यह लेख बताता है कि Cato Cloud सुरक्षा स्टैक में IPS सुरक्षा सेवा और इंटरनेट फ़ायरवॉल कैसे आपके नेटवर्क को फ़िशिंग हमलों से बचाते हैं।
फ़िशिंग संगठनों के लिए सबसे खतरनाक खतरों में से एक बना हुआ है, और फ़िशिंग हमले कॉर्पोरेट नेटवर्क में घुसपैठ करने या क्रेडेंशियल और अन्य निजी डेटा चोरी करने के लिए एक प्रारंभिक वेक्टर हो सकते हैं। सुरक्षा स्टैक में Cato IPS सेवा और इंटरनेट फ़ायरवॉल के पास फ़िशिंग हमले के रूप में ट्रैफ़िक की पहचान करने और हमले को आपके नेटवर्क में प्रवेश करने से पहले रोकने की विभिन्न तकनीकें हैं।
Cato की सुरक्षा टीम संकेतक विसंगति (IOCs) पर आधारित फ़िशिंग हमलों के लिए IPS और फ़ायरवॉल सुरक्षा बनाती है। IOCs विभिन्न निजी और ओपन सोर्स खतरों की इंटेलिजेंस फ़ीड से एकत्रित किए जाते हैं, जिनमें ज्ञात फ़िशिंग कैंपेन के बारे में डोमेन्स, URLs और अन्य डेटा शामिल होते हैं। किसी भी ज्ञात फ़िशिंग अभियान के IOC से मेल खाने वाले किसी भी ट्रैफ़िक को IPS इंजन स्वचालित रूप से रोक देता है।
सुरक्षा स्टैक में सुरक्षा का एक और स्तर फ़िशिंग वेबसाइटों की विशेषताओं पर आधारित यांत्रिक और अल्गोरिदम का उपयोग करता है। सुरक्षा टीम इस सभी नेटवर्क डेटा का विश्लेषण करती है और फिर ऐसी सुरक्षा बनाती है जो उन वेबसाइटों की पहचान कर सकती हैं, जो फ़िशिंग हमलों के स्रोत हैं। उदाहरण के लिए, एक फ़िशिंग अभियान उपयोगकर्ताओं को यह विश्वास दिलाने के लिए नकली Office365 यूआरएल का उपयोग कर सकता है कि यह लिंक वैध है। यदि कोई उपयोगकर्ता गलती से दुर्भावनापूर्ण Office365 लिंक पर क्लिक करता है, तो IPS या फ़ायरवॉल ट्रैफ़िक को रोक सकता है और फ़िशिंग हमले को रोक सकता है।
इसके अतिरिक्त, IPS में उन्नत मशीन लर्निंग अल्गोरिदम और छवि प्रसंस्करण मॉडल का उपयोग करने वाली सुरक्षा शामिल होती है ताकि नवीनतम फ़िशिंग हमले तकनीकों से सुरक्षित किया जा सके। उदाहरण के लिए:
- आईपीएस मशीन लर्निंग एल्गोरिदम नए डोमेन का उपयोग करने वाले हमलों का पता लगा सकते हैं और उन्हें अवरुद्ध कर सकते हैं, जो कि डीजीए और साइबरस्क्वैटिंग जैसी तकनीकों का उपयोग करके बनाए गए हैं
- आईपीएस इमेज प्रोसेसिंग मॉडल, हानिकारक साइट्स की पहचान कर सकते हैं जो नकली आइकन का उपयोग करती हैं, साथ ही उन साइट्स की जो वैध साइट्स के आइकन, ग्राफिक्स और अन्य तत्वों के समान होते हैं
सुरक्षा टीम Cato Cloud में नेटवर्क ट्रैफ़िक का लगातार विश्लेषण कर रही है ताकि यांत्रिक और अल्गोरिदम में सुधार किया जा सके और नए फ़िशिंग हमलों का पता लगाने की क्षमता में सुधार किया जा सके।
IPS फ़िशिंग सुरक्षा हमलों का पता लगाने और शमन करने के लिए विभिन्न रणनीतियाँ उपयोग करती हैं, जो विभिन्न चरणों में फ़िशिंग हमलों को रोकने की क्षमता के साथ सुरक्षा को अधिकतम करने में मदद करती हैं। ये हैं सुरक्षा रणनीतियों के प्रकार:
