O que são Proteções Anti-Phishing da Cato?

Visão geral

Phishing continua sendo uma causa importante de roubo de credenciais e entrega de malware, mesmo em organizações que implantam proteções avançadas de email e navegador. Os atacantes continuam a evoluir suas técnicas para ignorar controles de segurança e explorar a confiança dos usuários.

Cato fornece camadas abrangentes de serviços de segurança, incluindo proteções web, nuvem e de acesso à rede Zero Trust (ZTNA), para detectar e bloquear tentativas de phishing, minimizar a exposição do usuário e ajudar você a identificar e remediar ataques rapidamente.

Você gerencia e visualiza todas as detecções, políticas e eventos relacionados a phishing no Aplicativo de Gerenciamento Cato (CMA). A interface unificada correlaciona dados de serviços como Firewall de Internet, IPS, Proteção DNS, Isolamento Remoto de Navegador (RBI), Corretor de Segurança de Acesso à Nuvem (CASB) e ZTNA. Esta visão consolidada simplifica a investigação e resposta ao phishing, permitindo que você analise incidentes, analise atividade e atualize políticas sem trocar de ferramentas.

Por exemplo, se o IPS ou a Proteção DNS bloquearem um domínio de phishing, o XOps exibe imediatamente o evento correlacionado como parte de uma história de phishing. Você pode então rastrear o ataque por serviços e aplicar políticas atualizadas, tudo dentro do CMA.

O que são Ataques Phishing?

Ataques de phishing são um dos métodos mais eficazes para comprometer usuários e infiltrar organizações. Os atacantes usam domínios enganosos, páginas de login falsas e engenharia social para coletar credenciais ou entregar malware, muitas vezes se passando por marcas confiáveis ou serviços em nuvem. Estas campanhas frequentemente incluem emails falsos ou sites fraudulentos projetados para se parecerem com empresas legítimas como Microsoft, AWS ou Apple, enganando usuários a inserir seus dados de login ou aprovar solicitações maliciosas.

Campanhas de phishing modernas exploram cada vez mais plataformas baseadas em nuvem e de colaboração, tornando mais difícil para ferramentas de segurança tradicionais detectar e bloquear atividades maliciosas. Os atores de ameaça se adaptam rapidamente, usando automação e criptografia para evitar detecção e disfarçar a comunicação com infraestrutura de comando e controle.

Desafios de Detectar Phishing

Campanhas de phishing continuam a evoluir, explorando marcas confiáveis e serviços em nuvem. Desafios comuns de detecção incluem:

  • Domínios Recém-Registrados (NRDs): Os atacantes registram e descartam rapidamente domínios para evitar sistemas de reputação

  • Abuso de SaaS: Conteúdo malicioso hospedado em serviços legítimos de colaboração ou armazenamento

  • Criptografia TLS: Oculta cargas de phishing e URLs em tráfego criptografado

  • Visibilidade Fragmentada: Produtos de ponto separados dificultam a correlação de detecções e compreensão do fluxo completo do ataque

Detectar e Prevenir Phishing

Cato inspeciona todos os tráfegos WAN, Internet e de acesso remoto em linha dentro de cada PoP. A detecção e o bloqueio de phishing ocorrem por meio de serviços de segurança convergidos que operam em paralelo dentro do stack unificado.

Proteções principais estão incluídas no serviço regular da Cato. Proteção contra Ameaças, Proteção Avançada contra Ameaças, CASB e XOps cada um requer uma licença separada.

