フィッシングは、進んだ電子メールとブラウザの保護を展開している組織でも、資格情報の盗難とマルウェアの配信の主要な原因のままです。 攻撃者は、セキュリティコントロールを回避し、ユーザーの信頼を悪用するための手法を進化させ続けています。
Catoはフィッシング試行の検出とブロック、ユーザーの曝露を最小限に抑え、攻撃の迅速な識別と修復を支援するために、包括的なセキュリティサービス層を提供します。これには、ウェブ、クラウド、ゼロトラストネットワークアクセス(ZTNA)の保護が含まれます。
Cato管理画面(CMA)では、フィッシングに関連するすべての検出、ポリシー、およびイベントを管理および視覚化できます。 統合インターフェースは、インターネットファイアウォール、IPS、DNSの保護、リモートブラウザ分離(RBI)、クラウドアクセスセキュリティブローカー(CASB)、およびZTNAなどのサービスからのデータを関連付けます。 この統合されたビューはフィッシング調査と対応を簡素化し、ツール間で切り替えることなく事故を確認し、活動を分析し、ポリシーを更新することができます。
たとえば、IPSまたはDNSの保護がフィッシングドメインをブロックすると、XOpsはすぐに関連イベントをフィッシングストーリーの一部として表示します。 その後、サービスを横断して攻撃を追跡し、すべてのCMA内で更新されたポリシーを適用することができます。
フィッシング攻撃は、ユーザーを危険にさらし、組織に侵入するための最も効果的な方法の一つです。 攻撃者は、詐欺ドメイン、偽のログインページ、およびソーシャルエンジニアリングを使用して資格情報を収集したり、しばしば信頼されたブランドやクラウドサービスを名乗ってマルウェアを配信します。 これらのキャンペーンには、しばしばMicrosoft、AWS、Appleのような正当な企業に見える偽の電子メールや詐欺ウェブサイトが含まれ、ユーザーをログイン詳細の入力や悪意のある要求の承認に誘導します。
最新のフィッシングキャンペーンはますますクラウドベースおよびコラボレーションプラットフォームを悪用しており、従来のセキュリティツールでは悪意のある活動を検出およびブロックしにくくしています。 脅威の役者は迅速に適応し、検出を回避するための自動化と暗号化を使用し、コマンド&コントロールインフラストラクチャとの通信を偽装します。
CatoはすべてのWAN、インターネット、およびリモートアクセスのトラフィックを各PoPでインライン検査します。 フィッシングの検出とブロックは、統合スタック内で平行して稼働する統合セキュリティサービスによって行われます。
コア保護は通常のCatoサービスに含まれます。 脅威保護、高度な脅威保護、CASB、およびXOpsはそれぞれ別のライセンスが必要です。
-
インターネットファイアウォール:カテゴリと評判に基づくURLフィルタリングを使用し、多数の脅威インテリジェンスフィードによって継続的に更新され、既知または疑われるフィッシングドメインへのアクセスをブロックします。 ターゲットまたは新たなフィッシングキャンペーンの検出範囲を強化するために、カスタムの妥協指標(IOC)を定義およびインポートすることができます。
-
ZTNA(ゼロトラストネットワークアクセス):アイデンティティベースのコントロールを通じて、内部およびクラウドアプリケーションへの最低特権アクセスを強制します。 ZTNAの特徴には、アイデンティティ確認、デバイスコンプライアンスチェック、常時接続性が含まれ、すべてのセッションがリアルタイムで認証され検査されることを保証します
-
TLSインスペクション: HTTPSセッションをPoPで復号化および再暗号化し、TLSトラフィック内に隠されたフィッシングページを識別しブロックするために暗号化されたURL、フォーム、およびスクリプトを検査可能にします。
リソース記事:
-
IPSとDNS保護: 妥協指標(IoC)、ヒューリスティック分析、およびリスクのあるまたは欺瞞的なドメインやクローン化されたログインページを識別するAI/MLモデルを使用してフィッシングキャンペーンを検出しブロックします。 DNSの保護は、悪意のあるサーバーとの接続が確立される前にDNS要求をブロックし、TCPまたはUDPハンドシェイクを防ぎます
リソース記事:
-
サイバースクワッティング: Catoは、ユーザーがログイン情報を入力するよう欺くために意図的に正当なブランドやサービスを模倣して作成されたドメインを保護します(例:micros0ft-login.com)。 このブログで詳細を学ぶ:Cato Networks Adds Protection from the Perils of Cybersquatting
-
