이 문서는 Cato 사용자 위험 수준, 그 계산 방법, 및 보안 자세를 개선하기 위한 구현 방법에 대한 정보를 제공합니다.
Cato의 보편적 ZTNA 접근 방식과 지속적인 평가 및 검증의 일부로, Cato는 귀사의 조직 내 각 사용자의 동적 사용자 위험 수준을 계산하여 그들이 제기하는 위험을 결정합니다.
사용자 위험 수준은 보안 자세와 적응 액세스 기능을 향상시키는 데 도움을 줍니다. 이 수준에 따라 리소스 접근을 결정하기 위해 다양한 정책에서 규칙을 생성할 수 있습니다. 예를 들어, 사용자의 위험 수준이 높음 이상인 경우 민감한 회사 자원으로 가는 트래픽을 차단하는 규칙을 생성합니다.
조직 내 모든 사용자의 위험 수준을 볼 수 있으며 이들이 SDP 라이센스를 가지고 있는지 여부와 상관없이 확인할 수 있습니다. 이는 전체 보안 자세에 대한 지표를 제공합니다. 또한, 특정 사용자와 연결된 모든 보안 이벤트를 확인하고 그들의 위험 수준을 결정할 수 있습니다.
참고: 사용자 위험 수준을 보기 위해서는 클라우드 액세스 관리자 역할에서 필요한 권한이 있어야 합니다.
ABC 회사는 SaaS 애플리케이션을 활용하며, 최고의 보안 관행을 따라 이 애플리케이션에 접근할 수 있는 사람이 필요하다는 것을 확실히 하고자 합니다. 뿐만 아니라 허용된 그룹에서 높은 위험 수준 이상의 사람은 이러한 애플리케이션에 접근할 수 없도록 하고 싶습니다.
회사는 인터넷 방화벽에서 SaaS 애플리케이션으로의 모든 트래픽을 차단하는 규칙을 생성합니다.
John Doe가 SaaS 애플리케이션에 접근할 수 없는 경우, 그는 IT 부서에 연락합니다. IT 부서는 그의 위험 수준이 높은 것을 봅니다. 그러나 수준을 결정하는 이벤트를 검토한 후, IT 부서는 그가 위험이 되지 않는다고 판단하여 수준을 재설정하여 필요한 애플리케이션에 접근할 수 있도록 합니다.
모든 사용자 활동은 Cato 공유 컨텍스트를 활용하여 모니터링되고 로그에 기록됩니다. 사용자는 여러 데이터 포인트를 고려하여 독점 알고리즘을 기반으로 위험 수준이 동적으로 할당됩니다. 위험 수준은 인터넷 및 WAN 정책에서 사용되어 낮은 위험을 나타내는 사용자만에게 액세스를 허용할 수 있습니다.
Cato는 다음 속성을 수집합니다.
정책으로 표시된 사용자 속성은 정책에서 사용할 수 있습니다. 자세한 내용은 클라이언트 연결 정책을 참조하십시오.
|
항목 |
속성 |
예시 |
|---|---|---|
|
1 |
트로이 목마 활동 |
Dridex, Peacomm, PeacommBanking |
|
2 |
은행 악성 소프트웨어 |
Bancos, Banload, Banker |
|
3 |
정보 강탈자 |
Zeus/Zbot, Agent, Symmi |
|
4 |
백도어 활동 |
다양한 서명이 MITRE ATT&CK 기법에 매핑됨 |
|
5 |
봇넷 트래픽 |
Mirai, 다양한 C2 서명 |
|
6 |
DNS 터널링 |
다중 DNS 터널링 탐지 |
|
7 |
비콘 활동 |
정기적인 명령 및 제어 확인 |
|
8 |
다중 도메인 통신 |
다중 위협적 도메인 후 낮은 평판 서버 |
|
9 |
랜섬웨어 통신 |
SMB 활동 및 외부 커뮤니케이션 |
|
10 |
암호화 행동 |
파일 시스템 암호화 활동 |
|
11 |
랜섬 노트 전달 |
랜섬 노트 배치 또는 전달 |
|
12 |
광산 풀 통신 |
CryptInject, Cryptomineext, Groupfabric Bitcoinminer |
|
13 |
리소스 사용량 |
광산을 위한 비정상적 시스템 사용량 |
|
14 |
의심스러운 목적지로 데이터 전송 |
시스템 정보 유출, RaiDrive 유출 |
|
15 |
자격 증명 도난 |
자격 증명 도난 활동 및 유출 |
|
16 |
대형 데이터 전송 |
비정상적으로 대량 아웃바운드 전송 |
|
17 |
CVE 악용 |
CVE-2018-0101, CVE-2017-0199, CVE-2021-44228 (Log4Shell) |
|
18 |
제로데이 악용 |
신규 위협에 대한 서명 |
|
19 |
명령어 삽입 |
감지된 명령어 삽입 시도 |
|
20 |
디렉토리 트레버설 |
경로 트레버설 행동 |
|
