Cato 위협 방지는 Cato Cloud에서 WAN과 인터넷 트래픽을 검사하여 악성 파일, 악성 소프트웨어, 네트워크 기반 공격, 및 기타 보안 위협을 감지하고 차단하는 클라우드 기본 보안 서비스입니다. 위협 방지는 악성 소프트웨어를 차단하고, 악성 도메인 및 목적지를 차단하며, 공격 시도와 기타 공격 활동을 감지하고, 사용자 또는 리소스에 영향을 미치기 전에 위협을 중지시켜 트래픽을 보호합니다. 사용자 디바이스에서 웹 세션을 격리하는 원격 브라우저 격리(RBI)와 같은 Advanced Threat Prevention 서비스를 통해 이 보호를 확장할 수 있으며, 샌드박스는 의심스러운 파일을 격리된 환경에서 심층 분석합니다.
Cato의 보안 엔진은 단일 클라우드 네이티브 서비스에서 함께 작업하여 더욱 정확한 탐지, 더 일관된 시행, 그리고 전체 위협 라이프사이클에 걸쳐 더 강력한 보호를 제공합니다. 엔진은 고립된 결정을 내리는 대신 동일한 트래픽을 검사하고 여러 보호 계층에서 공유 분석을 구축합니다. 이 통합 아키텍처는 보안 제어 간의 조정력을 향상시키며, 위협이 확산되거나 손상을 일으키기 전에 이를 중지하는 데 도움을 줍니다.
완벽한 위협 검사는 TLS 검사를 필요로 하며, 암호화된 트래픽도 분석될 수 있습니다.
Cato는 트래픽을 인라인으로 복호화, 검사, 그리고 다시 암호화하여 위협 방지 및 Advanced Threat Prevention 서비스가 암호화된 트래픽을 분석할 수 있게 합니다. 여기에는 안티멀웨어, IPS, 샌드박스가 포함됩니다. 이러한 방식은 암호화된 세션에 대한 위협 검사를 확장하고 더 많은 트래픽을 다양한 보호 계층에 의해 평가할 수 있도록 허용합니다. 세부 검사 및 우회 규칙을 통해 보안 범위를 유지하면서 검사되지 않아야 할 트래픽을 제외할 수 있습니다.
TLS 검사는 합법적인 사이트의 사용자 경험에 영향을 줄 수 있기 때문에, Cato는 빠르게 권장된 검사 및 우회 규칙을 배포하며 환경에 맞추어 정책을 맞춤화하도록 돕는 TLS 검사 구성 마법사를 제공합니다.
위협 방지 엔진은 Cato Cloud의 PoPs에서 실행되며, 거기를 통과하는 트래픽만을 검사합니다. MPLS 트래픽이나 사이트 및 클라이언트에서 직접 공공 인터넷으로 나가는 트래픽과 같은 Cato Cloud를 우회하는 트래픽은 위협 방지나 Advanced Threat Prevention 서비스에 의해 검사되지 않습니다. 이러한 트래픽은 Cato의 인라인 위협 검사 범위에서 벗어납니다.
이러한 서비스는 계층형 보호를 제공하기 위해 함께 작동하며, 서명 기반 탐지, 행동 분석 및 머신 러닝을 결합하여 알려진 위협 및 알려지지 않은 위협 모두를 식별합니다. 이들이 모두 단일 보안 아키텍처의 일환으로 Cato Cloud에서 운영되므로, 각 계층은 더욱 넓고 더 잘 조정된 위협 활동 관점으로 확장됩니다. CMA에서는 중앙 집중식 관리를 통해 사용자가 쉽게 정책을 구성하고, 이벤트를 모니터링하며 모든 보호된 트래픽에 걸쳐 가시성을 유지할 수 있습니다.
Cato IPS는 알려진 취약점, 봇, 악성 트래픽 및 기타 네트워크 기반 공격에 대해 응용 프로그램, 장치 및 네트워크 서비스를 보호하기 위해, 인바운드, 아웃바운드 및 WAN 트래픽을 검사합니다. 이 서비스는 평판 분석, 알려진 취약점 보호, 안티 봇 탐지, 네트워크 행동 분석, 프로토콜 유효성 검사, 지리적 제한 및 터널링 공격 탐지와 같은 여러 보호 계층을 포함합니다.
IPS 서명은 Cato 보안 연구에 의해 지속적으로 업데이트되며, IPS 정책은 운영 안정성과 보안 범위의 균형을 맞추도록 설계됩니다. IPS는 차단 모드에서 보호를 시행하거나 트래픽을 차단하지 않고 모니터링할 수 있으며, Cato Cloud를 통과하는 트래픽에서 알려진 취약점의 악용을 방지하는 데 도움을 줍니다.
IPS 서비스는 계정의 트래픽에 대해 DNS 보안을 강제하기 위해 DNS 보호를 포함합니다. DNS 보호는 목적지와의 연결이 설정되기 전에 악성 도메인에 대한 DNS 요청을 차단하여, 피싱, 악성 소프트웨어 전달, 명령 제어 통신과 같은 위협을 공격 흐름에서 미리 차단하는 데 도움을 줍니다. DNS 레이어에서 악성 요청을 차단함으로써 DNS 보호는 페이로드 전달 전에 공격을 중지시키며, 보다 넓은 위협 조사를 지원하는 가시성을 제공함으로써 도움을 줍니다.
특정 DNS 보호를 활성화 또는 비활성화하고 허용, 차단 또는 싱크홀 등의 작업을 각 보호에 대해 정의할 수 있습니다. 싱크홀 작업은 악성 도메인에 대한 DNS 요청을 원래 목적지 대신 싱크홀 서버로 리디렉션합니다. 이는 내부 DNS 프록시를 사용하는 환경에서 요청의 원래 엔드포인트를 식별하는 데 도움을 주며, 잠재적으로 감염된 장치를 감지하는 데도 지원합니다.
