Catoの脅威保護があなたのネットワークを保護する方法

Catoのセキュリティエンジンは、単一のクラウドネイティブサービスで協力して、より正確な検出、一貫した施行、そして脅威ライフサイクル全体にわたる強力な保護を実現します。 孤立した決定をするのではなく、エンジンは同じトラフィックを検査し、複数の保護レイヤーにわたる共有分析に基づいて構築します。 この統一されたアーキテクチャは、セキュリティコントロール間の協調を改善し、拡散やダメージが発生する前に脅威を阻止する助けになります。

Cato脅威防止はまた、AIと機械学習をサービスインフラストラクチャに使用して、脅威インテリジェンスを改善し、検出の質を強化します。 これには、AIベースのIOC分類、トラフィックメタデータの機械学習分析、脅威用IPSにおける機械学習保護、ダイナミック防止における行動ベースの分析が含まれます。 これらの機能は協力して検出を強化し、Catoが既知および未知の脅威をより効果的に特定するのを助けます。

脅威防止エンジンはCatoクラウドのPoPsで稼働し、そこを通過するトラフィックのみを検査します。 MPLSトラフィックや公開インターネットに直接イグレスするサイトやクライアントからのトラフィックなど、Catoクラウドをバイパスするトラフィックは、脅威防止または高度な脅威防止サービスによって検査されません。 このトラフィックは、Catoのインライン脅威検査の範囲外です。

Cato IPSは、インバウンド、アウトバウンド、およびWANトラフィックを検査し、既知の脆弱性、ボット、悪意のあるトラフィック、およびその他のネットワークベースの攻撃からアプリケーション、デバイス、およびネットワークサービスを保護します。 このサービスには、評判分析、既知の脆弱性保護、アンチボット検出、ネットワーク行動分析、プロトコル検証、地理的制限、トンネル攻撃検出など、複数の保護層が含まれています。

IPS署名はCatoのセキュリティ調査によって継続的に更新され、IPSポリシーはセキュリティカバレッジと運用の安定性をバランスさせるように設計されています。 IPSはブロックモードで保護を施行することも、トラフィックをブロックせずに監視することもでき、Catoクラウドを通過するトラフィックにおける既知の脆弱性の悪用を防ぎます。

IPSサービスにはDNSの保護が含まれており、アカウント内のトラフィックに対してDNSセキュリティを施行します。 DNSの保護は、宛先との接続が確立される前に悪意のあるドメインへのDNSリクエストをブロックし、フィッシング、マルウェア配信、およびコマンド＆コントロール通信などの脅威を攻撃フローの初期段階で阻止するのに役立ちます。 DNSの階層で悪意のあるリクエストをブロックすることにより、DNSの保護はペイロード配信前の攻撃を阻止するのを助け、より広範な脅威調査をサポートする可視性を提供します。

特定のDNS保護を有効または無効にし、各保護に対する許可、ブロック、シンクホールなどのアクションを定義できます。 シンクホールアクションは、悪意のあるドメインに対するDNSリクエストを元の宛先ではなくシンクホールサーバーにリダイレクトします。 これにより、内部DNSプロキシを使用する環境を含め、リクエストの発信エンドポイントを特定し、潜在的に感染したデバイスの検出をサポートするのに役立ちます。

疑わしい活動の監視は標準のIPS署名によって監視されない疑わしいネットワーク活動に対するIPSの可視性を拡張します。 SAMは妥協や侵害を示す活動を識別しますが、トラフィックが決定的に悪意のあるものでない場合は、アクティビティをブロックせずにトラフィックを監視します。

時間の経過とともにイベントを相関させることで、SAMはノイズを減らし、セキュリティチームに初期の攻撃活動についてのより良い可視性を提供します。 これにより、IPSの署名ベースのコントロールによって検出されない脅威を識別可能です。 これにより、直接的な防止を引き起こさない可能性のある活動に対する調査コンテキストが追加され、署名ベースの制御によって見逃される可能性のある脅威を特定する手助けになります。

Catoマルウェア対策と次世代アンチマルウェアは、悪意のあるファイルがネットワークに侵入するのを防ぐために、2つの保護層を提供します。 両方の層がWANおよびインターネットトラフィックから同時にファイルをスキャンします。

マルウェア対策は、既知のファイル署名とヒューリスティック分析を使用して悪意のあるファイルを検出します。 次世代アンチマルウェアは、機械学習と予測モデルを使用してファイルを良性、疑わしい、または悪意のあるものとして分類し、未知およびゼロデイのマルウェアを検出します。 この層状アプローチは、ランサムウェア、トロイの木馬、その他のありふれたマルウェアをユーザー体験に影響を与えずにブロックします。

RBIはインターネットファイアウォールポリシーの一部であり、インターネットアクセスをブロックせずにウェブおよびブラウザベースの脅威からユーザーを保護します。 ユーザーのデバイス上でウェブコンテンツをレンダリングする代わりに、RBIはCatoクラウド内の孤立した環境で閲覧セッションを実行し、安全な視覚表現をブラウザにストリーミングします。 これにより、ランサムウェア、マルウェア、フィッシング、悪意のある広告、クロスサイトスクリプティング（XSS）などの脅威から保護され、ユーザーがリスクのあるまたは未知のウェブサイトに安全にアクセスできるようになります。 RBIは、ユーザーがセキュリティコントロールをバイパスすることなく危険なブラウジング活動に対する保護を拡張します。

動的防止は、検出された脅威に対応して攻撃面を縮小し、環境に影響を与える前に脅威を早期に軽減するために適応制御を事前に適用する行動ベースのセキュリティエンジンです。 それは活動を時間をかけて分析し、伝統的なポイント検出よりも広いコンテキストで分析を行い、正当なツールを使用するか、孤立していれば良性に見える疑わしい行動を特定する手助けになります。 異常な行動が検出された場合、動的防止は自動的に一時的な制御を適用し、行動が変更されるとそれを継続的に調整または削除します。

サンドボックスは、潜在的に悪意があるか疑わしいファイルがあなたのネットワークにリスクをもたらすことなく実行され、分析される孤立した安全な環境です。 これにより、マルウェア調査のための詳細な分析が追加され、未知および回避可能な脅威を検出します。 マルウェア対策ポリシーにより悪意があるまたは疑わしいと識別されたファイルは自動的にサンドボックスでスキャンされ、特定のファイルを分析するためにアップロードすることもできます。

MITRE ATT&CK® ダッシュボードの使用