Este artigo fornece informações sobre o Nível de Risco do Usuário da Cato, como ele é calculado e como você pode implementá-lo para melhorar sua postura de segurança.
Como parte da abordagem da Cato para ZTNA universal e avaliação e verificação contínuas, a Cato calcula um Nível de Risco do Usuário dinâmico para cada um dos usuários da sua organização para determinar o risco que eles representam.
O Nível de Risco do Usuário ajuda a melhorar sua postura de segurança e capacidades de acesso adaptativo. Você pode criar regras em suas várias políticas para determinar o acesso a recursos com base neste nível. Exemplo, criar uma regra que bloqueie o tráfego para recursos sensíveis da empresa de usuários com Nível de Risco de Alto ou acima.
Você pode visualizar o Nível de Risco de todos os usuários em sua organização, se eles possuem uma licença SDP ou não. Isso proporciona uma indicação da postura geral de segurança. Além disso, você pode visualizar todos os eventos de segurança que estão conectados a um usuário específico e determinar seu nível de risco.
Nota: Para visualizar o nível de risco do usuário, é necessário ter as permissões necessárias na função Acesso de Administrador.
A Empresa ABC trabalha com aplicativos SaaS e, seguindo as Melhores Práticas de segurança, quer garantir que somente as pessoas necessárias possam acessar esses aplicativos. Além disso, querem garantir que ninguém no grupo autorizado com um nível de risco de Alto ou maior possa acessar esses aplicativos.
A empresa cria uma regra em seu Firewall de Internet para bloquear qualquer tráfego para seus aplicativos SaaS.
Quando John Doe não consegue acessar o aplicativo SaaS, ele contata o departamento de TI que vê que seu nível de risco é Alto. No entanto, após revisar os eventos que determinaram o nível, o departamento de TI decide que ele não representa um risco, e redefine o nível para que ele possa acessar os aplicativos que precisa.
A Empresa ABC possui um servidor de banco de dados que precisa ser acessado a partir de seus vários escritórios. Eles querem garantir que seja acessível aos desenvolvedores, mas também precisam garantir que seja seguro, pois fornece acesso a dados sensíveis e proprietários.
A empresa cria uma regra no Firewall WAN para permitir o acesso apenas aos usuários autorizados cujo Nível de Risco seja menor que Alto.
Toda atividade do usuário é monitorada e registrada, aproveitando o contexto compartilhado da Cato, e os usuários recebem dinamicamente um Nível de Risco com base em um algoritmo proprietário que considera uma variedade de diferentes pontos de dados. O Nível de Risco pode então ser utilizado nas políticas de Internet e WAN para permitir acesso apenas a usuários que apresentam os menores riscos.
A Cato coleta os seguintes atributos.
Os atributos de usuário marcados como política podem ser utilizados nas políticas. Para mais informações, veja Política de Acesso do Cliente.
|
Item |
Atributo |
Exemplos |
|---|---|---|
|
1 |
Atividade de Trojans |
Dridex, Peacomm, PeacommBanking |
|
2 |
Malware Bancário |
Bancos, Banload, Banker |
|
3 |
Ladrões de Informação |
Zeus/Zbot, Agent, Symmi |
|
4 |
Atividade de Backdoor |
Várias assinaturas mapeadas para técnicas MITRE ATT&CK |
|
5 |
Tráfego de Botnet |
Mirai, várias assinaturas C2 |
|
6 |
Túnel DNS |
Múltiplas detecções de tunelamento de DNS |
|
7 |
Atividade de Beaconing |
Check-ins regulares de Comando & Controle |
|
8 |
Comunicações de Domínio Múltiplo |
Vários domínios ameaçadores e então Servidor de Baixa Reputação |
|
9 |
Comunicações de Ransomware |
Atividade de SMB e comunicações externas |
|
10 |
Comportamento de Criptografia |
Atividade de criptografia do sistema de arquivos |
|
11 |
Entrega de Nota de Resgate |
Colocação ou entrega de nota de resgate |
|
12 |
Comunicações de Pool de Mineração |
CryptInject, Cryptomineext, Groupfabric Bitcoinminer |
|
13 |
Utilização de Recursos |
Uso anormal do sistema para mineração |
|
14 |
Transferência de Dados para Destinos Suspeitos |
Exfiltração de Informações do Sistema, Exfiltração RaiDrive |
|
15 |
Roubo de Credenciais |
Atividade de roubo de credenciais e exfiltração |
|
16 |
Grandes transferências de dados |
Transferências de saída anormalmente grandes |
|
17 |
Exploitação de CVE |
CVE-2018-0101, CVE-2017-0199, CVE-2021-44228 (Log4Shell) |
|
18 |
Exploitação de Dia Zero |
Assinaturas para ameaças emergentes |
|
19 |
Injeção de Comando |
Detectadas tentativas de injeção de comando |
|
20 |
Traversão de Diretórios |
Comportamento de travessia de caminho |
|
21 |
Tentativas de Upload de Arquivos |
Upload de arquivos suspeitos para aplicativos web |
|
22 |
Injeção SQL |
Tentativas de ataque de SQLi |
|
23 |
Scripting de Sites Cruzados e CSRF |
Detecções de XSS e CSRF |
|
24 |
Phishing Ofuscado |
Detecção de táticas de phishing ocultas |
|
25 |
Phishing de Credenciais |
Inserção de dados sensíveis em páginas de phishing |
|
26 |
Impersonificação de Marca |
Phishing relacionado ao DHL |
|
27 |
Ferramentas de Escaneamento Automatizado |
Nikto, Nessus, OpenVAS |
|
28 |
Sondas de Vulnerabilidade Direcionadas |
Scans focados em CVE |
|
29 |
Enumeração de Rede |
Escaneamento de portas e descoberta de rede |
|
30 |
Comunicação Conhecida com Domínio/IP Ruim |
Acesso a domínio de baixa reputação, TOR/proxy |
|
31 |
E-mail do Usuário |
(política - veja abaixo) |
|
32 |
Grupo de Usuários |
(política - veja abaixo) |
|
33 |
Nível de Confiança do Usuário |
(política - veja abaixo) |
|
34 |
Plataforma |
(política - veja abaixo) |
|
35 |
País |
(política - veja abaixo) |
|
36 |
Origem da Conexão |
(política - ver abaixo) |
|
37 |
Execução Remota via SMB |
PsExec, PAExec, RemCom, CSExec |
|
38 |
Execução Remota WinRM |
Shell de Comandos WinRS, PowerShell WinRM |
|
39 |
Execução Remota Impacket |
Impacket PsExec, Impacket SMBExec, Impacket DCOMExec |
|
40 |
Execução Remota WMI |
Execução WMI sobre DCOM |
|
41 |
Manipulação de Serviço Remoto |
Serviço SVCCTL Criar, Serviço SVCCTL Iniciar, Serviço SVCCTL Excluir |
|
42 |
Tarefas Agendadas Remotamente |
schtasks remoto, execução de tarefas AT via atsvc |
|
43 |
Reconhecimento LDAP |
dump de confiança LDAP, pessoas, computadores, usuários admin, consultas de grupos |
|
44 |
Reconhecimento SAMR / LSARPC |
pesquisa admin SAMR, exibição de informações de consulta SAMR, enumeração de admin local SAMR, admin integrado LSARPC |
|
45 |
Escaneamento de Porta Multi-Serviço |
Escaneamento de serviços FTP, SSH, RDP a partir de um único IP de origem |
|
46 |
Transferência de Ferramenta de Credenciais |
Transferência SMB Mimikatz |
|
47 |
Transferência de Ferramenta Ofensiva via SMB |
Netcat, Nmap, ADFind, TDSSKiller, scripts PowerShell, scripts Batch |
|
48 |
Transferência de Ferramenta de Transferência de Arquivos via SMB |
WinSCP, FileZilla, PuTTY, MobaXterm |
|
49 |
Exfiltração Rclone |
Rclone SSH, Rclone HTTP, Rclone download |
|
50 |
Exfiltração de Armazenamento na Nuvem |
Upload de API MEGA não-navegador, upload de serviços na nuvem de baixa popularidade |
|
51 |
Acesso ao Bot Pastebin |
Acesso a conteúdo bruto não-navegador ao Pastebin |
|
52 |
FTP para Destinos Suspeitos |
FTP para IP de baixa reputação, domínio de baixa reputação, porta não-standard |
|
53 |
Túnel de Protocolo |
Túnel de RDP sobre portas web, RDP sobre TLS em portas não-standard |
|
54 |
Download de Ferramenta de Gerenciamento Remoto (RMM) |
TeamViewer, AnyDesk, ScreenConnect, Splashtop, SimpleHelp, Atera, Zoho Assist |
|
55 |
Conexão Ativa de RMM |
sessão WAN/inbound TeamViewer, desktop remoto AnyDesk, retransmissão Splashtop, lateral/UDP SimpleHelp |
|
56 |
Transferência de Ferramenta RMM via SMB |
Transferência SMB AnyDesk, Transferência SMB Splashtop |
|
57 |
Uso Suspeito de Ferramenta CLI |
curl / wget para sites de baixa reputação, download binário curl / wget |
|
58 |
Download do Conjunto de Ferramentas PSTools |
Download PSTools seguido por execução em massa de PsExec (15+ hosts em 10 min) |
A Cato analisa muitos indicadores diferentes para determinar comportamentos arriscados e os classifica nas 4 categorias acima. Esses indicadores incluem:
-
Indicadores de sistemas que já foram comprometidos - mais de 2500 assinaturas, incluindo:
-
Malware,como Trojans, malware financeiro e várias técnicas de backdoor
-
Comunicações de Comando & Controle,como tráfego de botnet, túneis DNS e comunicações de domínio múltiplo
-
Atividade de ransomware,como comportamento de criptografia, entrega de nota de resgate e comunicações de ransomware
-
Mineração de criptomoeda,como comunicações de pools de mineração e utilização de recursos
-
Atividades de exfiltração,como transferência de dados para destinos suspeitos, roubo de credenciais e transferências de dados grandes
-
-
Indicadores de tentativas bloqueadas que poderiam levar a infecções - mais de 2300 assinaturas, incluindo:
-
Tentativas de Execução Remota de Código (RCE),como exploração de CVE, tentativas de exploração de 0-day e injeção de comando
-
Ataques a aplicações web,como travessia de diretórios, tentativas de upload de arquivos e XSS/CSRF
-
Atividades de phishing,como phishing de credenciais e falsificação de marcas
-
Varredura de vulnerabilidade,como o uso de ferramentas de varredura automatizada e enumeração de rede
-
-
Violações de Política e atividades arriscadas que poderiam potencialmente levar a comprometimentos - mais de 1500 assinaturas, incluindo:
-
Tentativas de movimento lateral,como uso de psexec, uso de WinRM e remoting PowerShell
-
Divulgação de Informações,como exposição de dados sensíveis, vazamentos de mensagens de erro e listagens de diretórios
-
Indicadores baseados em reputação,como uso de TOR ou proxy, acesso a domínio suspeito e comunicação com endereços IP conhecidos como ruins
-
Bloquear eventos acionados pelo motor de segurança baseado em comportamento da Prevenção Dinâmica. Para mais informações, consulte O que é Prevenção Dinâmica?
-
Nível de Risco do Usuário é uma ferramenta vital para equipes de rede e segurança, permitindo políticas de controle de acesso dinâmico de confiança zero para proteger tanto o tráfego de aplicativos internos quanto o tráfego da Internet. Ele oferece insights valiosos sobre sua postura de risco, permitindo que você ajuste suas estratégias de segurança dinamicamente em resposta a ameaças em evolução.
Você pode criar políticas baseadas em risco em seus firewalls de Internet e WAN para bloquear o acesso às suas aplicações.
Para definir uma regra baseada em risco em seus firewalls:
-
Ao configurar suas políticas de firewall de Internet ou WAN, adicione o Usuário ou Grupos de Usuários para os quais a regra se aplica.
-
Na seção Dispositivo da regra, em Atributos de Usuário, clique em Adicionar Atributo.
-
Insira os critérios de Nível de Risco para corresponder à regra.
-
Defina a Ação a ser tomada quando a regra for correspondida e clique em Salvar.
A página Acesso > Usuários fornece visibilidade de todos os usuários no seu sistema e seus níveis de risco.
Você pode filtrar as informações na página com base no Nível de Risco para encontrar facilmente aqueles que potencialmente representam maior ameaça à organização. Os valores de Nível de Risco são:
-
Crítico
-
Alto
-
Médio
-
Baixo
Desta página, você pode realizar ações específicas com base no Nível de Risco, como revogar uma sessão de usuário ou redefinir o Nível de Risco.
Para compreender melhor o que determina o Nível de Risco para um usuário, você pode clicar em um usuário individual e navegar até a página Risco do Usuário, que então apresenta o painel de Pontuação de Risco deles. Use o Painel de Pontuação de Risco do Usuário para investigar a postura de risco de um usuário específico e tomar ações de remediação imediatas. O painel ajuda você a entender como o risco de um usuário muda ao longo do tempo, o que contribui para esse risco e quais eventos de segurança estão relacionados, para que você possa mover rapidamente da investigação para a remediação. Você acessa o painel a partir do Diretório de Usuários.
Para visualizar as informações de um usuário específico, é necessário ter as permissões necessárias configuradas como parte da função Acesso de Administrador:
-
Nenhum - você não pode acessar o painel de pontuação de risco para um usuário específico
-
Visualizar - você pode visualizar o painel de pontuação de risco, mas não pode realizar nenhuma ação
-
Editar - você tem permissões completas para visualizar o painel de pontuação de risco e realizar ações como revogar uma sessão ou redefinir a pontuação de risco
Use as visualizações do painel para investigar por que a pontuação de risco do usuário mudou e o que está contribuindo para ela. Revise o Risco ao longo do tempo para identificar picos de pontuação e tendências, contribuidores de risco para ver os fatores que impulsionam a pontuação atual, eventos de segurança relacionados para visualizar eventos de segurança associados ao usuário e Eventos de Contribuição de Pontuação para ver os eventos específicos que contribuíram para mudanças na pontuação, para cada um dos seguintes:
-
IPS
-
Anti-malware
-
Atividade Suspeita
-
Firewall
-
Prevenção Dinâmica
Você pode clicar em qualquer um dos links em uma determinada seção, por exemplo, Ver todos os eventos IPS para navegar para a página de Eventos, que então é filtrada pelo usuário e tipo de evento.
0 comentário
Por favor, entre para comentar.