의심스러운 활동 모니터링은 표준 IPS 서명으로 모니터링되지 않는 의심스러운 네트워크 활동에 대한 IPS 가시성을 확장합니다. SAM은 침해 또는 위반을 의미할 수 있는 활동을 식별하지만 트래픽이 확실히 악성인 것은 아니므로 그 트래픽을 차단하지 않고 모니터링합니다.
시간이 지남에 따라 이벤트를 상관시킴으로써, SAM은 소음을 줄이고 보안 팀에게 초기 공격 활동에 대한 가시성을 제공합니다. 이는 IPS 서명 기반 통제에 의해 감지되지 않는 위협을 식별하는 데 도움을 줍니다. 이것은 직접적인 예방을 초래하지 않을 수 있는 활동에 대한 조사 컨텍스트를 추가하고, 단독으로 서명 기반 컨트롤이 놓칠 수 있는 위협을 식별하는 데 도움을 줍니다.
Cato 안티멀웨어와 NG 안티멀웨어는 두 가지 보호 계층을 제공하여 악성 파일이 네트워크에 진입하지 못하도록 방지합니다. 양쪽 계층은 동시에 WAN 및 인터넷 트래픽에서 파일을 스캔합니다.
안티멀웨어는 알려진 파일 서명과 휴리스틱 분석을 사용하여 악성 파일을 감지합니다. NG 안티멀웨어는 머신러닝과 예측 모델을 사용하여 파일을 악성, 의심스럽거나 양성으로 분류하고 알려지지 않은 제로데이 악성 소프트웨어를 탐지합니다. 이 계층형 접근법은 랜섬웨어, 트로이 목마 및 기타 상용 악성 소프트웨어를 사용자 경험에 영향을 주지 않으면서 차단합니다.
고급 위협 방지 서비스는 표준 위협 방지 통제를 우회할 수 있는 정교한 위협에 대한 추가 보호를 제공합니다. 이 서비스는 고립된 브라우징, 고급 파일 분석 및 행동 기반 예방으로 Cato의 보호를 확장하여 정교한 공격 기술을 감지하고 중지할 수 있도록 도와줍니다.
RBI는 인터넷 방화벽 정책의 일부이며, 인터넷 접근을 차단하지 않고 웹 및 브라우저 기반 위협으로부터 사용자를 보호합니다. 사용자의 장치에서 웹 콘텐츠를 렌더링하는 대신, RBI는 Cato Cloud의 격리된 환경에서 브라우징 세션을 실행하여 브라우저에 안전한 시각적 표현을 스트리밍합니다. 이것은 랜섬웨어, 악성 소프트웨어, 피싱, 악성 광고 및 크로스 사이트 스크립팅(XSS)과 같은 위협으로부터 보호하는 동시에 사용자가 위험하거나 알려지지 않은 웹사이트에 안전하게 접근할 수 있도록 합니다. RBI는 사용자가 보안 통제를 우회하지 않고도 위험한 브라우징 활동에 대한 보호를 확장합니다.
Dynamic Prevention은 사전에 적용 가능한 행동 기반 보안 엔진으로 탐지된 위협에 대응하여 적응형 제어를 적용하여 공격 표면을 축소하고 환경에 영향을 주기 전에 위협을 조기에 완화합니다. 이는 전통적인 포인트 탐지보다 더 넓은 컨텍스트에서 시간을 두고 활동을 분석하여 사용 가능한 도구를 이용하거나 고립된 상황에서는 양성으로 보일 수 있는 의심스러운 행동을 식별하는 데 도움을 줍니다. 이상 행동이 탐지되면 Dynamic Prevention은 자동으로 임시 제어를 적용하고, 행동 변화에 따라 지속적으로 조정하거나 제거할 수 있습니다.
샌드박스는 잠재적으로 악성 또는 의심스러운 파일이 네트워크에 위험 없이 실행 및 분석되는 격리되고 안전한 환경입니다. 이는 악성 소프트웨어 조사를 위한 심층 분석을 추가하여 알려지지 않았거나 회피적인 위협을 탐지합니다. 안티멀웨어 정책이 악성 또는 의심스럽다고 식별한 파일은 자동으로 샌드박스에서 스캔되며, 특정 파일을 분석을 위해 업로드할 수도 있습니다.
MITRE ATT&CK 체계는 공격자 전술 및 기술의 지식 베이스로 보안 팀이 공격 활동을 분류하고 조사하는 데 도움을 줍니다. Cato MITRE ATT&CK 대시보드는 MITRE ATT&CK 체계를 사용하여 네트워크 내 공격 활동에 대한 가시성을 제공합니다. 대시보드는 Cato 보안 서비스에 의해 탐지된 위협을 ATT&CK 전술 및 기술에 매핑하여 보안 팀이 킬 체인 전체에 걸쳐 공격이 어떻게 진행되는지를 이해하는 데 도움을 줍니다. 대시보드는 전술 요약, 기술 세분화, 이벤트 타임라인 및 영향받는 장치와 같은 분석 및 시각화를 포함합니다. 특정 기술이나 출처를 깊이 조사하여 보안 이벤트를 조사하고 환경 내에서 공격 패턴을 분석할 수 있습니다. 이는 개별 탐지를 더 넓은 공격 스토리와 연결하고 보안 팀에게 환경 내에서 위협이 어떻게 전개되는지에 대한 더 명확한 관점을 제공합니다.
댓글 0개
댓글을 남기려면 로그인하세요.