यह लेख बताता है कि Cato Cloud सुरक्षा स्टैक में IPS सुरक्षा सेवा और इंटरनेट फ़ायरवॉल कैसे आपके नेटवर्क को फ़िशिंग हमलों से बचाते हैं।
फ़िशिंग संगठनों के लिए सबसे खतरनाक खतरों में से एक बना हुआ है, और फ़िशिंग हमले कॉर्पोरेट नेटवर्क में घुसपैठ करने या क्रेडेंशियल और अन्य निजी डेटा चोरी करने के लिए एक प्रारंभिक वेक्टर हो सकते हैं। सुरक्षा स्टैक में Cato IPS सेवा और इंटरनेट फ़ायरवॉल के पास फ़िशिंग हमले के रूप में ट्रैफ़िक की पहचान करने और हमले को आपके नेटवर्क में प्रवेश करने से पहले रोकने की विभिन्न तकनीकें हैं।
Cato की सुरक्षा टीम संकेतक विसंगति (IOCs) पर आधारित फ़िशिंग हमलों के लिए IPS और फ़ायरवॉल सुरक्षा बनाती है। IOCs विभिन्न निजी और ओपन सोर्स खतरों की इंटेलिजेंस फ़ीड से एकत्रित किए जाते हैं, जिनमें ज्ञात फ़िशिंग कैंपेन के बारे में डोमेन्स, URLs और अन्य डेटा शामिल होते हैं। किसी भी ज्ञात फ़िशिंग अभियान के IOC से मेल खाने वाले किसी भी ट्रैफ़िक को IPS इंजन स्वचालित रूप से रोक देता है।
सुरक्षा स्टैक में सुरक्षा का एक और स्तर फ़िशिंग वेबसाइटों की विशेषताओं पर आधारित यांत्रिक और अल्गोरिदम का उपयोग करता है। सुरक्षा टीम इस सभी नेटवर्क डेटा का विश्लेषण करती है और फिर ऐसी सुरक्षा बनाती है जो उन वेबसाइटों की पहचान कर सकती हैं, जो फ़िशिंग हमलों के स्रोत हैं। उदाहरण के लिए, एक फ़िशिंग अभियान उपयोगकर्ताओं को यह विश्वास दिलाने के लिए नकली Office365 यूआरएल का उपयोग कर सकता है कि यह लिंक वैध है। यदि कोई उपयोगकर्ता गलती से दुर्भावनापूर्ण Office365 लिंक पर क्लिक करता है, तो IPS या फ़ायरवॉल ट्रैफ़िक को रोक सकता है और फ़िशिंग हमले को रोक सकता है।
इसके अतिरिक्त, IPS में उन्नत मशीन लर्निंग अल्गोरिदम और छवि प्रसंस्करण मॉडल का उपयोग करने वाली सुरक्षा शामिल होती है ताकि नवीनतम फ़िशिंग हमले तकनीकों से सुरक्षित किया जा सके। उदाहरण के लिए:
-
आईपीएस मशीन लर्निंग अल्गोरिदम डोमेन्स का उपयोग करके हमलों का पता लगा सकते हैं और उन्हें अवरोधित करें, जिन्हें DGA और साइबरस्क्वैटिंग जैसी तकनीकों के माध्यम से बनाया गया है
-
आईपीएस छवि प्रसंस्करण मॉडल हानिकारक साइट्स की पहचान कर सकते हैं जो नकली आइकनों का उपयोग करते हैं, साथ ही ऐसी साइट्स की भी पहचान कर सकते हैं जो वैध साइट्स के समान आइकन, ग्राफिक्स और अन्य तत्वों का उपयोग करती हैं
सुरक्षा टीम Cato Cloud में नेटवर्क ट्रैफ़िक का लगातार विश्लेषण कर रही है ताकि यांत्रिक और अल्गोरिदम में सुधार किया जा सके और नए फ़िशिंग हमलों का पता लगाने की क्षमता में सुधार किया जा सके।
IPS फ़िशिंग सुरक्षा हमलों का पता लगाने और शमन करने के लिए विभिन्न रणनीतियाँ उपयोग करती हैं, जो विभिन्न चरणों में फ़िशिंग हमलों को रोकने की क्षमता के साथ सुरक्षा को अधिकतम करने में मदद करती हैं। ये हैं सुरक्षा रणनीतियों के प्रकार:
-
प्रवेश को रोकना - ये सुरक्षा ब्राउज़िंग गंतव्य को फ़िशिंग साइट के रूप में पहचानती हैं और साइट तक पहुँच को रोक देती हैं। इस रणनीति का उपयोग करने के उदाहरणों में शामिल हैं:
-
खतरों की इंटेलिजेंस फ़ीड
-
मशीन लर्निंग मॉडल जो संभावित फ़िशिंग साइट्स की पहचान करते हैं
-
नवीनतम पंजीकृत डोमेन्स की पहचान
-
संदिग्ध शीर्ष-स्तरीय डोमेन्स की पहचान करने वाली यांत्रिक विधियाँ
-
किसी अज्ञात संसाधन में प्रस्तुत होकर वैध HTML शीर्षक टैग का पता लगाने वाली यांत्रिक विधियाँ
-
-
