Cato Cloud가 피싱 공격으로부터 계정을 보호하는 방법

이 문서는 Cato Cloud 보안 스택에서 IPS 보안 서비스와 인터넷 방화벽이 네트워크를 피싱 공격으로부터 보호하는 방법을 설명합니다.

Cato 보안 스택이 피싱 공격을 식별하는 방법

피싱은 조직에 대한 가장 위험한 위협 중 하나로 계속 남아 있으며, 피싱 공격은 기업 네트워크에 침투하거나 자격 증명 및 기타 개인 데이터를 도용하는 초기 벡터가 될 수 있습니다. 보안 스택의 Cato IPS 서비스와 인터넷 방화벽은 트래픽을 피싱 공격으로 식별하고 공격이 네트워크로 들어오기 전에 차단하는 다양한 기술을 보유하고 있습니다.

위협 인텔리전스 피드를 기반으로 한 IOC

Cato의 보안 팀은 침해 지표(IOCs)를 기반으로 피싱 공격을 위한 IPS와 방화벽 보호를 만듭니다. IOC는 알려진 피싱 캠페인의 도메인, URL 및 기타 데이터를 포함하는 다양한 개인 및 오픈 소스 위협 인텔리전스 피드에서 축적됩니다. 알려진 피싱 캠페인의 IOC와 일치하는 모든 트래픽은 IPS 엔진에 의해 자동으로 차단됩니다.

트래픽 분석 기반의 휴리스틱 및 알고리즘

보안 스택의 또 다른 보호 계층은 피싱 웹사이트의 특성을 기반으로 한 휴리스틱과 알고리즘을 활용합니다. 보안 팀은 이러한 모든 네트워크 데이터를 분석한 다음, 피싱 공격의 소스인 웹사이트를 식별할 수 있는 보호를 만듭니다. 예를 들어, 피싱 캠페인은 사용자가 이 링크가 합법적이라고 믿도록 하기 위해 가짜 Office365 URL을 사용할 수 있습니다. 사용자가 악성 Office365 링크를 실수로 클릭하면, IPS 또는 방화벽이 트래픽을 차단하고 피싱 공격을 방지할 수 있습니다.

추가로, IPS는 최신 피싱 공격 기술에 대한 보호를 위해 고급 기계 학습 알고리즘과 이미지 처리 모델을 사용하는 보호가 포함되어 있습니다. 예를 들어:

  • IPS 기계 학습 알고리즘은 DGA 및 사이버스쿼팅과 같은 기술을 통해 생성된 새로운 도메인을 사용하는 공격을 감지하고 차단할 수 있습니다.

  • IPS 이미지 처리 모델은 가짜 아이콘을 사용하는 악성 사이트뿐만 아니라 합법적인 사이트와 동일한 아이콘, 그래픽 및 기타 요소를 사용하는 사이트를 식별할 수 있습니다.

보안 팀은 새로운 피싱 공격을 탐지할 수 있는 능력을 향상시키기 위해 지속적으로 Cato Cloud의 네트워크 트래픽을 분석하여 휴리스틱과 알고리즘을 개선합니다.

탐지 및 완화 전략

IPS 피싱 보호는 공격을 탐지하고 완화하기 위한 다양한 전략을 사용하여 다양한 단계에서 피싱 공격을 차단할 수 있는 보호 기능을 극대화합니다. 다음은 보호 전략의 유형입니다:

  • 접근 차단 - 이러한 보호는 탐색 목적지를 피싱 사이트로 식별하고 사이트에 대한 접근을 차단합니다. 이 전략을 사용하는 예시는 다음을 기반으로 하는 보호를 포함합니다:

    • 위협 인텔리전스 피드

    • 잠재적인 피싱 사이트를 식별하는 기계 학습 모델

    • 새로 등록된 도메인의 식별

    • 의심스러운 최상위 도메인을 식별하는 휴리스틱

    • 알 수 없는 리소스에서 렌더링된 합법적인 HTML 제목 태그를 감지하는 휴리스틱

  • 자격 증명 제출 차단 - 이러한 보호는 사용자가 사이트에 접근하고 브라우저에 사이트가 렌더링된 후에도 피싱 공격을 차단할 수 있습니다. 이 보호는 악성 사이트에서 렌더링된 합법적인 웹 페이지 요소를 감지하기 위해 휴리스틱을 사용합니다. 예를 들어, Microsoft에 속하지 않는 사이트에 표시된 합법적인 Office365 로고. IPS 서비스는 사용자가 자격 증명을 제출하지 못하도록 막아 피싱 공격을 방해합니다.