フィッシングキット: IPSは、攻撃者が偽のログインページと資格情報盗難インフラストラクチャの作成を自動化するために使用する事前にパッケージされたツールセットであるフィッシングキットに関連する活動も識別します。 このブログで詳細を学ぶ:Evasive Phishing Kits Exposed: Cato Networks In-Depth Analysis and Real-Time Defense
-
RBI(リモートブラウザ隔離): 信頼できないまたは未知のサイトのブラウジングセッションを安全なクラウドコンテナで実行します。 資格情報の送信とスクリプトの実行を防ぎ、他の検出層を回避する疑わしいサイトを訪れるユーザーを保護します
リソース記事:
Catoのクラウドアクセスセキュリティブローカー(CASB)は、SaaSとクラウドアプリケーションを可視化および制御し、フィッシングのリスクを特定してアカウントの侵害を防ぎます。
-
アプリ制御: インラインコントロールを使用して承認されたSaaSアプリケーションのポリシーを強制し、API統合を通じて未承認アプリの活動を監視します。 CASBは、偽のファイル共有、悪意のあるリンク、またはクラウドコラボレーションツール内の未承認のOAuth権限など、フィッシング関連のリスクを検出するのを助けます
-
APIを介したアプリ制御: バンド外トラフィックを監視し、トラフィックがCato Cloudを通過しなくても承認されたSaaSアプリケーション内のユーザー活動を管理するための可視性とガバナンスを提供します
リソース記事:
CatoのCASBは、Google DriveやTrelloのような正当なクラウドプラットフォームにホストされたコマンド&コントロール(C2)サーバーと通信するマルウェアを引き起こすフィッシングキャンペーンから保護します。この手法はクラウドからの生活として知られています。 これらのサービスは多くの組織でデフォルトで許可されていることが多く、URLフィルタリングやIP評価に依存する従来のフィッシング防御を回避できます。
-
テナント制限:テナント制限を適用して未承認または個人のクラウドアプリインスタンスへのアクセスをブロックし、企業が承認したアカウントのみがアクセス可能であることを保証します。
-
アクティビティレベルの制御:攻撃者が信頼されたクラウドサービスを利用してデータを外部に持ち出したり、侵害されたシステムにリモートコマンドを発行したりするのを防ぐために、ファイルのアップロードや未承認クライアントを介してクラウドサービスにアクセスするなどの高リスクアクションをブロックする制御を強制します
-
詳細については、この動画をご覧ください。
XOpsはCatoの高度な分析とインシデント関連サービスです。 それはすべてのセキュリティエンジンからデータを組み合わせ、フィッシング関連のインシデントを識別、優先順位付け、および文脈化します。 XOpsはこれらの洞察を関連ストーリーと行動分析として提示することで、フィッシング活動をより効果的にCMA内で検出、調査、修復できます。
-
セキュリティストーリー: フィッシング検出を分析のために統合された物語に関連付ける
ストーリー内から直接フィッシング脅威を緩和する手順を取ることができ、リモートユーザーのセッションを取り消したり、ファイアウォールルールによってブロックされるコンテナにターゲットを追加するなどの操作が可能です。
-
UEBA: フィッシング試行後の横方向移動や異常なログインパターンを検出し、侵害されたアカウントの特定と攻撃後の活動の抑制を助けます
リソース記事:
Catoのアイデンティティと行動の能力は、資格情報の盗難の影響を軽減し、露出を制限することでフィッシング抵抗を強化します。 これらの機能は、ユーザーの確認、デバイスコンプライアンス、および最低特権アクセスを強制し、認証された安全なユーザーのみが企業リソースに接続できるようにします。
Catoのユーザー意識フレームワークは、プラットフォーム全体の活動を検証されたユーザーIDと関連付けます。 CMAのアイデンティティベースのアクセスポリシーと可視性により、特定のアカウントにフィッシング関連の活動を追跡し、拘束のためのターゲットセグメンテーションを強制できます。
詳細情報は、User Awarenessをご覧ください。
フィッシング攻撃はしばしば盗まれた資格情報に依存します。 Catoは、シングルサインオン(SSO)と多要素認証(MFA)のための企業IDプロバイダーとの統合を通じてこのリスクを軽減します。 アクセスポリシーは、ユーザーのアイデンティティ、デバイスポスチャ、および文脈に基づいて動的にPoPで強制され、資格情報の再利用と横方向移動を防止します。
詳細情報は、IdP Single Sign-Onをご覧ください。