21 |
파일 업로드 시도 |
웹 앱에 의심스러운 파일 업로드 |
|
22 |
SQL 삽입 |
SQLi 공격 시도 |
|
23 |
교차 사이트 스크립팅 및 CSRF |
XSS 및 CSRF 탐지 |
|
24 |
피싱 숨김 처리 |
숨겨진 피싱 전술 탐지 |
|
25 |
자격 증명 피싱 |
피싱 페이지에 민감한 데이터 삽입 |
|
26 |
브랜드 사칭 |
DHL 관련 피싱 |
|
27 |
자동화된 스캐닝 도구 |
Nikto, Nessus, OpenVAS |
|
28 |
표적 취약점 탐침 |
CVE 중심 스캔 |
|
29 |
네트워크 열거 |
포트 스캔 및 네트워크 발견 |
|
30 |
알려진 나쁜 IP/도메인 통신 |
낮은 평판 도메인 액세스, TOR/프록시 |
|
31 |
사용자 이메일 |
(정책 - 아래 참조) |
|
32 |
사용자 그룹 |
(정책 - 아래 참조) |
|
33 |
사용자 신뢰 수준 |
(정책 - 아래 참조) |
|
34 |
플랫폼 |
(정책 - 아래 참조) |
|
35 |
국가 |
(정책 - 아래 참조) |
|
36 |
연결 출처 |
(정책 - 아래 참조) |
|
37 |
원격 실행을 통한 SMB |
PsExec, PAExec, RemCom, CSExec |
|
38 |
WinRM 원격 실행 |
WinRS 명령 셸, WinRM 파워셸 |
|
39 |
Impacket 원격 실행 |
Impacket PsExec, Impacket SMBExec, Impacket DCOMExec |
|
40 |
WMI 원격 실행 |
DCOM을 통한 WMI 실행 |
|
41 |
원격 서비스 조작 |
SVCCTL 서비스 만들기, SVCCTL 서비스 시작, SVCCTL 서비스 삭제 |
|
42 |
원격 예약 작업 |
schtasks 원격, AT 작업은 atsvc를 통해 실행 |
|
43 |
LDAP 탐색 |
LDAP 신뢰 덤프, 사람, 컴퓨터, 관리자 사용자, 그룹 쿼리 |
|
44 |
SAMR / LSARPC 탐색 |
SAMR 관리자 조회, SAMR 쿼리 디스플레이 정보, SAMR 로컬 관리자 열거, LSARPC 내장 관리자 |
|
45 |
다중 서비스 포트 스캐닝 |
단일 소스 IP에서 FTP, SSH, RDP 서비스 스캔 |
|
46 |
자격증명 도구 전송 |
Mimikatz SMB 전송 |
|
47 |
SMB를 통한 공격 도구 전송 |
Netcat, Nmap, ADFind, TDSSKiller, PowerShell 스크립트, 배치 스크립트 |
|
48 |
SMB를 통한 파일 전송 도구 전송 |
WinSCP, FileZilla, PuTTY, MobaXterm |
|
49 |
Rclone 유출 |
Rclone SSH, Rclone HTTP, Rclone 다운로드 |
|
50 |
클라우드 스토리지 유출 |
비 브라우저 MEGA API 업로드, 저인기 클라우드 서비스 업로드 |
|
51 |
Pastebin 봇 액세스 |
Pastebin에 대한 비 브라우저의 원시 콘텐츠 액세스 |
|
52 |
의심스러운 목적지로 FTP |
낮은 평판의 IP, 낮은 평판의 도메인, 비표준 포트로의 FTP |
|
53 |
프로토콜 터널링 |
웹 포트를 통한 RDP 터널링, 비표준 포트에서의 TLS를 통한 RDP |
|
54 |
RMM 도구 다운로드 |
TeamViewer, AnyDesk, ScreenConnect, Splashtop, SimpleHelp, Atera, Zoho Assist |
|
55 |
RMM 활성 연결 |
TeamViewer WAN/인바운드 세션, AnyDesk 원격 데스크탑, Splashtop 릴레이, SimpleHelp 가로/UDP |
|
56 |
SMB를 통한 RMM 도구 전송 |
AnyDesk SMB 전송, Splashtop SMB 전송 |
|
57 |
의심스러운 CLI 도구 사용 |
낮은 평판의 사이트로 curl / wget, curl / wget 바이너리 다운로드 |
|
58 |
PSTools 스위트 다운로드 |
대량 PsExec(15+ 호스트를 10분 내에)과 함께 PSTools 다운로드 |
Cato는 위험한 행동을 판단하기 위해 여러 가지 지표를 살펴보고 이를 위의 4가지 범주로 분류합니다. 이러한 지표에는 다음이 포함됩니다:
-
이미 손상된 시스템의 지표 - 2500개 이상의 서명이 포함됨:
-
악성 소프트웨어, 트로이 목마, 금융 관련 악성 소프트웨어 및 다양한 백도어 기법
-
명령 & 제어 통신, 봇넷 트래픽, DNS 터널링 및 복수 도메인 통신
-
랜섬웨어 활동, 암호화 행동, 랜섬 노트 전달 및 랜섬웨어 통신
-
암호화폐 채굴, 마이닝 풀 통신 및 리소스 사용량
-
유출 활동, 의심스러운 목적지로 데이터 전송, 자격 증명 탈취 및 대형 데이터 전송
-
-
감염으로 이어질 수 있는 차단 시도 지표 - 2300개 이상의 서명이 포함됨:
-
원격 코드 실행 시도, CVE 악용, 0-day 악용 시도 및 명령 삽입
-
웹 애플리케이션 공격, 디렉토리 이동, 파일 업로드 시도 및 XSS/CSRF
-
피싱 활동, 자격 증명 피싱 및 브랜드 사칭
-
취약점 스캔, 자동 스캔 도구 사용 및 네트워크 열거
-
-
정책 위반 및 손상으로 이어질 수 있는 위험한 활동 지표 - 1500개 이상의 서명이 포함됨:
-
내부 이동 시도, psexec 사용, WinRM 사용 및 PowerShell 원격 조정
-
정보 공개, 민감한 데이터 노출, 오류 메시지 유출 및 디렉토리 목록화
-
평판 기반 지표, TOR 또는 프록시 사용, 의심스러운 도메인 접근 및 알려진 악성 IP 주소 통신
-
Dynamic Prevention의 행동 기반 보안 엔진에 의해 트리거된 블록 이벤트. 더 많은 정보는 Dynamic Prevention이 무엇인가요?를 참조하세요.
-
사용자 위험 수준은 네트워크 및 보안 팀에게 중요한 도구로, 내부 애플리케이션 트래픽과 인터넷 트래픽을 보호하기 위한 제로 트러스트 동적 접근 제어 정책을 가능하게 합니다. 귀하의 위험 태세에 대한 귀중한 인사이트를 제공하여 진화하는 위협에 대응하여 보안 전략을 동적으로 조정할 수 있도록 합니다.
사용자 위험 수준을 기반으로 인터넷 및 WAN 방화벽 내에서 애플리케이션 접근을 차단하는 정책을 생성할 수 있습니다.
액세스 > 사용자 페이지는 시스템의 모든 사용자와 그들의 위험 수준을 보여줍니다.
위험 수준을 기준으로 페이지의 정보를 필터링하여 조직에 가장 큰 위협을 제기할 수 있는 사용자들을 쉽게 찾을 수 있습니다. 위험 수준 값은 다음과 같습니다:
-
심각
-
높음
-
중간
-
낮음
이 페이지에서 사용자의 세션을 취소하거나 위험 수준을 재설정하는 등의 특정 작업을 수행할 수 있습니다.
사용자의 위험 수준을 결정하는 요소를 더 잘 이해하기 위해, 개별 사용자를 클릭하여 사용자 위험 페이지로 이동하면 위험 점수 대시보드가 표시됩니다. 사용자의 위험 태세를 조사하고 즉각적인 수정 조치를 취하기 위해 사용자 위험 점수 대시보드를 사용합니다. 대시보드는 사용자의 위험이 시간이 지남에 따라 어떻게 변화하는지, 그 위험에 기여하는 요소는 무엇인지, 관련된 보안 이벤트는 무엇인지 이해하는 데 도움을 주어 조사에서 수정으로 빠르게 이동할 수 있게 합니다. 사용자 디렉토리에서 대시보드에 접근합니다.
특정 사용자의 정보를 보기 위해서는 클라우드 액세스 관리자 역할의 일부로 필요한 권한이 있어야 합니다:
-
없음 - 특정 사용자의 위험 점수 대시보드에 액세스할 수 없습니다.
-
보기 - 위험 점수 대시보드를 볼 수는 있지만 어떤 작업도 수행할 수 없습니다.
-
편집 - 위험 점수 대시보드를 보고 세션 취소 또는 위험 점수 재설정과 같은 작업을 수행할 수 있는 전체 권한이 있습니다.
보고서 보기 페이지를 사용해 사용자의 위험 점수가 변경된 이유와 기여 요소를 조사합니다. 시간 경과에 따른 위험 검토, 점수 급증 및 추세 확인, 현재 점수를 유도하는 요소 보기, 사용자가 관련된 보안 이벤트 보기, 점수 변화에 기여한 특정 이벤트를 보기 위해 다음과 같은 항목별로 각각 수행합니다:
-
IPS
-
안티멀웨어
-
의심스러운 활동
-
방화벽
-
Dynamic Prevention
예를 들어, 사용자를 필터링하여 이벤트 페이지로 이동하기 위해 모든 IPS 이벤트 보기와 같은 주어진 섹션의 링크를 클릭할 수 있습니다.
댓글 0개
댓글을 남기려면 로그인하세요.