Catoのクラウドは疑わしいChrome拡張機能からアカウントを保護する方法

この記事では、侵入防御システム (IPS) セキュリティサービスがChromeブラウザの不審および悪意のある拡張機能からネットワークを保護する方法について説明します。

CatoのIPSサービスが疑わしいChrome拡張機能を識別する方法

Chrome拡張機能はユーザーに多くの機能と機能性を提供しますが、組織は通常信頼されているChrome拡張機能をさまざまな攻撃経路で悪用する攻撃者から保護する課題に直面します。マルウェア対策サービスは良性と悪性の拡張機能を区別できず、組織を攻撃に対して脆弱なままにします。 CatoのIPSサービスは、潜在的な悪意のある拡張機能を識別し、組織にユニークで価値のある保護を提供する高度な技術を通じて、これらのネットワークの脆弱性をカバーしています。

前提条件

Chrome拡張機能の保護はIPSライセンスに含まれています。 IPSライセンスの購入についての詳細は、Catoの担当者にお問い合わせください
Chrome拡張機能の保護機能用に、IPSサービスを有効にして設定をブロックにする必要があります

脅威インテリジェンスフィードの微調整

悪意のあるChrome拡張機能は、感染したホスト上での承認レベルを悪用し、マルウェアをドロップし、ホストを危険にさらす可能性があります。これにより、ネットワーク全体がランサムウェア、データ漏洩、リソースの枯渇などの脅威にさらされます。 IPSサービスはChrome拡張機能に関連する疑わしい活動を識別できるようにするため、脅威インテリジェンスフィードを維持、開発、微調整するための革新的な技術を活用しています。

Chrome拡張機能の脅威をブロック

IPSサービスがホストがCatoクラウドに接続され、疑わしいChrome拡張機能を使用していると検出すると、そのネットワークフローでHTTP/S接続をブロックします。これにより、ホストが疑わしい拡張機能を使用するのを防ぎ、拡張機能の更新取得、データ送信などを防ぐために接続をブロックします。

注意

注意： 疑わしいおよび悪意のある拡張機能は、IPSの保護範囲設定に従ってのみブロックされます。たとえば、WANトラフィックの範囲がモニタまたは許可に設定されている場合、その範囲は悪意のあるChrome拡張機能から保護されません。

ブロックされたChrome拡張機能のイベントを確認する

ホーム > イベントでセキュリティイベントを確認し、Chrome拡張機能に関連するIPSブロックイベントを見つけることができます。

これは、ブロックされたChrome拡張機能のイベントの例です：

These are the IPS event fields for a suspicious Chrome extension event:

イベントタイプ - セキュリティ
イベントサブタイプ - IPS
MITRE ATT&CK® テクニック - コマンドおよびスクリプトインタープリタ (T1059)
脅威の種類 - PuP
脅威名 - 低い信頼レベルのChrome拡張機能

これらはChrome拡張機能イベントのシグネチャーIDの例です：

feed_suspicous_chrome_ext_low_popu
feed_suspicous_chrome_ext_high_popu
feed_risky_chrome_ext_in_webstore
feed_risky_chrome_ext_in_webstore_no_intersect

イベントログの詳細については、ネットワークのイベント分析を参照してください。

CatoがChrome拡張機能をブロックしました - 次はどうしますか？

CatoがChrome拡張機能をブロックした後、IT管理者は使用中のすべてのChrome拡張機能を検査し、不明なものを削除することをお勧めします。さらに、悪意のあるChrome拡張機能が権限を不正利用するために正当な拡張機能を感染させる可能性があるため、最良の策は既存のすべてのブラウザ拡張機能を削除してChromeをデフォルト設定にリセットすることです。