Catoは、準拠して管理されているデバイスのみが企業リソースに接続できることを確認します。 アクセスが許可される前に、プラットフォームはデバイスポスチャ(セキュリティソフトウェア、OS、設定)を確認し、フィッシングキャンペーンで悪用される可能性のある侵害されたデバイスをブロックします。
詳細情報については、クライアント接続ポリシー(デバイスポスチャ)をご覧ください。
CMAは、インターネットファイアウォール、IPS、DNS保護、RBI、リモートアクセス、不審な活動の監視(SAM)を含むすべてのCatoセキュリティエンジンからの検出を集約することで、フィッシング関連の活動の統一された可視性を提供します。 CMAはCatoのクラウドスケールインテリジェンスを利用してフィッシング検出の精度を継続的に改善し、新たな攻撃行動を識別します。
ユーザー、アプリケーション、サイトなどのコンテクストフィルターを使用して、CMAでフィッシング関連のイベントを調査し、関連検出を特定できます。 自然言語の検索とドリルダウンレポートはフィッシングイベントへの迅速なアクセスを提供します。
キーのダッシュボードとレポートにはセキュリティダッシュボード、アプリケーションダッシュボード、ユーザー活動レポート、および脅威レポートが含まれ、フィッシングドメイン、繰り返される資格情報の送信、リスクのあるユーザー活動を強調します。
XOpsはフィッシング調査を簡素化する高度な関連付けとインシデントアナリティクスを提供します。 それは、IPS、DNSの保護、RBI、そしてSAMを含む複数のセキュリティエンジンからの検出を集約し、それらを関連付けてフィッシングの全体的なシーケンスを表示する統一されたセキュリティストーリーに関連付けます。 類似のストーリーは関連攻撃を強調し、AI生成の概要がトリアージを加速させます。 SentinelOne、Microsoft Defender、CrowdStrikeなどのツールとの統合は、統合された調査のためにエンドポイントへのコンテキストを拡張します。 詳細については、XOps セキュリティプレイブック - フィッシングウェブサイト攻撃を参照してください。
SAMはネットワーク行動を特定し、フィッシングキャンペーンに関連する新たな脅威や悪用を示す可能性があるネットワーク行動を特定することで、フィッシング検出と調査を強化します。 Catoセキュリティ研究チームによって作成された署名に一致するトラフィックパターンを検出し、予期されるユーザーやアプリケーションの動作から逸脱した活動を特定します。 たとえば、SAMは未知のドメインへの繰り返される資格情報の送信、フィッシング試行後の疑わしいアウトバウンド要求、またはコマンド&コントロール通信と一致するトラフィックをフラグにします。
詳細については、疑わしい活動の監視(IPSとSAM)を参照してください。
Catoはセキュリティエンジン全体で検出を関連付けることにより、初期アクセスの試みから自発的な活動後まで、フィッシング攻撃を攻撃ライフサイクルのすべての段階で軽減します。 このライフサイクルアプローチにより、脅威はリアルタイムでブロックされ、追跡、コンテキスト化、およびCMAおよびXOpsで統合された可視性と自動化を通じて封じ込められます。
Catoのインラインインスペクションエンジンは、フィッシングインフラストラクチャへの接続をユーザーが試みることを未然に防ぎ、セッションが確立される前に露出を減少させます。
-
インターネットファイアウォールとDNSの保護: 疑わしいまたはリスクのあるドメインへのアクセスをブロック
-
IPS: 既知のフィッシングサイトと資格情報収集インフラストラクチャへのアクセスをブロック
Catoは、ドメインまたはURL評判フィルタを回避するフィッシングサイトへの資格情報送信をユーザーに防止します。
-
IPS: 資格情報入力パターンとフィッシングページ構造をリアルタイムで検出
-
RBI: セキュリティコンテナ内でウェブセッションを隔離し、フィッシングフォームやスクリプトとのデータ入力や相互作用を防止
Catoは成功したフィッシングまたは資格情報悪用を示す可能性のある異常活動に対する可視性を提供し、潜在的な妥協を迅速に特定し封じ込めるのを助けます。
-
SAMは繰り返される資格情報の送信、異常なアウトバウンド接続、またはコマンド&コントロール通信と一致する行動を観察すると、イベントを生成します。
例えば、他の保護を回避した高度なフィッシング攻撃の場合、SAMイベントの監視は感染したホストを特定するのに役立つことがあります。
Catoはセキュリティエンジン全体で調査、封じ込め、および調整をCMAでXOpsで集中管理することで、フィッシング応答と運用ワークフローを簡素化します。 この統一されたアプローチにより、インシデントを効率的に管理し、改善を加速し、フィッシング攻撃の全体的な影響を減らすことができます。
あなたはCMAからフィッシングインシデントを直接封じ込め、応答時間を短縮し、資格情報の悪用や妥協したアカウントの影響を最小限に抑えることができます。