-
प्रवेश को रोकना - ये सुरक्षा ब्राउज़िंग गंतव्य को फ़िशिंग साइट के रूप में पहचानती हैं और साइट तक पहुँच को रोक देती हैं। इस रणनीति का उपयोग करने के उदाहरणों में शामिल हैं:
- धमकी खुफिया फ़ीड्स
- मशीन लर्निंग मॉडल जो संभावित फ़िशिंग साइट्स की पहचान करते हैं
- नई पंजीकृत डोमेन्स की पहचान
- संदिग्ध शीर्ष-स्तरीय डोमेन्स की पहचान करने वाले हेयुरिस्टिक्स
- हेयुरिस्टिक्स जो अज्ञात संसाधन में प्रस्तुत वैध एचटीएमएल शीर्षक टैग्स का पता लगाते हैं
- प्रमाणिकता प्रस्तुतिकरण को अवरुद्ध करना — उन्नत फ़िशिंग पेज तत्व पहचान - ये सुरक्षा उपाय फ़िशिंग हमले को तब भी अवरुद्ध कर सकती हैं जब उपयोगकर्ता पहले ही हानिकारक साइट्स तक पहुँच चुके हों और वेबपेज ब्राउज़र में पूरी तरह से प्रस्तुत हो चुका हो। इंजन उन्नत हेयुरिस्टिक्स का उपयोग कर वैध ऑफिस 365 दृश्य और कार्यात्मक तत्वों का पता लगाता है, जो माइक्रोसॉफ्ट द्वारा संचालित या owned पृष्ठों पर नहीं दिखाई देते हैं। हमलावर बढ़ते हुए प्रमाणिक संपत्तियों की क्लोनिंग करते हैं, जब उन विश्वासपात्र ब्रांड संपत्तियों और अविश्वसनीय डोमेन्स के बीच असंगतताएँ पाई जाती हैं, आईपीएस सेवा उस महत्वपूर्ण क्षण में हस्तक्षेप करता है और प्रमाणिकता प्रस्तुतिकरण को अवरुद्ध करता है। महत्वपूर्ण बात यह है कि उपयोगकर्ता को अवरुद्ध पृष्ठ दिखाई नहीं देता। इसके बजाय, सिस्टम चुपचाप प्रमाणिकता को डिवाइस या ब्राउज़र सत्र से बाहर जाने से रोकता है। cma में एक संबंधित सुरक्षा घटना उत्पन्न होती है जिसके खतरे का नाम है: संवेदनशील जानकारी को फ़िशिंग साइट में डालने का प्रयास।
-
समझौता बाद की पहचान — उच्च जोखिम वेब फॉर्म में प्रमाणिकता प्रस्तुतिकरण की पहचान - कुछ स्थितियों में, उपयोगकर्ता संदिग्ध डोमेन्स तक पहुँच सकते हैं जिन्हें निश्चित रूप से हानिकारक categorize नहीं किया जा सकता है और इसलिए उन्हें तुरंत अवरुद्ध नहीं किया जाता है। इन मामलों में, संदिग्ध गतिविधि निगरानी (SAM) सेवा एक महत्वपूर्ण द्वितीयक सुरक्षा परत प्रदान करती है। एसएएम लगातार उच्च जोखिम या अविश्वसनीय वेब फॉर्म के साथ उपयोगकर्ता की बातचीत की निगरानी करता है, प्रमाणिकता को इकट्ठा करने वाली behaviors का पता लगाते हुए। यदि कोई उपयोगकर्ता ऐसी साइट पर कॉर्पोरेट प्रमाणिकता दर्ज करता है या प्रस्तुत करता है, एसएएम administrators को संभावित समझौते की चेतावनी देने के लिए विस्तृत घटनाएं उत्पन्न करता है ताकि वे तुरंत कार्रवाई कर सकें।
इन पहचानों को सक्षम करने के लिए, टीएलएस निरीक्षण सक्षम होना चाहिए, एन्क्रिप्टेड ट्रैफिक की पहचान के लिए निरीक्षण की अनुमति देकर वैध माइक्रोसॉफ्ट संपत्तियों का हानिकारक पृष्ठों में दुरुपयोग किया जा रहा है। टीएलएस निरीक्षण निम्नलिखित माइक्रोसॉफ्ट डोमेन्स के लिए भी सक्षम होना चाहिए:- windows.net
