この記事では、脅威防止ライセンスに含まれるCatoのマネージド脅威インテリジェンスサービスについて説明します。
脅威防止ライセンスの購入についての詳細は、Cato担当者にお問い合わせください。
脅威インテリジェンスは、組織の資産、システム、または運用に対する潜在的または既存の脅威に関する情報を収集および分析するプロセスです。 この情報を使用してリスクを特定し評価し、脅威を予測し、潜在的な攻撃を防止または緩和する戦略を開発することができます。
Catoは、IPアドレス、ドメイン、URLなどのIOC向けの脅威インテリジェンスフィードを提供する、カスタマイズされたサイバーセキュリティソリューションである、マネージド運用脅威インテリジェンスサービスを提供します。 当社のサイバーセキュリティ専門家は、これらのフィードの精度を確保するために注意深く分析およびモニタリングし、その後、IPSやXDRなどのCato Securityサービスに展開します。 例えば、多くのCato IPS脅威シグネチャは、脅威インテリジェンスフィードのIOCと一致するトラフィックをブロックするように設計されています。 Catoの脅威インテリジェンス管理に関する広範な専門知識とリソースには、以下の利点があります:
-
専門知識とリソース
Catoは、専門のセキュリティ専門家と高度なメカニズムを備えた内部脅威インテリジェンスシステムを特長としており、包括的な脅威インテリジェンスソリューションを提供します。 これにより、組織はこれらの能力を構築および維持するための社内投資を必要とせずに、Catoの専門知識とインフラを活用できます。
-
応答性とタイムリーさ
Catoは、モニタリング、緩和、および分析のリアルタイム機能を提供し、脅威インテリジェンス機能を通じて検出されたアクティブな脅威に対して顧客に即時通知を提供します。 これにより、組織は新たな脅威についての更新情報を常に把握し、リスクを積極的に緩和することができます。
-
所有権とコントロール
Catoは、顧客の脅威インテリジェンスプラットフォームの責任と所有権を引き受けます。 これには、さまざまな情報源を通じてサイバーセキュリティのトレンド、さまざまな攻撃者グループ、IOCに関する情報を最新に保つことが含まれます。 さらに、Catoは既存のプラットフォームの継続的なメンテナンスを行い、データの定期的で包括的な検査を実施します。
-
コストとスケーラビリティ
Catoのモデルは、組織がより広範な脅威インテリジェンスソースから利益を得て、Catoモジュールの継続的な改善と強化を享受できるようにします。 Catoは常に新しい機能を追加し、追加費用なしでパッケージの一部としてそれらを含めています。
2024年時点で、カトは約250の異なる脅威インテリジェンスソースから約2000万のIOCを取り込んでいます。 オープンソースコミュニティや商用プロバイダーからのフィードの品質は大きく異なるため、しばしば偽陽性を含むことがあります。 あまりに多くの偽陽性が発生すると、セキュリティチームを圧倒する不必要なアラートが発生し、正当な脅威を見逃してしまいます。 偽陽性はまたビジネスを混乱させ、ユーザーが合法的なリソースにアクセスするのを妨げます。 Catoの管理サービスは、脅威インテリジェンスフィードを継続的に評価し、偽陽性を排除することでビジネス成果を改善します。 平均して、カトはIOCの10%を偽陽性として識別します。 これは、評価と排除のプロセスの後に、約1800万の残りのIOCがカトクラウドのセキュリティサービスに導入され、すべての顧客に保護を提供することを意味します。 新しい脅威インテリジェンスコンテンツをカトクラウドに展開するこのサイクルは、エンドツーエンドで約3時間かかります。
次の図は、新しい脅威インテリジェンスコンテンツの展開サイクルを要約しています:
このセクションでは、Catoが脅威インテリジェンスフィードを評価し、改善するために使用するさまざまな方法を説明します。
Catoフィード評価プロセスは、内部プロトコルに従い、フィードの品質を評価し、シームレスな統合を促進します。 セキュリティアナリストによって導かれ、これには高品質を保証し、偽陽性の発生を減らすための各フィードの手動検査が含まれます。 このプロセスには、フィードソースの信頼性の確認、内部脅威インテリジェンスシステムでの設定、および真の陽性を強調し偽陽性を最小化するためのカスタムフィルタを使用しながらIOCを注意深く確認することが含まれます。
Catoはネットワークを通じてトラフィックから収集された膨大な量の情報を活用し、脅威インテリジェンスを改善します。 Catoクラウド全体のトラフィックフロー用のメタデータから構築されたCatoデータウェアハウスのデータに対して機械学習アルゴリズムを実行できます。 これらはデータがより良い脅威インテリジェンスに使用されるいくつかの方法です:
-
脅威頻度と重要性を評価するための人気度モデル - これらのモデルは、顧客がどの程度頻繁に脅威に遭遇するかに基づいて、脅威の関連性を測定するのに役立ちます。 人気度モデルは、脅威の頻度を示すスコアを割り当てます。 高いスコアは、本物の脅威の可能性が高いことを示唆しています。 人気度モデルを構築するために、インターネットトラフィックについてのデータを収集し、ウェブサイトやIPアドレスとの顧客のやり取りを調査します。 人気度スコアは、ネットワーク全体におけるターゲットに対する関心の程度を反映しています。
-
IPS脅威署名の評価 - 異常を検出した顧客環境から取得されたデータに基づいて、IPS署名の精度を常に測定しています。 このフィードバックループは、顧客のインプットなしにモニタリングを改善し、IPSの品質を向上させます。
洗練されたAIモデルが各IOCを評価し、分類スコアを付与します。 カトはIOCをデータベースに保存し、関連する評判データを収集し、AIを使用して分類スコアを継続的に更新します。 このスコアは、IPSがIOCをブロックするかどうか、そしてそれがXDRストーリーで悪意のあるとマークされるかどうかを決定します。 これらのデータベースエントリは長期的に保持され、データは多くの外部ソースや独自の脅威インテリジェンスフィードに基づいて拡張されます。
0件のコメント
記事コメントは受け付けていません。