Cato Anti-Phishing 보호란 무엇입니까?

• 최근 등록된 도메인(NRD): 공격자는 평판 시스템을 회피하기 위해 도메인을 빠르게 등록하고 폐기합니다

• SaaS 악용: 합법적인 협업 또는 저장 서비스에 호스팅된 악성 콘텐츠

• TLS 암호화: 암호화된 트래픽에서 피싱 페이로드와 URL을 숨깁니다

• 단편화된 가시성: 개별 포인트 제품으로 인해 탐지를 상관하고 전체 공격 흐름을 이해하기 어렵습니다

• 인터넷 방화벽: 카테고리 및 평판기반 URL 필터링을 사용하여 다수의 위협 인텔리전스 피드에 의해 지속적으로 업데이트하여 알려진 또는 의심되는 피싱 도메인에 대한 액세스를 차단합니다. 사용자 정의 해킹 지표(IoCs)를 정의하고 가져와서 특정 또는 새로운 피싱 캠페인에 대한 감지 범위를 확장할 수 있습니다

• ZTNA (Zero Trust Network Access): 신원 기반 통제를 통해 내부 및 클라우드 애플리케이션에 대한 최소 권한 액세스를 시행합니다. ZTNA 기능은 신원 확인, 장치 준수 검사 및 항상 연결하여 모든 세션이 실시간으로 인증되고 검사되도록 보장합니다

• TLS 검사: PoP에서 HTTPS 세션을 복호화하고 재암호화하여 암호화된 URL, 폼 및 스크립트를 검사하여 TLS 트래픽 내에 숨겨진 피싱 페이지를 식별하고 차단할 수 있게 합니다

• Cato 인터넷 방화벽이란 무엇입니까?

• 항상 켜져 있는 보안으로 사용자 보호

• 클라이언트 연결 정책이란 무엇입니까?

• 계정에 대한 TLS 검사 정책 구성

• IPS 및 DNS 보호: 해킹 지표(IoCs), 휴리스틱 분석 및 AI/ML 모델을 이용하여 위험하거나 유인 도메인과 복제된 로그인 페이지를 식별하여 피싱 캠페인을 탐지하고 차단합니다. DNS 보호는 악성 서버와의 연결이 설정되기 전에 DNS 요청을 차단하여 TCP 또는 UDP 핸드셰이크를 방지합니다

• IPS 정책 구성

• IPS가 피싱 공격으로부터 보호하는 방법

• IPS를 위한 DNS 보호 사용자 지정

• RBI (원격 브라우저 격리): 신뢰할 수 없거나 알려지지 않은 사이트에 대한 브라우징 세션을 안전한 클라우드 컨테이너에서 실행합니다. 자격 증명 입력 및 스크립트 실행을 방지하여, 다른 감지 계층을 회피하는 의심스러운 사이트를 방문하는 사용자를 보호합니다

• 브라우징 세션을 위한 RBI 서비스 구성

• 앱 제어: 인라인 제어를 사용하여 승인된 SaaS 애플리케이션에 대한 정책을 시행하고 API 통합을 통해 승인되지 않은 앱 활동을 모니터링합니다. CASB는 가짜 파일 공유, 악성 링크 또는 클라우드 협업 도구 내의 허가받지 않은 OAuth 권한과 같은 피싱 관련 위험을 감지하는 데 도움을 줍니다

• API를 통한 앱 제어: 대역 외 트래픽에 대한 가시성과 거버넌스를 제공하여 Cato Cloud를 경유하지 않는 승인된 SaaS 애플리케이션 내 사용자 활동을 모니터링합니다

• 인라인 검사를 통한 애플리케이션 제어

• API를 통한 애플리케이션 제어 및 감사 활동

XOps는 Cato의 고급 분석 및 사고 상관 서비스입니다. 모든 보안 엔진의 데이터를 결합하여 피싱 관련 사건을 식별, 우선순위 지정 및 맥락화를 수행합니다. 이 통찰력을 상관된 이야기와 행동 분석으로 제시함으로써, XOps는 피싱 활동을 더 효과적으로 CMA에서 감지, 조사 및 완화할 수 있게 합니다.

• 보안 이야기: 피싱 탐지를 상관관계 분석하여 분석을 위한 통합된 서사로 변환합니다

  이야기 내에서 직접 피싱 위협을 완화하는 조치를 취할 수 있으며, 예를 들어 원격 사용자의 세션을 취소하거나 방화벽 규칙에 의해 차단된 컨테이너로 대상을 추가하는 등의 조치를 취할 수 있습니다

• UEBA: 피싱 시도 후 비정상적인 로그인 패턴 또는 내부 이동을 감지하여 사이버 공격을 식별하고 공격 후 활동을 억제하는 데 도움을 줍니다

• Cato XOps 서비스에 오신 것을 환영합니다

• XOps 이야기에서 위협 완화

• XOps UEBA 이야기 분석하여 사용 및 이벤트 이상 탐지

• 인터넷 방화벽 및 DNS 보호: 위험하거나 의심스러운 도메인에 대한 접근을 차단합니다.

• IPS: 알려진 피싱 사이트와 자격 증명 수집 인프라에 대한 접근을 차단합니다.

• IPS: 실시간으로 자격 증명 입력 패턴과 피싱 페이지 구조를 감지합니다.

• RBI: 웹 세션을 안전한 컨테이너에서 격리하여 피싱 양식 및 스크립트와의 데이터 입력이나 상호 작용을 방지합니다.

• SAM은 반복적인 자격 증명 제출, 비정상적인 아웃바운드 연결, 또는 명령-제어 통신과 일치하는 행동을 감지할 때 이벤트를 생성합니다.

  예를 들어, 정교한 피싱 공격이 다른 보호 수단을 회피한 경우, SAM 이벤트를 모니터링하면 감염된 호스트를 식별하는 데 도움이 될 수 있습니다.

• 보안 스토리: IPS, DNS 보호, RBI 및 SAM의 이벤트를 연결하여 시간 순서의 공격 서사를 만듭니다.

• AI 기반 분석: 근본 원인, 영향받은 사용자 및 후속 작업을 강조합니다.

• 유사한 스토리: 동일한 조직이나 사용자를 대상으로 하는 반복적인 캠페인을 식별합니다.

• 사용자 및 세션 제어: 영향받은 사용자를 격리하고 추가 접근을 차단합니다.

  • 원격 사용자: 손상된 계정으로부터 지속적인 접속을 방지하기 위해 Cato 클라이언트를 통해 연결된 사용자의 자격 증명을 취소합니다.

  • 사이트 뒤에 있는 사용자: 영향을 받은 사용자를 비활성화하고 특정 사용자를 트래픽 소스로 차단하는 WAN 및 인터넷 방화벽 규칙을 생성합니다(사용자 인식 필요).

• 정책 적용: 새로 식별된 피싱 도메인 또는 IP 주소로의 통신을 차단하기 위해 WAN 및 인터넷 방화벽 정책을 실시간으로 업데이트합니다.

• 크로스 플랫폼 통합: SentinelOne, Microsoft Defender, CrowdStrike 및 Cato 엔드포인트 보호(EPP)와 같은 엔드포인트 보호 도구와 통합합니다.

  • 이러한 EPP 도구의 데이터는 CMA 이벤트 컨텍스트에 포함되어 엔드포인트 탐지를 Cato 네트워크 보안 이벤트와 함께 볼 수 있습니다.

• XOps 상관 관계: XOps 보안 스토리는 엔드포인트 탐지 및 대응(EDR) 데이터를 포함하여 네트워크 및 엔드포인트 계층 전반의 상관 관계 있는 가시성을 제공합니다.

• XOps 스토리의 대응 정책 생성

• XOps 커넥터

• 중앙 집중식 알림: 모든 보안 엔진의 피싱 관련 알림을 한 곳에서 보고 필터링 및 우선 순위를 지정합니다.

• 알림 통합: 자동화된 알림을 Slack, ServiceNow 또는 이메일과 같은 협업 플랫폼으로 보내 상승 및 추적을 가속화합니다.

• 이벤트 검토: SAM 및 IPS 탐지를 포함하여 피싱 이벤트를 검토하여 트렌드를 식별하고 정확성을 향상시킵니다.

• 피싱 데이터 포함 보고서: 운영 가시성 및 경영진 보고를 지원하기 위해 보안 이벤트 보고서, XOps 조사 보고서 및 XOps 탐지 보고서와 같은 피싱 관련 활동을 요약하는 보고서를 생성합니다.

• 알림

• 네트워크에서 이벤트 분석

• 캐토 보고서

• 인라인 DLP 적용: 모든 트래픽을 검사하여 기밀 정보를 보호하고 승인되지 않은 전송을 조직 외부로 차단합니다.

• 밴드 외 모니터링: API 기반 커넥터를 사용하여 승인된 SaaS 애플리케이션 내에서 데이터 활동 및 공유를 모니터링하며, 트래픽이 Cato 클라우드를 통과하지 않는 경우에도 가능합니다.

• 가시성: 데이터 처리 정책 위반을 검토하고 감사하기 위한 이벤트 데이터를 CMA에 제공합니다.

• 로컬 위협 방지: 실행되기 전에 악성 파일, 스크립트 및 페이로드를 감지하고 차단합니다.

• 행동 분석: 피싱 공격에서 발생한 의심스러운 프로세스 및 랜섬웨어 활동을 식별합니다.

• CMA 통합: 엔드포인트 알림 및 원격 측정을 CMA에 보내 중앙 집중식 가시성을 제공하며, 네트워크 및 신원 데이터와 함께 피싱 관련 악성 소프트웨어를 조사할 수 있습니다.

• 장치 탐색: 네트워크에 연결된 모든 IoT 및 OT 장치를 자동으로 식별합니다.

• 행동 모니터링: 장치가 피싱 제어나 명령-제어 도메인에 접속하려고 시도하는 것과 같은 비정상적인 통신 패턴을 감지합니다.