क्रेडेंशियल प्रस्तुति को रोकना - ये सुरक्षा उस स्थिति में भी फ़िशिंग हमले को रोक सकती हैं जब उपयोगकर्ता साइट तक पहुँच गया हो और साइट ब्राउज़र में प्रस्तुत हो चुकी हो। ये सुरक्षा किसी दुर्भावनापूर्ण साइट में प्रस्तुत वैध वेब पृष्ठ तत्वों का पता लगाने के लिए यांत्रिकी का उपयोग करती हैं। उदाहरण के लिए, Microsoft के नहीं किसी साइट में एक वैध Office365 लोगो। IPS सेवा फ़िशिंग हमले को विफल कर देती है उपयोगकर्ता को क्रेडेंशियल प्रस्तुत करने से रोक कर।
-
पश्च-समझौता पहचान: जोखिमपूर्ण वेब फॉर्म में क्रेडेंशियल्स सबमिशन की पहचान करना - कभी-कभी उपयोगकर्ता संदिग्ध साइट्स तक पहुँच सकता है जो अवरुद्ध नहीं हैं क्योंकि वे पूरी तरह से दुर्भावनापूर्ण नहीं हैं। यह संदिग्ध गतिविधि निगरानी (एसएएम) सेवा पहचान कर सकती है जब उपयोगकर्ता ऐसी जोखिमपूर्ण साइट्स में क्रेडेंशियल्स प्रस्तुत करता है, और प्रशासक को संभावित उल्लंघन के बारे में चेतावनी देने के लिए घटनाएँ बनाती है।
आप होम > घटनाएँ में सुरक्षा घटनाओं की समीक्षा कर सकते हैं और अपने खाते में अवरुद्ध हुए किसी भी फ़िशिंग हमलों का पता लगा सकते हैं। फ़िशिंग हमलों के लिए विभिन्न घटना उप प्रकार होते हैं जो IPS और फ़ायरवॉल द्वारा अवरुद्ध किए जाते हैं। IPS घटनाओं के लिए, खतरे का प्रकार प्रतिष्ठा, या फ़िशिंग के रूप में वर्गीकृत किया जा सकता है।
यह एक उदाहरण है IPS द्वारा अवरुद्ध फ़िशिंग हमले के लिए घटना का:
-
फ़िशिंग हमले के लिए IPS घटना क्षेत्र:
-
घटना प्रकार - सुरक्षा
-
घटना उप प्रकार - IPS
-
खतरे का प्रकार - प्रतिष्ठा
-
खतरे का नाम - डोमेन प्रतिष्ठा आधारित हस्ताक्षर – फ़िशिंग
-
-
खतरे का प्रकार - फ़िशिंग
-
खतरे का नाम - सुरक्षा टीम द्वारा इस फ़िशिंग हमले का नाम
-
-
फ़िशिंग हमले के लिए इंटरनेट फ़ायरवॉल घटना क्षेत्र:
-
घटना प्रकार - सुरक्षा
-
घटना उप प्रकार – इंटरनेट फ़ायरवॉल
-
श्रेणियां - फ़िशिंग
-
-
-
फ़िशिंग हमले के लिए IPS शमन रणनीति को घटना में हस्ताक्षर ID के प्रारूप से पहचाना जा सकता है, जैसे कि:
-
जो हस्ताक्षर पहुँच को अवरुद्ध करते हैं उनका उपसर्ग होता है: cid_heur_ba_phishing_detection_
-
जो हस्ताक्षर क्रेडेंशियल्स सबमिशन को अवरुद्ध करते हैं उनका उपसर्ग होता है: cid_heur_bs_phishing_detection_
-
जो हस्ताक्षर जोखिमपूर्ण वेब फॉर्म में क्रेडेंशियल्स सबमिशन का पता लगाते हैं उनका उपसर्ग होता है: cid_sam_cs_phishing_detection_ या cid_sam_suspected_phishing_submission_to_risky_web_form
-
अधिक जानकारी के लिए, देखें खतरे की प्रतिष्ठा के अनुसार सुरक्षा घटनाओं का विश्लेषण।
XDR स्टोरीज़ वर्कबेंच संभावित मैलवेयर हमलों के लिए कहानियाँ उत्पन्न करता है, जिसमें फ़िशिंग शामिल है, और हमले की जांच करने के लिए उपकरण प्रदान करता है। निम्नलिखित आई.पी.एस. द्वारा अवरुद्ध एक फ़िशिंग हमले की एक कहानी का उदाहरण है। कहानी हमले की जांच करने में मदद करती है जैसे कि हमले का वर्णन, हमले से संबंधित डोमेन और यूआरएल, और अधिक जानकारी प्रदान करके।
यदि आप यह खोजते हैं कि आपके खाते के लिए आईपीएस या इंटरनेट फ़ायरवॉल ने फ़िशिंग हमलों को अवरुद्ध कर दिया है, तो इस अनुभाग में अनुशंसित अगले कदम शामिल हैं।
-
पहचानें कि आपके संगठन में कौन से अंतिम उपयोगकर्ता फ़िशिंग हमले के लक्ष्य थे।
-
अंतिम उपयोगकर्ताओं से बात करें, और पहचानें कि वे इस वेबसाइट के साथ किस प्रकार की जानकारी साझा कर रहे थे।
-
अंतिम उपयोगकर्ताओं को निम्नलिखित कार्य करने के लिए कहें:
-
वेबसाइट के लिए उनके पासवर्ड बदलें
-
वेबसाइट से संबंधित सभी सेवाओं से एक पूर्ण लॉग ऑफ शुरू करें
-
-
जांचें कि कोई साझा की गई (या संभावित रूप से साझा की गई) डेटा कोई जोखिम प्रस्तुत करता है।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.