Habilitação e Trabalho com Anti-Malware e IPS

Introdução

Além do Firewall e filtragem de URL da Cato, há serviços de segurança adicionais: Anti-Malware e Sistema de Prevenção de Intrusões (IPS). Ambos os serviços podem ser habilitados instantaneamente e requerem quase nenhuma configuração. Esses serviços fornecem uma camada adicional de segurança para o tráfego WAN, tráfego de Internet ou ambos.

  • Em resumo, o Anti-Malware detectará e bloqueará arquivos maliciosos. Pode ser considerado um gateway Anti-Virus na nuvem.

  • O IPS, por outro lado, detectará e bloqueará a exploração de vulnerabilidades do anfitrião. Por exemplo, se um usuário estiver usando uma versão do Windows sem patches (sem as últimas atualizações de segurança), o servidor remoto pode aproveitar uma vulnerabilidade específica do anfitrião e executar código malicioso na estação de trabalho. O IPS é normalmente considerado um servidor de "patches virtuais". A maioria das vezes, a TI luta para garantir que todos os anfitriões tenham as últimas atualizações de segurança e patches. O IPS é a solução imediata para novas vulnerabilidades.

Melhores Práticas

É altamente recomendado habilitar o serviço de Anti-Malware e IPS. O usuário final experimenta sem atraso devido ao processamento de anti-malware. Quando um arquivo malicioso é detectado, o acesso do usuário será bloqueado e o usuário será redirecionado para uma página de bloqueio.

Não há razão para não habilitar esses serviços. A equipe de segurança da Cato mantém o banco de dados de proteção contra malware sempre atualizado com base em bancos de dados globais de inteligência de ameaças para garantir proteção eficaz contra ameaças atuais.

Como uma melhor prática para habilitar serviços de Anti-Malware e IPS, o seguinte fluxo de trabalho é aconselhado:

  1. Habilite Anti-Malware e IPS em modo Monitorar tanto para tráfego WAN quanto para tráfego de Internet. Em modo Monitorar, o tráfego malicioso apenas é registrado e não parado.

  2. Se necessário, você pode configurar o rastreamento para receber um alerta por email quando malware for detectado (mas não bloqueado porque está no modo Monitorar).

  3. Reveja os eventos AM e IPS em alguns dias e gradualmente mude os serviços para o modo Bloquear.

Nota

Nota: Para obter resultados máximos de detecção, a inspeção TLS deve ser habilitada.

A Inspeção TLS permite que os mecanismos de segurança analisem o tráfego criptografado que pode conter arquivos ou códigos maliciosos. Habilitar a inspeção TLS é o passo final para habilitar Anti-Malware e IPS. Um guia para habilitar a inspeção TLS e diretrizes para distribuir o certificado da Cato usando GPO pode ser encontrado aqui.

Abaixo está um guia passo a passo para configurar serviços de segurança e revisar os resultados.

Habilitação e Configuração da Proteção Anti-Malware

  1. No painel de navegação, clique em Segurança > Anti-Malware.

  2. Clique no controle deslizante à esquerda para habilitar (verde) ou desabilitar (cinza) a proteção Anti-Malware para a conta.

  3. Clique no controle deslizante à direita para habilitar (verde) ou desabilitar (cinza) o motor NG Anti-Malware.

    Anti-Malware__1_.png

Agora os motores Anti-Malware estão habilitados. O próximo passo é configurar as configurações de proteção contra malware.

Para cada regra Anti-Malware, clique na coluna Ação e selecione uma das seguintes opções:

  • Bloquear - Impedir que o arquivo malicioso continue para seu destino. Quando aplicável, redireciona o usuário para uma página da Web de bloqueio dedicada.

  • