Dynamic Prevention은 감지된 위협에 대처하기 위해 동적 제어를 사전에 적용하여 공격 표면을 줄이고 영향이 발생하기 전에 위협을 조기에 감소시키는 행위 기반 보안 엔진입니다.
Dynamic Prevention은 정적 규칙 또는 서명을 사용하는 대신, Cato의 네트워크 전반의 트래픽 가시성을 활용하여 네트워크 전반의 정상적인 행동을 지속적으로 학습합니다. 이는 각 엔터티에 대한 행동 기준을 구축하며, 일반적인 사용 패턴과 예상 활동을 나타냅니다.
이상 행동이 감지되면, Dynamic Prevention은 자동으로 임시적인 동적 제어를 적용합니다. 이러한 적응형 동적 제어는 노출된 서비스, 작업 또는 액세스 경로를 차단하여 잠재적인 공격 표면을 줄입니다. 제어는 Cato 연구팀이 다양한 침해 시나리오를 철저히 분석하고 연구하여 완화 조치를 시행합니다.
Dynamic Prevention은 시간이 지남에 따라 행동을 지속적으로 재평가하고, 행동이 변화함에 따라 적용된 제어를 자동으로 조정하거나 제거합니다. 이렇게 하면 공격 활동의 초기 방해를 가능하게 하고, 노출된 공격 표면을 줄이며, 수동 개입의 필요성을 최소화하고, 모든 가시성과 관리 제어를 유지합니다.
사용자의 위험 행동에 대한 더 완전한 보기를 제공하기 위해, Dynamic Prevention의 행동 기반 보안 엔진에 의해 트리거된 차단 이벤트가 사용자의 위험 점수에 통합됩니다. 자세한 정보는 사용자 위험 수준 이해하기를 참조하세요.
Dynamic Prevention에는 고급 위협 방지 라이센스가 필요합니다.
회사 ABC의 한 직원이 피싱 공격으로 인해 엔드포인트가 손상되었습니다. 손상 직후 공격자는 합법적인 도구를 사용하여 탐색 및 네트워크 매핑 시도를 시작했습니다. 이 합법적인 활동은 이전에 이 디바이스에서 관찰된 적이 없습니다. 다이나믹 예방은 즉시 이 행동을 기존 기준선에서 벗어난 고위험 편차로 감지하고 악성 정찰로 식별했습니다.
이에 대응하여, 다이나믹 예방 엔진은 AnyDesk의 다운로드 및 실행을 방지하는 적응형 보안 제어를 적용합니다. 공격자는 원격 액세스 및 C2 통신을 위해 이 파일을 사용하려고 했습니다. 이 제어를 자동으로 적용함으로써, 다이나믹 예방은 초기 단계에서 공격을 차단했습니다. 외부 제어를 방지하고 추가 페이로드 전달을 중단했으며 횡 단위 이동 위험을 제거했습니다.
다이나믹 예방을 통해 회사 ABC는 피싱 이후의 위협을 자동으로 중화하여 수동 개입 없이 공격 표면과 영향을 크게 줄이고 전체적인 보안 자세를 강화합니다.
다이나믹 예방은 다음의 4단계 과정을 사용하여 환경 전반의 활동을 계속 분석하여 의심스러운 행동을 식별하고 중단합니다.
- 엔티티 기준선 구축: 다이나믹 예방이 각 엔티티의 정상 행동 프로필을 설정하기 위해 네트워크 활동을 지속적으로 모니터링합니다. 엔티티는 노트북이나 서버와 같은 호스트일 수 있습니다.
- 편차 감지: 다이나믹 예방은 안티멀웨어, IPS, DLP와 같은 인라인 및 대역 외 서비스를 포함한 여러 보안 엔진에서 실시간 신호를 수집합니다. 또한 모든 보안 이벤트를 집계하는 수집된 Cato 데이터 레이크로부터 장기적인 인사이트를 분석합니다. 이러한 신호는 행동 기준선과 비교되어 비정상적인 활동을 식별합니다. 일반적으로 보이는 행동도 정상 행동과 크게 벗어나면 플래그가 표시될 수 있습니다.
- 다이나믹 제어: 의심스러운 행동이 감지되면 공격 표면을 줄이기 위해 다이나믹 예방이 적절한 제어를 자동으로 적용합니다.
- 악성 행동 차단: 악성 행동이 발생하면, 위협을 방지하기 위해 실시간으로 차단됩니다.
- 다이나믹 제어 조정: 다이나믹 예방은 엔티티 행동을 지속적으로 재평가하고 위험 수준 변화에 따라 적용된 제어를 동적으로 조정하거나 제거합니다.
많은 현대적 공격은 고립된 상태에서는 합법적으로 보이는 낮은 신호의 행동 단위로 이루어져 있지만, 시간이 지남에 따라 결합되면 악의적인 의도를 드러냅니다. 기존의 보안 엔진은 공격 라이프사이클의 특정 단계에서 정책을 효과적으로 집행하고 알려진 위협을 차단하지만, 일반적으로 평가 문맥이 짧은 시간 동안 운영됩니다. 이러한 위협을 감지하려면 복잡한 정책 조정, 수동 기준 설정, 조직 전반의 일반적 액세스 패턴에 대한 깊은 이해가 필요한 시간을 초과하는 평가 창 내에서 트래픽, 보안 이벤트, 엔티티 행동을 연관 지어야 합니다.
다이나믹 예방은 시간 프레임과 여러 데이터 소스에 걸쳐 신호를 연관시키는 적응형 예방 레이어를 추가합니다. 트래픽 흐름, 이벤트 및 행동 패턴을 함께 분석하여, 개별적 사건이 아닌 넓은 시퀀스로 볼 때만 나타나는 고급 위협을 식별합니다.
다이나믹 예방이 의심스러운 행동을 감지할 경우, 위협 진전을 실시간으로 중단하기 위해 적응형, 문맥 인식 강제 적용을 자동으로 실시합니다. 이러한 적응형 제한은 사용자 정의 규칙이나 수동 개입 없이 즉시 시행되며, 업데이트된 위험 평가에 기반해 계속 조정됩니다.
이 조합을 통해 기존 보안 엔진은 정밀한 이벤트 수준의 보호를 제공하며, 다이나믹 예방은 긴 문맥 감지 및 자동화된 대응을 제공합니다. 이 결합은 구성 복잡성 증가나 운영 관리 부담 없이 기존 제어를 회피하는 정교한 공격을 예방할 수 있게 합니다.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.