- windows.com
- msauthimages.net
- msauth.net
- msftauthimages.net
आप होम > घटनाएँ में सुरक्षा घटनाओं की समीक्षा कर सकते हैं और अपने खाते में अवरुद्ध हुए किसी भी फ़िशिंग हमलों का पता लगा सकते हैं। फ़िशिंग हमलों के लिए विभिन्न घटना उप प्रकार होते हैं जो IPS और फ़ायरवॉल द्वारा अवरुद्ध किए जाते हैं। IPS घटनाओं के लिए, खतरे का प्रकार प्रतिष्ठा, या फ़िशिंग के रूप में वर्गीकृत किया जा सकता है।
यह एक उदाहरण है IPS द्वारा अवरुद्ध फ़िशिंग हमले के लिए घटना का:
-
फ़िशिंग हमले के लिए IPS घटना क्षेत्र:
- घटना प्रकार - सुरक्षा
- घटना उप प्रकार - IPS
-
खतरे का प्रकार - प्रतिष्ठा
- खतरे का नाम - डोमेन प्रतिष्ठा आधारित हस्ताक्षर – फ़िशिंग
-
खतरे का प्रकार - फ़िशिंग
- खतरे का नाम - सुरक्षा टीम द्वारा इस फ़िशिंग हमले का नाम
-
फ़िशिंग हमले के लिए इंटरनेट फ़ायरवॉल घटना क्षेत्र:
- घटना प्रकार - सुरक्षा
- घटना उप प्रकार – इंटरनेट फ़ायरवॉल
- श्रेणियां - फ़िशिंग
-
फ़िशिंग हमले के लिए IPS शमन रणनीति को घटना में हस्ताक्षर ID के प्रारूप से पहचाना जा सकता है, जैसे कि:
- जो हस्ताक्षर पहुँच को अवरुद्ध करते हैं उनका उपसर्ग होता है: cid_heur_ba_phishing_detection_
- जो हस्ताक्षर क्रेडेंशियल्स सबमिशन को अवरुद्ध करते हैं उनका उपसर्ग होता है: cid_heur_bs_phishing_detection_
- जो हस्ताक्षर जोखिमपूर्ण वेब फॉर्म में क्रेडेंशियल्स सबमिशन का पता लगाते हैं उनका उपसर्ग होता है: cid_sam_cs_phishing_detection_ या cid_sam_suspected_phishing_submission_to_risky_web_form
अधिक जानकारी के लिए, देखें खतरे की प्रतिष्ठा के अनुसार सुरक्षा घटनाओं का विश्लेषण।
XDR स्टोरीज़ वर्कबेंच संभावित मैलवेयर हमलों के लिए कहानियाँ उत्पन्न करता है, जिसमें फ़िशिंग शामिल है, और हमले की जांच करने के लिए उपकरण प्रदान करता है। निम्नलिखित आई.पी.एस. द्वारा अवरुद्ध एक फ़िशिंग हमले की एक कहानी का उदाहरण है। कहानी हमले की जांच करने में मदद करती है जैसे कि हमले का वर्णन, हमले से संबंधित डोमेन और यूआरएल, और अधिक जानकारी प्रदान करके।
यदि आप यह खोजते हैं कि आपके खाते के लिए आईपीएस या इंटरनेट फ़ायरवॉल ने फ़िशिंग हमलों को अवरुद्ध कर दिया है, तो इस अनुभाग में अनुशंसित अगले कदम शामिल हैं।
- पहचानें कि आपके संगठन में कौन से अंतिम उपयोगकर्ता फ़िशिंग हमले के लक्ष्य थे।
- अंतिम उपयोगकर्ताओं से बात करें, और पहचानें कि वे इस वेबसाइट के साथ किस प्रकार की जानकारी साझा कर रहे थे।
-
अंतिम उपयोगकर्ताओं को निम्नलिखित कार्य करने के लिए कहें:
- वेबसाइट के लिए उनके पासवर्ड बदलें
- वेबसाइट से संबंधित सभी सेवाओं से एक पूर्ण लॉग ऑफ शुरू करें
- जांचें कि कोई साझा की गई (या संभावित रूप से साझा की गई) डेटा कोई जोखिम प्रस्तुत करता है।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.