A Prevenção de Ameaças da Cato é um serviço de segurança nativo da nuvem que inspeciona o tráfego WAN e Internet na Nuvem Cato para detectar e bloquear arquivos maliciosos, malware, ataques baseados na rede e outras ameaças de segurança. A Prevenção de Ameaças ajuda a proteger seu tráfego ao prevenir malware, bloquear domínios e destinos maliciosos, detectar tentativas de exploração e outras atividades de ataque, e impedir ameaças antes que possam impactar usuários ou recursos. Você pode estender essa proteção com serviços avançados de Prevenção de Ameaças, como Isolamento Remoto do Navegador (RBI), que isola sessões web do dispositivo do usuário, e Sandbox, que analisa arquivos suspeitos em um ambiente isolado por uma análise mais profunda.
Os mecanismos de segurança da Cato funcionam juntos em um único serviço nativo da nuvem para proporcionar detecções mais precisas, cumprimento mais consistente e proteção mais forte ao longo do ciclo de vida completo das ameaças. Em vez de tomar decisões isoladas, os motores inspecionam o mesmo tráfego e se baseiam em análises compartilhadas através de múltiplas camadas de proteção. Esta arquitetura unificada melhora a coordenação entre os controles de segurança e ajuda a deter ameaças antes que possam se espalhar ou causar danos.
A Prevenção de Ameaças da Cato também utiliza IA e aprendizado de máquina como parte da infraestrutura de serviço para melhorar a inteligência sobre ameaças e fortalecer a qualidade de detecção. Isso inclui classificação de IOC baseada em IA, análise de aprendizado de máquina de metadados de tráfego, proteções de aprendizado de máquina no IPS contra ameaças e análise comportamental proativa na Prevenção Dinâmica. Juntas, essas capacidades fortalecem a detecção em toda a proteção dos motores e ajudam a Cato a identificar ameaças conhecidas e desconhecidas de forma mais eficaz.
A inspeção completa de ameaças requer Inspeção TLS, para que o tráfego criptografado também possa ser analisado.
A Cato descriptografa, inspeciona e recriptografa o tráfego inline para que os serviços de Prevenção de Ameaças e Prevenção Avançada de Ameaças possam analisar o tráfego criptografado, incluindo Anti-Malware, IPS e Sandbox. Isso estende a inspeção de ameaças para sessões criptografadas e permite que mais tráfego seja avaliado pelo conjunto completo de camadas de proteção. Regras granulares de Inspecionar e Ignorar ajudam você a manter a cobertura de segurança enquanto exclui tráfego que não deve ser inspecionado.
Como a Inspeção TLS pode impactar a experiência do usuário para sites legítimos, a Cato fornece um assistente de configuração de Inspeção TLS que ajuda você a implantar regras recomendadas de Inspecionar e Ignorar mais rapidamente enquanto personaliza a política para seu ambiente.
Os motores de prevenção de ameaças executam nos PoPs da Nuvem Cato e apenas inspecionam o tráfego que passa por eles. O tráfego que ignora a Nuvem Cato, como o tráfego MPLS ou o tráfego de sites e clientes que saem diretamente para a Internet pública, não é inspecionado pelos serviços de Prevenção de Ameaças ou de Prevenção Avançada de Ameaças. Este tráfego está fora do escopo da inspeção de ameaças inline da Cato.
Esses serviços trabalham juntos para oferecer proteção em camadas, combinando detecção baseada em assinatura, análise comportamental e aprendizado de máquina para identificar ameaças conhecidas e desconhecidas. Como todos operam na Nuvem Cato como parte de uma única arquitetura de segurança, cada camada contribui para uma visão mais ampla e coordenada da atividade de ameaça. O gerenciamento centralizado no CMA permite que você configure políticas facilmente, monitore eventos e mantenha a visibilidade em todo o tráfego protegido.
O IPS da Cato inspeciona o tráfego de entrada, saída e WAN para proteger aplicativos, dispositivos e serviços de rede contra vulnerabilidades conhecidas, bots, tráfego malicioso e outros ataques baseados na rede. O serviço inclui múltiplas camadas de proteção, como análise de reputação, proteção contra vulnerabilidades conhecidas, detecção anti-bot, análise comportamental da rede, validação de protocolo, restrição geográfica e detecção de ataques de tunelamento.
As assinaturas de IPS são continuamente atualizadas pela pesquisa de segurança da Cato, e as políticas de IPS são projetadas para equilibrar a cobertura de segurança com a estabilidade operacional. O IPS pode aplicar proteções em modo de bloqueio ou monitorar o tráfego sem bloquear, e ajuda a prevenir a exploração de vulnerabilidades conhecidas no tráfego que passa pela Nuvem Cato.
O serviço IPS inclui Proteção DNS para aplicar segurança DNS ao tráfego na sua conta. A Proteção DNS bloqueia solicitações DNS para domínios maliciosos antes que uma conexão seja estabelecida para o destino, o que ajuda a deter ameaças como phishing, entrega de malware e comunicação de comando e controle mais cedo no fluxo de ataque. Ao bloquear solicitações maliciosas na camada DNS, a proteção DNS ajuda a interromper ataques antes da entrega de payload e proporciona visibilidade que apoia uma investigação de ameaças mais ampla.
