조직으로 들어오거나 나가는 WAN을 통한 악성 트래픽의 위협으로부터 보호를 활성화하거나 비활성화할 수 있습니다. 또한 서비스를 구성하여 트래픽을 차단하거나 차단하지 않고 모니터링하도록 설정할 수 있습니다.
Cato의 IPS 서비스는 여러 보안 계층으로 구성됩니다. 포함:
-
평판 분석: 손상되거나 악성 리소스와의 인바운드/아웃바운드 통신으로부터 보호.
-
알려진 취약점: 알려진 CVE로부터 보호하며, 새로운 CVE를 빠르게 통합하도록 적응.
-
안티봇: 평판 데이터와 네트워크 행동 분석에 기반하여 C&C 서버로의 아웃바운드 트래픽을 차단.
-
네트워크 행동 분석: 인바운드/아웃바운드 네트워크 스캔으로부터 보호.
-
프로토콜 검증: 잘못된 패킷에 대한 보호(프로토콜 준수), 이상 트래픽을 사용하는 공격의 공격 표면을 줄임.
-
지리적 제한: 특정 국가에 대한 인바운드, 아웃바운드, 혹은 모든 트래픽을 차단하기 위해 사용자 정의 지리적 제한 정책을 집행.
-
터널링 공격: 보안 제어를 우회하기 위해 합법적인 프로토콜(예: HTTP, HTTPS, DNS) 내에서 악성 트래픽을 숨기려는 시도를 식별하고 차단합니다.
참고
참고: IPS 서비스가 네트워크에 최대의 보호를 제공할 수 있도록 TLS 검사를 활성화하는 것을 권장합니다.
IPS 정책은 위협 방지 라이선스가 있어야만 사용할 수 있습니다. 자세한 정보가 필요하면 영업 담당자에게 문의하십시오.
정적 위협 소스 외에도, Cato IPS는 특정 공격 유형에 대해 실시간 보호를 제공하기 위해 머신 러닝 모듈을 사용합니다. IPS 엔진은 알려진 취약점 패턴을 가져와 서명으로 변환한 수백 개의 정적 위협 소스를 사용하여 엔진에 통합합니다. 반면에, 기계 학습 휴리스틱 모듈은 알려진 위협 인텔리전스와 알려지지 않은 위협 인텔리전스의 혼합을 사용하여 위협 여부를 판단하며, 정적인 피드에 의존하지 않습니다. 이러한 머신 러닝 모델은 DGA 및 사이버스쿼팅 기술로 생성된 잠재적으로 악성인 미지의 도메인을 실시간으로 식별합니다.
위협 방지를 위해 머신 러닝 모델을 사용하는 이점은 DGA와 사이버스쿼팅이 단순히 정적 블랙리스트로는 차단할 수 없다는 점입니다. 해당 전술은 무작위 간격으로 변경되며 신규 DGA와 사이버스쿼팅 방법이 매일 사용됩니다. 머신 러닝 알고리즘은 잠재적으로 악성 도메인을 실시간으로 감지할 수 있게 해줍니다. DGA는 알고리즘에 의해 생성된 것으로 보이는 도메인(DGA는 일반 사전 단어를 사용하지 않은 것처럼 보임)을 감지합니다. DGA는 명령 및 제어(C&C) 통신에 사용되고, 사이버스쿼팅은 피싱 공격에 사용될 수 있습니다.
Cato 머신 러닝 알고리즘의 일부는 사이버스쿼팅 엔진의 일부로서 모니터링되는 알려진 브랜드 목록이며, 고객도 자신의 도메인 목록을 모니터링 용도로 추가할 수 있습니다. DGA 머신 러닝 모델은 DNS 보호 및 IPS 엔진에서 실행되지만, 사이버스쿼팅 엔진은 IPS에서만 실행됩니다.
이벤트가 발생하면, 시그니처 ID가 어떤 모델이 위협을 식별했는지를 나타내지만, 다른 이벤트 필드로부터는 식별할 수 없습니다.
본 섹션에서는 계정의 네트워크를 보호하기 위해 IPS 정책을 구성하는 방법을 설명합니다.
WAN, 인바운드 및 아웃바운드 트래픽에 대해, 위협 탐지에 의해 트리거되는 작업을 정의하고 알림을 설정할 수 있습니다. 사용 가능한 작업은 다음과 같습니다:
-
차단 - 악성 트래픽이 목적지에 도달하지 못하도록 차단합니다. 적용 가능한 경우, 사용자는 전용 차단 웹 페이지로 리디렉션됩니다.
-
모니터링 - 악성 트래픽에 대한 이벤트를 생성합니다(홈페이지 > 이벤트에 표시됨). 트래픽은 그러면 목적지로 계속됩니다.
IPS 정책에 대한 파일 보호 작업을 구성하려면:
-
네비게이션 메뉴에서 보안 > IPS를 클릭하십시오.
-
보호 정책 탭을 클릭하고 각 보호 범위에 대한 설정을 정의하십시오:
-
보호 범위 열에서 트래픽 유형을 클릭하십시오. 편집 패널이 열립니다.
-
일반 섹션에서 보호 범위를 활성화하거나 비활성화합니다(녹색은 활성화, 회색은 비활성화).
-
작업 섹션에서 IPS 보호에 일치하는 트래픽에 대한 작업을 설정합니다.
-
추적 섹션에서 알림 옵션을 설정합니다.
알림에 대한 추가 정보는 알림 섹션의 구독 그룹, 메일링 리스트 및 알림 통합에 관한 관련 기사를 참조하십시오.
-
적용을 클릭하십시오.
보호 범위 설정이 IPS 정책에 추가됩니다.
-
-
저장을 클릭하십시오. IPS 정책이 저장되었습니다.
IPS 정책의 집행 옵션을 사용하면 인바운드 및 아웃바운드 트래픽에 대한 추가적인 위협 보호 수준을 추가할 수 있습니다.
아웃바운드 트래픽의 경우, IPS를 구성하여 14일 미만의 도메인을 자동으로 차단할 수 있습니다. 악성 소프트웨어는 종종 위협 보호를 회피하기 위해 최근 등록된 도메인을 사용합니다. 대부분의 최근 등록된 도메인은 악성 또는 의심스럽습니다.
특정 국가로의 트래픽 (출발) 또는 특정 국가로부터의 트래픽 (도착)을 차단하기 위해 IPS 지리적 제한 규칙을 정의할 수 있으며, 규칙에 정의된 국가로의 모든 트래픽을 차단할 수도 있습니다.
참고
참고: 인바운드 트래픽에 대한 지리적 제한 규칙을 구성하면 이는 RPF 자원에도 적용됩니다. 그러나, IPS 지리적 제한 규칙은 Cato SDP 클라이언트로부터의 트래픽에는 적용되지 않습니다. 특정 지역으로부터 클라이언트 연결을 차단하려면 클라이언트 연결 정책에서 규칙을 구성할 수 있습니다.
지리적 제한 규칙 정의하기:
-
내비게이션 메뉴에서 보안 > IPS를 클릭하십시오.
-
지리적 제한 탭에서 신규를 클릭하십시오. 추가 패널이 열립니다.
-
일반 섹션에서 다음 설정을 구성하십시오:
-
규칙에 대한 이름을 입력하십시오.
-
규칙이 활성화되어 있는지 확인하십시오 (녹색은 활성화, 회색은 비활성화).
-
이 규칙의 트래픽 방향을 선택하십시오: 아웃바운드, 인바운드 또는 양방향.
-
-
국가 섹션에서 이 지리적 제한 규칙의 국가를 정의하십시오.
-
국가를 검색한 후 선택하십시오.
-
이 규칙에 추가하려는 각 국가에 대해 이전 단계를 반복하십시오.
-
-
작업 섹션에서 이 규칙의 작업 및 추적 설정을 설정하십시오:
-
규칙의 작업을 정의하십시오: 차단, 모니터링 또는 허용 (모니터링 및 허용 작업은 트래픽을 차단하지 않고 이벤트를 생성합니다).
-
이벤트를 클릭하여 IPS 보호와 일치하는 트래픽의 이벤트를 생성하십시오.
-
알림 보내기를 클릭하여 알림이 전송되는 빈도를 설정합니다.
알림을 받는 관리자의 메일링 리스트를 선택하십시오.
-
-
적용을 클릭하십시오. 규칙이 추가되었습니다.
-
저장을 클릭하십시오.
댓글 0개
댓글을 남기려면 로그인하세요.