ダイナミック予防とは何ですか?

概要

ダイナミック予防は、行動ベースのセキュリティエンジンであり、検出された脅威に対応して動的制御を予防的に適用し、影響が発生する前に攻撃面を削減し、脅威を軽減します。

静的ルールや署名に依存するのではなく、ダイナミック予防はCatoのネットワーク全体のトラフィック可視性を活用して、ネットワーク全体の通常の動作を継続的に学習します。 これは、各エンティティの振る舞い基準を構築し、典型的な使用パターンと期待される活動を表します。

異常な行動が検出されると、ダイナミック予防は自動的に一時的な動的制御を適用します。 これらの適応型動的制御は、潜在的な攻撃面を減らすために、露出されたサービス、アクション、またはアクセスパスへのアクセスをブロックします。 この制御は、Catoのリサーチチームが多数の侵害シナリオを詳細に分析および調査した結果に基づいて、緩和アクションを強制します。

ダイナミック予防は、時間の経過とともに行動を継続的に再評価し、行動が変化すると制御を自動的に調整または削除します。 これにより、早期に攻撃活動を中断し、露出した攻撃面を減少させ、手動介入の必要性を最小限に抑えつつ、完全な可視性と管理制御を維持します。

リスクの高いユーザーの行動をより包括的に表示するために、動的防止の動作ベースのセキュリティ エンジンによってトリガーされたブロック イベントがユーザーのリスクスコアに組み込まれています。 詳しい情報については、ユーザーリスクレベルの理解を参照してください。

動的防止には、Advanced Threat Protection ライセンスが必要です。

ユースケース - フィッシング攻撃後の探索とコマンド&コントロールコミュニケーションのブロック

会社ABCの従業員がフィッシング攻撃の被害を受け、エンドポイントが危険にさらされました。 被害を受けた直後、攻撃者は正当なツールを使用して探索およびネットワークマッピングを開始しました。 この正当なアクティビティは、以前、このデバイスで観察されたことがありませんでした。 動的予防は、この動作を確立されたベースラインからの高リスクの逸脱としてすぐに検出し、悪意のある偵察と特定しました。

このため、動的予防エンジンは、AnyDeskのダウンロードと実行を防ぐための適応セキュリティコントロールを適用します。 攻撃者は、このファイルをリモートアクセスとC2通信に使用しようとしていました。 この制御を自動的に適用することで、動的予防は攻撃を初期段階で停止しました。 外部コントロールが防止され、さらなるペイロードの配信が停止し、横方向移動のリスクが排除されました。

動的予防により、会社ABCはフィッシング後の脅威を手動介入なしに自動的に無効化し、攻撃の表面積と影響を大幅に削減し、全体のセキュリティ対策を強化しています。

動的予防の仕組みを理解する

動的予防は、以下の4ステッププロセスを使用して、環境全体のアクティビティを継続的に分析し、不審な行動を特定して停止します。

Advanced_Threat_Prevention.png
  1. エンティティベースラインの構築: 動的予防は、各エンティティの通常の行動プロファイルを確立するために、ネットワークアクティビティを時間をかけて監視します。 エンティティは、ノートパソコンやサーバーのようなホストである場合があります。
  2. 逸脱の検出: 動的予防は、インラインとバンド外のサービス(例:マルウェア対策、IPS、DLP)を含む複数のセキュリティエンジンからリアルタイム信号を収集します。 セキュリティイベントすべてを集約するCatoデータレイクからの長期的なインサイトも分析します。 これらの信号は行動ベースラインと比較され、異常なアクティビティを識別します。 善意のように見えるアクションでも、正常な動作から大きく逸脱する場合はフラグが立てられることがあります。
  3. 動的コントロール: 脅威の表面を減少させるため、不審な行動が検出されると、動的予防は適切なコントロールを自動的に適用します。
  4. 悪意のあるアクションをブロック: 悪意のあるアクションが実行されると、それが脅威を防ぐためにリアルタイムでブロックされます。
  5. 動的コントロールの適応: 動的予防は、リスクレベルの変化に応じて、エンティティの行動を継続的に再評価し、適用された管理を動的に調整または削除します。

動的予防が既存のセキュリティエンジンを補完する方法

多くの最新の攻撃は、一連の低シグナルアクションで構成されており、それらは単独では正当だと見えるが、時を超えて関連付けられると悪意のある意図を示します。 従来のセキュリティエンジンは、攻撃のライフサイクルの特定の段階で既知の脅威をポリシーで強制的にブロックしますが、通常は短期間の評価コンテキスト内で動作します。 これらの脅威を検出するには、トラフィック、セキュリティイベント、およびエンティティの行動を拡張されたタイムウィンドウで関連付ける必要があり、そうでなければ、複雑なポリシーチューニング、手動でのベースライン設定、また組織全体の通常のアクセスパターンの深い理解が求められます。

動的予防は、拡張された時間枠と複数のデータソースにわたって信号を関連付ける適応型予防層を追加します。 トラフィックフロー、イベント、および行動パターンを一緒に分析することによって、それらがより広範なシーケンスの一部として見た場合にのみ現れる高度な脅威を特定します。

動的予防が不審な行動を検出すると、脅威の進行をリアルタイムで停止するために、段階的でコンテキストに応じた強制を自動的に適用します。 これらの適応型制限は、カスタムルールや手動介入を必要とせずに、即座に実施され、リスク評価の更新に基づいて継続的に調整されます。

現存するセキュリティエンジンは正確でイベントレベルの保護を提供し、動的予防は長期コンテキストでの検出と自動応答を提供します。 この組み合わせにより、設定の複雑さや運用の負担を増やすことなく、従来のコントロールを回避する巧妙な攻撃を防ぐことができます。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント