Este artigo descreve o serviço de inteligência de ameaças gerenciado da Cato, que está incluído na Licença de Prevenção de Ameaças.
Para mais informações sobre a compra de uma Licença de Prevenção de Ameaças, entre em contato com seu representante Cato.
Inteligência de Ameaças é o processo de coleta e análise de informações sobre ameaças potenciais ou existentes aos ativos, sistemas ou operações de uma organização. Você pode usar estas informações para ajudar a identificar e avaliar riscos, antecipar ameaças e desenvolver estratégias para prevenir ou mitigar potenciais ataques.
Cato oferece um serviço operacional de inteligência de ameaças gerenciado que é uma solução de segurança cibernética personalizada, fornecendo feeds de inteligência de ameaças para IOCs, como endereços IP, domínios e URLs. Nossos especialistas em segurança cibernética analisam e monitoram meticulosamente esses feeds para garantir sua precisão, e então os implantam nos serviços de segurança da Cato, como IPS e XDR. Por exemplo, muitas das assinaturas de ameaças do IPS da Cato são projetadas para bloquear o tráfego que corresponde aos IOCs nos feeds de inteligência de ameaças. A ampla expertise e recursos da Cato para gerenciar inteligência de ameaças oferecem as seguintes vantagens:
-
Expertise e Recursos
Cato conta com especialistas em segurança especializados e um sistema interno de inteligência de ameaças equipado com mecanismos avançados que oferecem soluções completas de inteligência de ameaças. Isso permite que as organizações aproveitem a expertise e a infraestrutura da Cato sem a necessidade de investimento interno para desenvolver e manter tais capacidades.
-
Capacidade de Reação e Pontualidade
Cato fornece capacidades de monitoramento, mitigação e análise em tempo real, oferecendo aos clientes notificações imediatas para ameaças ativas detectadas através de sua funcionalidade de Inteligência de Ameaças. Isso garante que as organizações fiquem atualizadas sobre ameaças emergentes e as capacita a mitigar riscos proativamente.
-
Propriedade e Controle
Cato assume a responsabilidade e a propriedade da plataforma de inteligência de ameaças do cliente. Isso envolve se manter informado sobre tendências de segurança cibernética, diferentes grupos de atacantes e IOCs através de diversas fontes de inteligência. Além disso, a Cato realiza manutenção contínua da plataforma existente e conduz exames regulares e abrangentes dos dados.
-
Custo e Escalabilidade
O modelo da Cato permite que as organizações se beneficiem de um espectro mais amplo de fontes de inteligência de ameaças, com melhoria contínua e aprimoramento do módulo Cato. Cato adiciona constantemente novos recursos que estão incluídos como parte do pacote sem custo adicional.
A partir de 2024, a Cato ingere aproximadamente 250 diferentes fontes de inteligência de ameaças contendo cerca de 20 milhões de IOCs. Como os feeds provenientes de comunidades de código aberto e provedores comerciais variam muito em qualidade, muitas vezes eles contêm falsos positivos. Muitos falsos positivos resultam em alertas desnecessários que sobrecarregam as equipes de segurança, impedindo-os de identificar ameaças legítimas. Falsos positivos também interrompem os negócios, impedindo os usuários de acessar recursos legítimos. O serviço gerenciado da Cato melhora os resultados de negócios ao avaliar continuamente os feeds de inteligência de ameaças e eliminar falsos positivos. Em média, a Cato identifica 10% dos IOCs como falsos positivos. Isso significa que após o processo de avaliação e eliminação, aproximadamente 18 milhões de IOCs restantes são implantados nos serviços de segurança na Nuvem Cato para fornecer proteção para todos os clientes. Este ciclo de implantação de novo conteúdo de inteligência de ameaças na Nuvem Cato leva aproximadamente 3 horas do início ao fim.
A figura seguinte resume o ciclo de implantação para novo conteúdo de inteligência de ameaças:
Esta seção descreve os diferentes métodos que a Cato usa para avaliar e refinar os feeds de inteligência de ameaças.
O processo de avaliação de feeds da Cato segue um protocolo interno para avaliar a qualidade do feed e facilitar a integração de forma tranquila. Liderado por um analista de segurança, isso implica um exame manual de cada feed para garantir alta qualidade e reduzir a incidência de falsos positivos. O processo envolve verificar a confiabilidade da fonte do feed, configurá-la dentro do sistema interno de inteligência de ameaças, e verificar meticulosamente os IOCs enquanto emprega filtros personalizados para amplificar verdadeiros positivos e minimizar falsos positivos.
A Cato aproveita a vasta quantidade de informações coletadas do tráfego através de nossa rede para melhorar sua inteligência de ameaças. Algoritmos de aprendizado de máquina podem ser executados contra os dados no armazém de dados da Cato, que é construído a partir dos metadados para os fluxos de tráfego através da Nuvem Cato. Estas são algumas das maneiras pelas quais esses dados são usados para uma melhor inteligência de ameaças:
-
Modelos de Popularidade para Avaliar a Frequência e Significância das Ameaças - Esses modelos nos ajudam a medir a relevância das ameaças com base em quão frequentemente elas são encontradas pelos clientes. Os modelos de popularidade atribuem pontuações às ameaças indicando sua frequência. Uma pontuação mais alta sugere uma maior probabilidade de uma ameaça genuína. Para construir os modelos de popularidade, coletamos dados sobre o tráfego da internet e examinamos as interações dos clientes com websites e endereços IP. A pontuação de popularidade reflete o nível de interesse em um alvo em nossa rede.
-
Avaliação de Assinaturas de Ameaças do IPS - Nós constantemente medimos a precisão das assinaturas de IPS com base em dados recuperados de ambientes de clientes onde as assinaturas foram detectadas. Esse ciclo de feedback refina nosso monitoramento e melhora a qualidade do IPS sem a entrada do cliente.
Um modelo de IA sofisticado avalia cada IOC e atribui uma pontuação de classificação a ele. Cato armazena os IOCs em um banco de dados para coletar dados de reputação relacionados, e usa IA para continuamente atualizar a pontuação de classificação. Essa pontuação determina se o IPS bloqueia um IOC e se ele é marcado como malicioso em histórias XDR. Essas entradas de banco de dados são mantidas a longo prazo e os dados são aprimorados com base em muitas fontes externas e nossos próprios feeds de inteligência de ameaças.
Para mais informações sobre a inteligência de ameaças da Cato, consulte os seguintes artigos:
0 comentário
Artigo fechado para comentários.