O Prevenção Dinâmica é um motor de segurança baseado em comportamento que aplica preemptivamente controles dinâmicos em resposta a ameaças detectadas para reduzir a superfície de ataque e mitigar ameaças antecipadamente, antes que qualquer impacto ocorra.
Em vez de depender de regras ou assinaturas estáticas, a Prevenção Dinâmica aproveita a visibilidade de tráfego em toda a rede Cato para aprender continuamente o que é comportamento normal na sua rede. Ele constrói uma linha de base comportamental para cada entidade, representando padrões de uso típicos e atividade esperada.
Quando um comportamento anormal é detectado, a Prevenção Dinâmica aplica automaticamente controles temporários e dinâmicos. Esses controles dinâmicos adaptativos bloqueiam o acesso a serviços expostos, ações ou caminhos de acesso para reduzir a potencial superfície de ataque. Os controles aplicam ações de mitigação baseadas em análise minuciosa e pesquisa de vários cenários de violação pela equipe de pesquisa da Cato.
A Prevenção Dinâmica reavalia continuamente o comportamento ao longo do tempo e ajusta ou remove automaticamente os controles aplicados à medida que o comportamento muda. Isso permite a interrupção precoce da atividade de ataque, reduz a superfície de ataque exposta e minimiza a necessidade de intervenção manual, mantendo ao mesmo tempo a visibilidade total e o controle administrativo.
Para proporcionar uma visão mais completa do comportamento arriscado do usuário, os eventos de bloqueio desencadeados pelo motor de segurança baseado em comportamento da Prevenção Dinâmica são incorporados à pontuação de risco do usuário. Para mais informações, consulte Compreendendo o Nível de Risco do Usuário.
A Prevenção Dinâmica requer uma Licença de Proteção Avançada contra Ameaças
Caso de Uso - Bloqueio de Descoberta e Comunicação de Comando e Controle Após Comprometimento de Phishing
Um funcionário da empresa ABC foi vítima de um ataque de phishing que comprometeu seu endpoint. Logo após o comprometimento, o invasor iniciou tentativas de descoberta e mapeamento de rede usando ferramentas legítimas. Esta atividade legítima nunca havia sido observada neste dispositivo antes. A Prevenção Dinâmica detectou imediatamente esse comportamento como uma desvio de alto risco da base estabelecida, identificando-o como reconhecimento malicioso.
Em resposta, o motor de Prevenção Dinâmica aplica um controle de segurança adaptativo que impede o download e execução do AnyDesk. O invasor estava tentando usar este arquivo para acesso remoto e comunicação C2. Aplicando automaticamente este controle, a Prevenção Dinâmica interrompeu o ataque em um estágio inicial. Ela impediu o controle externo, interrompeu a entrega de cargas úteis adicionais e eliminou o risco de movimento lateral.
Com a Prevenção Dinâmica, a empresa ABC neutraliza ameaças pós-phishing automaticamente, sem intervenção manual, reduzindo significativamente a superfície de ataque, o impacto e reforçando sua postura geral de segurança.
A Prevenção Dinâmica analisa continuamente a atividade em todo o seu ambiente para identificar e interromper comportamentos suspeitos usando o seguinte processo de quatro etapas:
- Construir uma Linha de Base de Entidade: A Prevenção Dinâmica monitora continuamente a atividade da rede ao longo do tempo para estabelecer um perfil de comportamento normal para cada entidade. Uma entidade pode ser um host, como um laptop ou servidor.
- Detectar Desvios: A Prevenção Dinâmica coleta sinais em tempo real de múltiplos motores de segurança, incluindo serviços inline e fora de banda como Anti-Malware, IPS e DLP. Também analisa insights de longo prazo do data lake da Cato, que agrega todos os eventos de segurança. Esses sinais são comparados com a linha de base comportamental para identificar atividade anormal. Mesmo ações que parecem benignas podem ser sinalizadas se divergirem significativamente do comportamento normal.
- Controles Dinâmicos: Para reduzir a superfície de ataque, quando um comportamento suspeito é detectado, a Prevenção Dinâmica aplica automaticamente um controle apropriado.
- Bloquear Ação Maliciosa: Se uma ação maliciosa for realizada, ela é bloqueada em tempo real para impedir ameaças.
- Adaptar Controles Dinâmicos: A Prevenção Dinâmica reavalia continuamente o comportamento da entidade e ajusta ou remove dinamicamente os controles aplicados à medida que o nível de risco muda.
Muitos ataques modernos consistem em sequências de ações de baixo sinal que parecem legítimas isoladamente, mas indicam intenção maliciosa quando correlacionadas ao longo do tempo. Enquanto motores de segurança tradicionais impõem políticas e bloqueiam ameaças conhecidas em fases específicas do ciclo de vida do ataque, eles normalmente operam dentro de contextos de avaliação de curta duração. Detectar essas ameaças requer correlacionar tráfego, eventos de segurança e comportamento de entidades ao longo de janelas de tempo estendidas, o que de outra forma exige ajuste complexo de políticas, definição manual de base e profundo entendimento de padrões normais de acesso na organização.
A Prevenção Dinâmica adiciona uma camada de prevenção adaptativa que correlaciona sinais em intervalos de tempo estendidos e múltiplas fontes de dados. Ao analisar fluxos de tráfego, eventos e padrões comportamentais em conjunto, ela identifica ameaças avançadas que surgem apenas quando ações são vistas como parte de uma sequência mais ampla, em vez de incidentes individuais.
Quando a Prevenção Dinâmica detecta comportamento suspeito, ela aplica automaticamente reforço graduado e com consciência de contexto para interromper a progressão da ameaça em tempo real. Essas restrições adaptativas são aplicadas imediatamente—sem requerer regras personalizadas ou intervenção manual—and são continuamente ajustadas com base em uma avaliação de risco atualizada.
Juntos, motores de segurança existentes fornecem proteção precisa a nível de evento, enquanto a Prevenção Dinâmica oferece detecção com contexto longo e resposta automatizada. Essa combinação permite prevenir ataques sofisticados que evitam controles tradicionais, sem aumentar a complexidade da configuração ou sobrecarga operacional.
0 comentário
Artigo fechado para comentários.