Proteções Principais

  • Firewall de Internet: Usa categoria e filtragem de URL baseada em reputação, continuamente atualizada por múltiplos feeds de inteligência de ameaças, para bloquear acesso a domínios de phishing conhecidos ou suspeitos. Você pode definir e importar Indicadores de Comprometimento (IoCs) personalizados para aumentar a cobertura de detecção para campanhas de phishing direcionadas ou emergentes

  • ZTNA (Zero Trust Network Access): Impõe acesso de menor privilégio a aplicações internas e em nuvem através de controles baseados em identidade. As características do ZTNA incluem verificação de identidade, checagens de conformidade de dispositivos e conectividade Sempre Ativa que garante que todas as sessões sejam autenticadas e inspecionadas em tempo real

  • Inspeção TLS: Descriptografa e recriptografa sessões HTTPS no PoP, permitindo inspeção de URLs, formulários e scripts criptografados para identificar e bloquear páginas de phishing ocultas dentro do tráfego TLS

Artigos Relacionados: 

Prevenção de Ameaças

  • IPS e Proteção DNS: Detecta e bloqueia campanhas de phishing usando IoCs, análise heurística e modelos de AI/ML que identificam domínios de risco ou enganosos e páginas de login clonadas. A Proteção DNS bloqueia solicitações DNS antes que uma conexão seja estabelecida com o servidor malicioso - impedindo qualquer handshake TCP ou UDP

Artigos Relacionados: 

Exemplos: Cybersquatting e Kits de Phishing

Prevenção Avançada de Ameaças (ATP)

  • RBI (Isolamento Remoto de Navegador): Executa sessões de navegação para sites não confiáveis ou desconhecidos em um contêiner seguro na nuvem. Impede a submissão de credenciais e execução de scripts, protegendo usuários que visitam sites suspeitos que escapam de outras camadas de detecção

Artigos Relacionados: 

CASB - Controle de Aplicativo

O Corretor de Segurança de Acesso em Nuvem (CASB) da Cato fornece visibilidade e controle sobre aplicações SaaS e em nuvem, ajudando você a identificar riscos de phishing e prevenir comprometimento de contas.

  • Controle de Aplicativo: Usa controles em linha para aplicar políticas para aplicações SaaS sancionadas e monitora atividade de aplicativo não sancionado por meio de integrações de API. CASB ajuda a detectar riscos relacionados a phishing como compartilhamentos de arquivos falsos, links maliciosos ou permissões OAuth não autorizadas dentro de ferramentas de colaboração em nuvem

  • Controle de Aplicativo via API: Fornece visibilidade e governança de tráfego fora de banda, monitorando atividades de usuário em aplicações SaaS sancionadas mesmo quando o tráfego não passa pela Cato Cloud

Artigos Relacionados: 

Exemplo: Vivendo na Nuvem

O CASB da Cato ajuda a proteger contra campanhas de phishing que resultam em malware comunicando com servidores de comando e controle (C2) hospedados em plataformas de nuvem legítimas como Google Drive ou Trello, uma técnica conhecida como Vivendo fora da Nuvem. Esses serviços são frequentemente permitidos por padrão em muitas organizações e podem escapar de defesas tradicionais de phishing que dependem de filtragem de URL ou reputação de IP.

  • Restrições de Inquilinos: Aplique restrições de inquilinos para bloquear acesso a instâncias de aplicativos em nuvem não sancionados ou pessoais, garantindo que apenas contas aprovadas pela empresa sejam acessíveis

  • Controles de Nível de Atividade: Aplique controles para bloquear ações de alto risco, como carregar arquivos ou acessar serviços em nuvem por clientes não autorizados, impedindo atacantes de utilizar serviços de nuvem confiáveis para exfiltrar dados ou emitir comandos remotos para sistemas comprometidos

  • Para mais informações, assista este vídeo

XOps 

XOps é o serviço de análises avançadas e correlação de incidentes da Cato. Combina dados de todos os mecanismos de segurança para identificar, priorizar e contextualizar incidentes relacionados a phishing. Ao apresentar esses insights como histórias correlacionadas e análises comportamentais, o XOps permite que você detecte, investigue e remedie atividades de phishing mais eficazmente no CMA.

  • Histórias de Segurança: Correlaciona detecções de phishing em narrativas unificadas para análise

    Você também pode tomar medidas para mitigar diretamente uma ameaça de phishing dentro de uma história, como revogar a sessão para usuários remotos ou adicionar o alvo a um contêiner que é bloqueado por uma regra de firewall

  • UEBA: Detecta padrões de login anormais ou movimentos laterais após uma tentativa de phishing, ajudando a identificar contas comprometidas e conter atividades pós-ataque

Artigos Relacionados: 

Proteções de Identidade e Comportamento

As capacidades de identidade e comportamento da Cato fortalecem a resiliência contra phishing limitando a exposição e reduzindo o impacto do roubo de credenciais. Essas características impõem verificação de usuário, conformidade de dispositivos e acesso de menor privilégio para garantir que apenas usuários autenticados e seguros possam se conectar a recursos corporativos.

Consciência do Usuário

A estrutura de Consciência do Usuário da Cato associa toda a atividade na plataforma com identidades de usuário verificadas. Políticas de acesso baseadas em identidade e visibilidade no CMA permitem que você rastreie atividade relacionada a phishing para contas específicas e aplique segmentação direcionada para contenção.

Para mais informações, veja Consciência do Usuário

Controles de Autenticação e Acesso

Ataques de phishing frequentemente dependem de credenciais roubadas. Cato mitiga esse risco por meio de integrações com provedores de identidade corporativos para Single Sign-On (SSO) e Autenticação de Múltiplos Fatores (MFA). Políticas de acesso são dinamicamente aplicadas no PoP com base na identidade do usuário, postura do dispositivo e contexto para prevenir reutilização de credenciais e movimento lateral.

Para mais informações, veja IdP Single Sign-On

Validação de Conformidade e Postura de Dispositivo

Cato verifica que apenas dispositivos gerenciados e compatíveis podem se conectar a recursos corporativos. Antes que o acesso seja concedido, a plataforma verifica a postura do dispositivo (software de segurança, SO, configuração) e bloqueia endpoints não compatíveis para garantir que dispositivos potencialmente comprometidos não possam ser utilizados em campanhas de phishing.

Para mais informações, veja Política de Conectividade do Cliente (Postura do Dispositivo).

Investigar Atividade de Phishing

O CMA oferece visibilidade unificada da atividade relacionada a phishing ao agregar detecções de todos os motores de segurança da Cato, incluindo Firewall de Internet, IPS, Proteção DNS, RBI, acesso remoto e Monitoramento de Atividade Suspeita (SAM). O CMA aproveita a inteligência em escala de nuvem da Cato para melhorar continuamente a precisão da detecção de phishing e identificar comportamentos de ataque emergentes.

Investigação de Eventos

Você pode investigar eventos relacionados a phishing no CMA usando filtros contextuais como usuário, aplicação e site para identificar detecções relacionadas. Busca em linguagem natural e relatórios detalhados fornecem acesso rápido a eventos de phishing.

Painéis e relatórios principais incluem o Painel de Segurança, Painel de Aplicações, Relatórios de Atividade de Usuário e Relatórios de Ameaças, que destacam domínios de phishing, submissões repetidas de credenciais e atividades de usuários de risco.

Investigação com XOps

XOps fornece correlação avançada e análises de incidentes que simplificam investigações de phishing. Ele agrega detecções de vários motores de segurança, incluindo IPS, Proteção DNS, RBI e SAM, correlacionando-as em Histórias de Segurança unificadas que mostram toda a sequência de Phishing. Histórias similares destacam ataques relacionados, e resumos gerados por IA aceleram a triagem. A integração com ferramentas como SentinelOne, Microsoft Defender e CrowdStrike estende contexto para pontos finais para investigação unificada. Para mais informações, consulte XOps Playbook de Segurança - Ataque de Site de Phishing.

Monitoramento de Atividades Suspeitas (SAM)

SAM melhora a detecção e investigação de phishing identificando comportamentos de rede que podem indicar novas ameaças ou uso indevido relacionado a campanhas de phishing. Detecta padrões de tráfego que correspondem a assinaturas criadas pela equipe de Pesquisa de Segurança da Cato, identificando atividades que se desviam do comportamento esperado de usuário ou aplicação. Por exemplo, SAM pode sinalizar submissões repetidas de credenciais para domínios desconhecidos, solicitações de saída suspeitas após uma tentativa de phishing ou tráfego consistente com comunicação de comando e controle.

Para mais informações, veja Monitoramento de Atividades Suspeitas com IPS (SAM).

Mitigar Phishing ao Longo do Ciclo de Vida do Ataque

Cato mitiga ataques de phishing em todas as etapas do ciclo de vida do ataque, desde as tentativas iniciais de acesso até a atividade pós-comprometimento, correlacionando detecções através de seus motores de segurança. Esta abordagem de ciclo de vida garante que as ameaças sejam bloqueadas em tempo real e rastreadas, contextualizadas e contidas através de visibilidade integrada e automação no CMA e XOps.

Bloquear Acesso

Os motores de inspeção inline da Cato previnem proativamente que os usuários se conectem à infraestrutura de phishing, reduzindo a exposição antes de uma sessão ser estabelecida.

  • Firewall de Internet e Proteção DNS: bloqueia acesso a domínios arriscados ou suspeitos

  • IPS: bloqueia acesso a sites de phishing conhecidos e infraestrutura de colheita de credenciais

Bloquear Envio de Credenciais

Cato impede que usuários enviem credenciais para sites de phishing que contornam filtros de reputação de domínio ou URL.

  • IPS: detecta padrões de entrada de credenciais e estruturas de página de phishing em tempo real

  • RBI: isola sessões web em um contêiner seguro, impedindo entrada de dados ou interação com formulários e scripts de phishing

Detectar Atividade Pós-Comprometimento

Cato fornece visibilidade em atividades incomuns que podem indicar phishing bem-sucedido ou uso indevido de credenciais, ajudando você a identificar e conter possíveis compromissos rapidamente.

  • SAM gera eventos quando observa envios repetidos de credenciais, conexões de saída anômalas ou comportamento consistente com comunicação de comando e controle

    Por exemplo, se um ataque de phishing sofisticado evitou outras proteções, monitorar eventos SAM pode ajudar a identificar um host infectado.

Correlacionar Eventos de Phishing com XOps

O serviço XOps unifica dados relacionados a phishing de múltiplos motores de segurança em uma única visão investigativa.

  • Histórias de Segurança: Conecta eventos de IPS, Proteção DNS, RBI e SAM em uma narrativa cronológica de ataque

  • Análise Driven por IA: Destaques causas raiz, usuários afetados e ações de acompanhamento

  • Histórias Similares: Identifica campanhas recorrentes visando a mesma organização ou usuários

Gerenciar Resposta e Operações de Phishing

Cato simplifica a resposta e os fluxos de trabalho operacionais de phishing centralizando investigação, contenção e coordenação através dos motores de segurança no CMA com XOps. Esta abordagem unificada permite que você gerencie incidentes eficientemente, acelere a remediação e reduza o impacto geral de ataques de phishing.

Ações de Resposta

Você pode conter incidentes de phishing diretamente do CMA para reduzir o tempo de resposta e minimizar o impacto do uso indevido de credenciais ou contas comprometidas.

  • Controles de Usuário e Sessão: Isolar usuários afetados e bloquear acesso adicional

    • Usuários Remotos: Revogar credenciais para usuários conectados através do Cliente Cato para impedir acesso contínuo de contas comprometidas

    • Usuários Detrás de um Site: Desativar usuários afetados e criar regras de Firewall WAN e Internet que bloqueiem o usuário específico como fonte de tráfego (requer Conscientização do Usuário)

  • Aplicação de Política: Atualizar políticas de Firewall WAN e Internet em tempo real para bloquear comunicação com domínios de phishing identificados recentemente ou endereços IP

