Cato Networks의 보안 연구팀은 악성 IP 주소, URL 및 도메인 이름을 평판이 나쁜 것으로 태그할 수 있는 악성 탐지 엔진을 개발했습니다. 이러한 평판은 특정 IP 주소, URL 또는 도메인이 의심스러운 또는 악의적인 활동을 시작했음을 나타냅니다. 예를 들어, 멀웨어 C&C, 네트워크 스캐너, 피싱 활동 등이 있습니다.
Cato Cloud의 IPS 엔진은 평판이 나쁜 것으로 태그된 네트워크 트래픽을 차단하고, 평판 위협 유형의 평판기반 보안 이벤트를 생성합니다.
다음 스크린샷은 이벤트 탐색에서 평판 위협 유형으로 된 보안 이벤트의 예시를 보여줍니다:
Cato의 IPS 엔진이 잠재적으로 악성 트래픽을 식별하고 위협 평판을 기반으로 차단하면, 위협 이름 필드가 트래픽이 차단된 이유를 설명합니다.
위협 이름 필드에는 다음과 같은 값이 포함될 수 있습니다:
-
도메인 평판기반 서명 - 피싱
-
평판 IP기반 서명 - 봇넷
-
IP 평판기반 서명 - 악성 IP
-
도메인 평판기반 서명 - 악성 도메인
-
IP 평판기반 서명 - 오용
-
URL 평판기반 서명 - 악성 URL
Cato 관리 애플리케이션 내에서 생성된 각 보안 이벤트는 위협 유형이라는 필드에 의해 분류됩니다. 이 필드는 Cato가 귀하를 보호한 위협 유형의 고급 개요를 표시하고, 잠재적 악성 활동에 대한 지표를 제공합니다.
보안 이벤트에 표시될 수 있는 위협 유형에는 다음이 포함됩니다:
-
스팸
-
브루트 포스
-
스캐너
-
피싱
-
정책 위반
-
암호화폐 채굴
-
익명화
-
DoS
-
네트워크 스캔
-
취약점 스캔
-
정보 공개
-
권한 상승
-
평판
-
원격 코드 실행
-
PuP
-
웹 애플리케이션 공격
-
악성 소프트웨어
-
악의적인 브라우저 확장 프로그램
-
보안 연구팀은 도메인이 잠재적으로 악의적인 공격의 출처임을 식별합니다.
-
도메인은 평판이 나쁜 것으로 태그되고 IPS 엔진이 업데이트됩니다.
-
최종 사용자가 도메인에 액세스하려고 하고, IPS는 연결을 차단하고 평판 위협 유형의 보안 이벤트를 생성합니다.
Cato Networks의 위협 데이터베이스는 끊임없이 변화하는 위협 환경에 맞춰 지속적으로 발전하고 있습니다. 우리는 최종 고객에게 최대한의 보호를 제공하기 위해 위협 탐지의 크기와 범위를 지속적으로 개선하고 있습니다. 2024년 현재, Cato는 약 250개의 다양한 위협 인텔리전스 출처에서 약 2천만 개의 IOC를 수집하고 있습니다. 자세한 내용은 Cato Cloud에서 관리되는 위협 인텔리전스를 참조하십시오.
댓글 0개
댓글을 남기려면 로그인하세요.