'attaque de phishing en empêchant l'utilisateur de soumettre ses identifiants.

  • Détection post-compromission : Identification des soumissions d'identifiants dans des formulaires web risqués - Parfois, un utilisateur peut accéder à des sites suspects qui ne sont pas bloqués car ils ne sont pas définitivement malveillants. Le service de surveillance des activités suspectes (SAM) peut identifier lorsqu'un utilisateur soumet des identifiants sur de tels sites risqués et créer des événements pour alerter l'admin du potentiel de compromission.

Examen des événements pour les attaques de phishing bloquées

Vous pouvez vérifier les événements de Sécurité dans Accueil > Événements et trouver les attaques de phishing dans votre compte qui ont été bloquées Il existe différents sous-types d'événements pour les attaques de phishing bloquées par IPS et par le pare-feu. Pour les événements IPS, le type de menace peut être classé comme Réputation ou comme Phishing.

Ceci est un exemple d'un événement pour une attaque de phishing bloquée par IPS :

PhishingEvent.png

  • Champs d'événement IPS pour une attaque de phishing :

    • Type d'événement - Sécurité

    • Sous-type d'événement - IPS

    • Type de menace - Réputation

      • Nom de la menace - Signature basée sur la réputation du domaine – Phishing

    • Type de menace - Phishing

      • Nom de la menace - Nom donné par l'équipe de sécurité pour cette attaque de phishing

    • Champs d'événement de pare-feu Internet pour une attaque de phishing :

      • Type d'événement - Sécurité

      • Sous-type d'événement – Pare-feu Internet

      • Catégories - Phishing

  • La stratégie de mitigation IPS pour une attaque de phishing peut être identifiée par le format du ID de signature dans l'événement, comme suit :

    • Les signatures qui bloquent l'accès ont le préfixe : cid_heur_ba_phishing_detection_

    • Les signatures qui bloquent la soumission des identifiants ont le préfixe : cid_heur_bs_phishing_detection_

    • Les signatures qui détectent les soumissions d'identifiants à des formulaires web risqués ont le préfixe : cid_sam_cs_phishing_detection_ ou cid_sam_suspected_phishing_submission_to_risky_web_form

Pour plus d'informations, consultez Analyser les événements de sécurité selon la réputation des menaces.

Révision des histoires XDR pour les attaques de phishing

L'atelier d'histoires XDR génère des histoires pour d'éventuelles attaques de logiciels malveillants, y compris le phishing, et fournit des outils pour enquêter sur l'attaque. Voici un exemple d'une histoire pour une attaque de phishing bloquée par IPS. L'histoire aide à enquêter sur l'attaque en fournissant des informations telles qu'une description de l'attaque, le domaine et l'URL liés à l'attaque, et plus.

XDR_Phishing_Story.png

Cato a bloqué une attaque de phishing - et maintenant ?

Cette section contient les prochaines étapes suggérées si vous découvrez que l'IPS ou le pare-feu Internet a bloqué des attaques de phishing pour votre compte.

  1. Identifiez lesquels des utilisateurs finaux de votre organisation ont été ciblés par l'attaque de phishing.

  2. Parlez aux utilisateurs finaux et identifiez le type d'informations qu'ils partageaient avec ce site.

  3. Demandez aux utilisateurs finaux de prendre les mesures suivantes :

    • Changer leurs mots de passe pour le site

    • Initier une déconnexion complète de tous les services liés au site

  4. Vérifiez si des données partagées (ou potentiellement partagées) présentent un risque quelconque.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 2

0 commentaire