-
ユーザーとセッションのコントロール: 影響を受けたユーザーを隔離し、さらにアクセスをブロックします。
-
リモートユーザー: Catoクライアントを通じて接続されたユーザーの資格情報を取り消し、妥協されたアカウントからの進行中のアクセスを防止します。
-
サイト後ろのユーザー: 影響を受けたユーザーを無効化し、特定のユーザーをトラフィックソースとしてブロックするWANおよびインターネットファイアウォールルールを作成します(ユーザー感知を必要とします)。
-
-
ポリシー施行: WANおよびインターネットファイアウォールポリシーをリアルタイムで更新し、フィッシングドメインまたはIPアドレスに新たに特定された通信をブロックします。
-
クロスプラットフォーム統合: SentinelOne、Microsoft Defender、CrowdStrike、Catoエンドポイント保護(EPP)などのエンドポイント保護ツールと統合します。
-
これらのEPPツールからのデータはCMAイベントコンテキストに含まれており、エンドポイントの検出をCatoネットワークセキュリティイベントとともに表示できます。
-
-
XOps 関連付け: XOps セキュリティストーリーにはエンドポイント検出および対応(EDR)データが含まれ、ネットワークとエンドポイントレイヤー全体の関連付けられた可視性を提供します。
関連する記事:
CMAはアラート管理、調査、報告タスクの自動化によってセキュリティオペレーションを効率化します。
-
集中管理されたアラート: すべてのセキュリティエンジンからフィッシング関連のアラートを表示、フィルタリング、および優先順位付けします。
-
通知統合: Slack、ServiceNow、またはメールなどのコラボレーションプラットフォームに自動アラートを送信し、エスカレーションと追跡を加速します。
-
イベントレビュー: SAMおよびIPS検出を含むフィッシングイベントをレビューし、傾向を特定し精度を向上させます。
-
フィッシングデータを含むレポート: セキュリティイベントレポート、XOps調査レポート、XOps検出レポートなど、運用可視性およびエグゼクティブ報告をサポートするためにフィッシング関連の活動を要約するレポートを生成します。
関連する記事:
Catoの補完的な保護は、フィッシング防御と連携してデータ、エンドポイント、および接続デバイス全体にわたって完全なセキュリティを提供します。 これらのサービスはデータ損失、マルウェア感染、およびフィッシング攻撃中または後に発生する可能性があるIoTの悪用から保護します。 各保護には別々のライセンスが必要です。
-
DLP: フィッシング攻撃後に続く可能性があるデータエクスフィルトレーションの試みを防ぐのに役立ちます。
-
Cato EPP: フィッシングベクトルを介して配信されるマルウェアやその他のペイロードを検出しブロックします。
-
IoTセキュリティ: 管理されたIoT資産を保護し、フィッシング妥協後に悪用される可能性のある未管理デバイスを特定します。
CatoのDLPエンジンは、フィッシング試行後にデータがエクスフィルトレーションされるのを保護します。 詳細については、Cato DLPサービスとは何ですか?を確認してください。.
-
インラインDLP施行: 組織外への未承認転送をブロックし、すべてのトラフィック内の機密情報を検査します。
-
アウト・オブ・バンドモニタリング: APIベースのコネクタを使用して、承認されたSaaSアプリケーション内でのデータ活動と共有をモニタリングし、トラフィックがCatoクラウドを通過しない場合でも監視します。
-
可視性: データ取り扱いポリシー違反の確認と監査のためにCMA内のイベントデータを提供します。
Catoエンドポイント保護(EPP)はPoPトラフィック検査に依存せずにマルウェアとフィッシングによって配信されるペイロードを検出してブロックすることにより、エンドポイントを保護します。 これにより、デバイスがCatoクラウドの外で動作する場合でも継続的な保護が保証されます。 詳細については、Catoのエンドポイント保護(EPP)入門を参照してください。
-
ローカル脅威防止: 悪意のあるファイル、スクリプト、およびペイロードが実行される前に検出しブロックします。
-
行動分析: フィッシング攻撃から発生する疑わしいプロセスやランサムウェアに似た活動を特定します。
-
CMA統合: エンドポイントアラートとテレメトリーをCMAに送信し、集中管理された可視性を提供します。これにより、ご自身でフィッシング関連のマルウェアを調査し、ネットワークおよびアイデンティティデータと併せて確認できます。
0件のコメント
サインインしてコメントを残してください。