Você pode ativar ou desativar proteções DNS específicas e definir ações como Permitir, Bloquear ou Redirecionar para cada proteção. A ação de Redirecionamento redireciona solicitações DNS para domínios maliciosos para um servidor de Redirecionamento em vez de para o destino original. Isso também ajuda a identificar o ponto de origem da solicitação, inclusive em ambientes que utilizam proxies DNS internos, e apoia a detecção de dispositivos potencialmente infectados.
O Monitoramento de Atividades Suspeitas expande a visibilidade do IPS para atividade de rede suspeita que não é monitorada pelas assinaturas padrão de IPS. O SAM identifica atividades que podem indicar uma violação ou comprometimento, mas como o tráfego não é definitivamente malicioso, monitoriza o tráfego sem bloqueá-lo.
Correlacionando eventos ao longo do tempo, o SAM reduz o ruído e dá às equipes de segurança melhor visibilidade sobre atividades de ataque em estágio inicial. Isso ajuda você a identificar ameaças que não são detectadas pelos controles baseados em assinaturas do IPS. Isso adiciona contexto investigativo para atividades que podem não acionar a prevenção direta e ajuda a identificar ameaças que controles baseados em assinatura poderiam deixar escapar.
O Anti-Malware e o NG Anti-Malware da Cato fornecem duas camadas de proteção para evitar que arquivos maliciosos entrem na sua rede. Ambas as camadas escaneiam simultaneamente arquivos do tráfego WAN e Internet.
O Anti-Malware usa assinaturas de arquivo conhecidas e análise heurística para detectar arquivos maliciosos. O NG Anti-Malware usa aprendizado de máquina e modelos preditivos para classificar arquivos como benignos, suspeitos ou maliciosos e detectar malware desconhecido e zero-day. Essa abordagem em camadas bloqueia ransomware, trojans e outros malwares comerciais sem impactar a experiência do usuário.
Os serviços de Prevenção Avançada de Ameaças oferecem proteção adicional contra ameaças sofisticadas que podem ignorar controles padrão de Prevenção de Ameaças. Esses serviços estendem a proteção da Cato com navegação isolada, análise avançada de arquivos e prevenção baseada em comportamento para ajudar a detectar e deter técnicas de ataque sofisticadas.
O RBI faz parte da política de firewall da Internet e protege os usuários contra ameaças web e baseadas em navegador sem bloquear o acesso à Internet. Em vez de renderizar conteúdo web no dispositivo do usuário, o RBI executa a sessão de navegação em um ambiente isolado na Nuvem Cato e transmite uma representação visual segura ao navegador. Isso ajuda a proteger contra ameaças como ransomware, malware, phishing, anúncios maliciosos e scripting entre sites (XSS), enquanto permite que os usuários acessem de forma segura sites arriscados ou desconhecidos. O RBI estende a proteção para atividades de navegação arriscadas sem forçar os usuários a ignorar os controles de segurança.
A Prevenção Dinâmica é um motor de segurança baseado em comportamento que aplica controles adaptativos preventivamente em resposta a ameaças detectadas para reduzir a superfície de ataque e mitigar ameaças precocemente, antes que possam impactar seu ambiente. Ela analisa a atividade ao longo do tempo e em um contexto mais amplo do que as detecções pontuais tradicionais, o que ajuda a identificar comportamentos suspeitos que podem usar ferramentas legítimas ou parecer benignos em isolamento. Quando um comportamento anormal é detectado, a Prevenção Dinâmica pode aplicar automaticamente controles temporários e ajustá-los ou removê-los continuamente à medida que o comportamento muda.
Sandbox é um ambiente isolado e seguro onde arquivos potencialmente maliciosos ou suspeitos são executados e analisados sem risco para sua rede. Isso adiciona análise aprofundada para investigação de malware para detectar ameaças desconhecidas e evasivas. Arquivos identificados pela política Anti-Malware como maliciosos ou suspeitos são automaticamente escaneados na Sandbox, e você também pode fazer upload de arquivos específicos para análise.
O framework MITRE ATT&CK é uma base de conhecimento de táticas e técnicas de adversários que ajuda equipes de segurança a classificar e investigar atividades de ataque. O Painel MITRE ATT&CK da Cato fornece visibilidade sobre as atividades de ataque em sua rede usando o framework MITRE ATT&CK. Ele mapeia ameaças detectadas pelos serviços de segurança da Cato para as táticas e técnicas do ATT&CK, ajudando as equipes de segurança a entender como os ataques progridem através da cadeia de eliminação. O painel inclui análises e visualizações, como resumos de táticas, detalhamentos de técnicas, linhas do tempo de eventos e dispositivos afetados. Você pode aprofundar em técnicas ou fontes específicas para investigar eventos de segurança e analisar padrões de ataque em seu ambiente. Isso ajuda a conectar detecções individuais à história mais ampla do ataque e dá às equipes de segurança uma visão mais clara de como as ameaças se desdobram pelo ambiente.
0 comentário
Por favor, entre para comentar.