  • 타협 후 탐지: 위험한 웹 양식에서 자격 증명 제출 식별 - 가끔 사용자가 완전히 악성은 아니어서 차단되지 않는 의심스러운 사이트에 접근할 수 있습니다. 의심스러운 활동 모니터링 (SAM) 서비스는 사용자가 이러한 위험한 사이트에 자격 증명을 제출할 때를 식별하고, 관리자가 잠재적 침해를 알 수 있도록 이벤트를 생성합니다.

차단된 피싱 공격에 대한 이벤트 검토

홈페이지 > 이벤트에서 보안 이벤트를 검토하고, 차단된 피싱 공격을 계정에서 찾을 수 있습니다. IPS(침입 방지 시스템)방화벽에 의해 차단된 피싱 공격에 대한 서로 다른 이벤트 하위 유형이 있습니다. IPS(침입 방지 시스템) 이벤트의 경우 위협 유형평판 또는 피싱으로 분류될 수 있습니다.

다음은 IPS(침입 방지 시스템)이 차단한 피싱 공격 이벤트예시입니다:

PhishingEvent.png

  • 피싱 공격을 위한 IPS(침입 방지 시스템) 이벤트 필드

    • 이벤트 유형 - 보안

    • 이벤트 하위 유형 - IPS(침입 방지 시스템)

    • 위협 유형 - 평판

      • 위협 이름 - 도메인 평판 기반 시그니처 – 피싱

    • 위협 유형 - 피싱

      • 위협 이름 - 보안 팀이 피싱 공격에 대해 부여한 이름

    • 피싱 공격에 대한 인터넷 방화벽 이벤트 필드

      • 이벤트 유형 - 보안

      • 이벤트 하위 유형 – 인터넷 방화벽

      • 카테고리 - 피싱

  • 피싱 공격에 대한 IPS(침입 방지 시스템) 완화 전략이벤트시그니처 ID 형식을 통해 다음과 같이 식별할 수 있습니다:

    • 액세스를 차단하는 시그니처는 접두사가 있습니다: cid_heur_ba_phishing_detection_

    • 자격 증명 제출을 차단하는 시그니처는 접두사가 있습니다: cid_heur_bs_phishing_detection_

    • 위험한 웹 양식에 대한 자격 증명 제출을 감지하는 시그니처는 다음과 같은 접두사가 있습니다: cid_sam_cs_phishing_detection_ 또는 cid_sam_suspected_phishing_submission_to_risky_web_form

자세한 내용은 위협 평판에 따른 보안 이벤트 분석을 참조하세요.

피싱 공격에 대한 XDR 스토리 검토

XDR XDR 발견 사건피싱을 포함한 잠재적인 악성 소프트웨어 공격에 대한 스토리를 생성하고, 공격을 조사하기 위한 도구를 제공합니다. 다음은 IPS(침입 방지 시스템)에 의해 차단된 피싱 공격의 스토리 예시입니다. 이 스토리공격에 대한 설명, 관련 도메인URL 등과 같은 정보를 제공하여 공격을 조사하는 데 도움을 줍니다.

XDR_Phishing_Story.png

카토피싱 공격을 차단했습니다 - 이제 어떻게 할까요?

이 섹션은 IPS(침입 방지 시스템) 또는 인터넷 방화벽이 귀하의 계정에 대한 피싱 공격을 차단한 경우의 다음 단계에 대한 제안을 포함합니다.

  1. 귀하의 조직에서 어떤 최종 사용자가 피싱 공격의 대상이 되었는지 식별하십시오.

  2. 최종 사용자와 대화하여 그들이 이 웹사이트와 어떤 유형의 정보를 공유했는지 확인하십시오.

  3. 최종 사용자에게 다음 업무를 수행하도록 지시하십시오:

    • 웹사이트의 비밀번호 변경

    • 웹사이트와 관련된 모든 서비스에서 전체 로그 아웃을 시작합니다

  4. 공유된(또는 공유될 수 있는) 데이터가 어떤 위험을 나타내는지 확인합니다.

도움이 되었습니까?

2명 중 2명이 도움이 되었다고 했습니다.

댓글 0개