  • Integração Multi-Plataforma: Integrar com ferramentas de proteção de endpoint como SentinelOne, Microsoft Defender, CrowdStrike e Proteção de Endpoint Cato (EPP)

    • Dados dessas ferramentas EPP são incluídos no contexto de evento do CMA, permitindo que você visualize detecções de endpoint junto com eventos de segurança de rede da Cato

  • Correlação XOps: Histórias de segurança XOps incluem dados de detecção e resposta de endpoint (EDR), proporcionando visibilidade correlacionada através das camadas de rede e endpoint

Artigos Relacionados: 

Fluxos de Trabalho Operacional

O CMA agiliza as operações de segurança automatizando tarefas de gerenciamento de alertas, investigação e relatórios.

  • Alertas Centralizados: Visualizar, filtrar e priorizar alertas relacionados a phishing de todos os motores de segurança em um único lugar

  • Integrações de Notificação: Enviar alertas automáticos para plataformas de colaboração como Slack, ServiceNow, ou email para acelerar a escalada e o rastreamento

  • Revisões de Eventos: Revisar eventos de phishing, incluindo detecções de SAM e IPS, para identificar tendências e melhorar a precisão

  • Relatórios incluindo Dados de Phishing: Gerar relatórios que resumem atividade relacionada a phishing, como o Relatório de Eventos de Segurança, Relatório de Investigações XOps e Relatório de Detecções XOps, para suportar visibilidade operacional e relatórios executivos

Artigos Relacionados: 

Proteções Complementares

As proteções complementares da Cato funcionam junto com as defesas de phishing para fornecer segurança completa em dados, pontos finais e dispositivos conectados. Estes serviços protegem contra perda de dados, infecção por malware e exploração de IoT que podem ocorrer durante ou após um ataque de phishing. Cada proteção requer uma licença separada.

  • DLP: Ajuda a prevenir tentativas de exfiltração de dados que possam seguir um ataque de phishing

  • Cato EPP: Detecta e bloqueia malware ou outras cargas entregues através de vetores de phishing

  • Segurança IoT: Protege ativos IoT gerenciados e identifica dispositivos não gerenciados que poderiam ser explorados após um comprometimento de phishing

DLP

O motor DLP da Cato protege informações sensíveis de serem exfiltradas após uma tentativa de phishing. Para mais informações, veja O que é o Serviço DLP da Cato?.

  • Aplicação Inline de DLP: Inspeciona todo o tráfego por informações sensíveis e bloqueia transferências não autorizadas fora da organização

  • Monitoramento Fora de Banda: Utiliza conectores baseados em API para monitorar atividade de dados e compartilhamento dentro de aplicações SaaS sancionadas, mesmo quando o tráfego não passa pela Cato Cloud

  • Visibilidade: Fornece dados de eventos no CMA para revisão e auditoria de violações de políticas de manuseio de dados

Cato EPP

Proteção de Endpoint da Cato (EPP) protege pontos finais detectando e bloqueando malware e cargas entregues por phishing sem depender da inspeção de tráfego PoP. Isto garante proteção contínua, mesmo quando dispositivos operam fora da Cato Cloud. Para mais informações, veja Começando com a Proteção de Endpoint da Cato (EPP).

  • Prevenção Local de Ameaças: Detecta e bloqueia arquivos, scripts e cargas maliciosas antes de executarem

  • Análise Comportamental: Identifica processos suspeitos e atividades semelhantes a ransomware originadas de ataques de phishing

  • Integração CMA: Envia alertas e telemetria de endpoint para o CMA para visibilidade centralizada, permitindo que você investigue malware relacionado a phishing junto com dados de rede e identidade

Segurança IoT e OT

  • Descoberta de Dispositivo: Identifica automaticamente todos os dispositivos IoT e OT conectados à rede

  • Monitoramento Comportamental: Detecta padrões de comunicação anormais, como dispositivos tentando contatar domínios controlados por phishing ou de comando e controle

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário