Cet article donne un aperçu général de la politique Anti-Malware de Cato pour les moteurs (Anti-Malware et NG Anti-Malware de nouvelle génération. Pour plus de détails sur la personnalisation de la politique de déploiement, voir Configuration de la Politique Anti-Malware.
La politique de sécurité Anti-Malware de Cato fournit deux couches de protection pour empêcher les fichiers malveillants d'entrer dans votre réseau : Anti-Malware et NG Anti-Malware. Les deux couches analysent simultanément les fichiers provenant du trafic WAN et Internet.
- La couche Anti-Malware protège contre les menaces de logiciels malveillants en se basant sur des signatures de fichier connues et par une analyse heuristique.
- Le NG Anti-Malware est une deuxième couche basée sur la technologie de détection des logiciels malveillants par apprentissage machine et utilise des modèles prédictifs pour classer les fichiers en tant que bénins, suspects ou malveillants. Cette couche analyse le fichier et recherche des caractéristiques indiquant si le fichier est malveillant. Ces modèles sont capables de détecter des logiciels malveillants inconnus et zero-day.
Les moteurs Anti-Malware et NG Anti-Malware inspectent les connexions séquentiellement, vérifiant si le trafic correspond à une règle. La règle finale dans la base de règles est une règle de blocage implicite ANY - ANY, donc si le trafic ne correspond pas à une règle, le fichier est automatiquement scanné. Les règles finales dans la base de règles sont des règles de blocage par défaut ANY - ANY pour les fichiers Malicieux et Suspect; donc pour le trafic qui ne correspond pas à une règle, le fichier est automatiquement scanné, et les fichiers avec ces verdicts sont bloqués.
Vous pouvez revoir les paramètres de règle par défaut dans la section Règles par défaut à la fin de la base de règles. Ces paramètres de règle ne peuvent pas être édités.
Les règles situées en haut de la base de règles ont une priorité plus élevée car elles sont appliquées aux connexions avant les règles plus basses dans la base de règles. Par exemple, si une connexion correspond à la règle #2, l'action est appliquée à la connexion, et les moteurs Anti-Malware ou NG Anti-Malware ignorent les règles #3 et suivantes.
Le moteur Anti-Malware analyse chaque fichier téléchargé pour une signature unique et compare cette signature à une base de données de fichiers malveillants connus. La base de données est mise à jour toutes les 30 minutes avec de nouvelles signatures de fichier. Ce moteur utilise également l'analyse heuristique pour examiner le code source et le comparer à des virus connus. Si le code correspond à celui d'autres virus, alors le fichier est identifié comme malveillant. Cette couche est la protection primaire contre les menaces de logiciels malveillants.
Cato implémente le moteur NG Anti-Malware de SentinelOne pour fournir une seconde couche de protection contre les menaces. Ce moteur utilise un modèle d'IA qui détecte les menaces dans les fichiers exécutables portables, les PDFs et les documents Microsoft Office. Le modèle d'IA est développé en extrayant des caractéristiques de millions d'échantillons de logiciels malveillants dans le référentiel de logiciels malveillants. Ensuite, l'apprentissage automatique supervisé (SML) est utilisé pour identifier et corréler différentes caractéristiques des fichiers bénins et malveillants. Le moteur utilise ensuite ce modèle pour identifier des caractéristiques similaires dans les fichiers inconnus, qui sont classés comme :
- Fichier malicieux - Certainement un malware
- Fichier suspect - Le fichier ou le comportement présente des caractéristiques associées à des logiciels malveillants, mais ne possède pas suffisamment de confiance ou de données pour le classer de manière définitive comme inoffensif ou malveillant.
- Fichier bénin - Contient des caractéristiques de fichiers sûrs et il est très probable qu'il ne soit pas un logiciel malveillant.
Remarque
Remarque: Le modèle d'IA pour le moteur NG Anti-Malware lui permet de détecter les logiciels malveillants inconnus. Cependant, il est possible que dans de rares cas, ce modèle produise un faux positif et bloque un fichier légitime. Vous pouvez créer une exception et permettre aux utilisateurs d'accéder et de télécharger le fichier, voir Configuration de la Politique Anti-Malware.
Puisque le moteur NG Anti-Malware est basé sur un algorithme et n'utilise pas de détection basée sur les signatures, il ne nécessite pas de mises à jour fréquentes. L'algorithme du moteur est mis à jour tous les quelques mois.
Cette section explique comment les fichiers sont analysés simultanément par les couches de protection Anti-Malware et NG Anti-Malware lors de l'utilisation de la politique par défaut.
Lors de l'utilisation de la politique par défaut, les moteurs Anti-Malware et NG Anti-Malware analysent tous les fichiers téléchargés en même temps et bloquent tout fichier classé comme malveillant ou suspect. Si une demande de téléchargement de fichier est bloquée, le fichier est supprimé, et un événement est généré. Si un fichier est bloqué par les deux moteurs, alors il est possible que deux événements soient générés.
Les moteurs Anti-Malware et NG Anti-Malware analysent le trafic HTTP, HTTPS et FTP.
Basé sur la politique par défaut, lorsque qu'un utilisateur final commence le processus de téléchargement d'un fichier depuis Internet ou le WAN, voici le comportement de chaque moteur lorsqu'ils analysent simultanément les fichiers :
-
Le moteur Anti-Malware analyse le fichier et utilise des signatures de fichiers et une analyse heuristique pour déterminer si le fichier est Malveillant ou Bénin.
- Si le verdict est Malveillant, le fichier est bloqué, supprimé, et un événement est généré. La page de blocage s'affiche dans le navigateur Internet de l'utilisateur.
- Si le verdict est Bénin, le fichier est potentiellement disponible pour le téléchargement.
-
La couche NG Anti-Malware analyse le fichier et utilise un modèle d'IA pour classer le fichier comme Malveillant, Suspect, ou Bénin.
- Si le fichier est malveillant ou suspect, il est bloqué, supprimé et génère un événement. La page de blocage s'affiche dans le navigateur Internet de l'utilisateur.
- Si le verdict est Bénin, le fichier est potentiellement disponible pour le téléchargement.
Remarque
Note : Les fichiers analysés sont supprimés et ne sont pas conservés par Cato pour tous les verdicts.
Le fichier est autorisé à être transmis à l'utilisateur lorsque les deux moteurs ont un verdict de Bénin, puis des événements sont générés avec verdict propre.
L'analyse Anti-Malware unifiée ne crée pas de retard perceptible pour l'expérience utilisateur. Les utilisateurs finaux téléchargent immédiatement des fichiers propres.
Les moteurs Anti-Malware et NG Anti-Malware prennent en charge des formats de fichiers spécifiques. Pour plus de détails, voir Formats de Fichiers Pris en Charge pour la Protection Anti-Malware. (Vous devez être connecté pour voir cet article)
0 commentaire
Vous devez vous connecter pour laisser un commentaire.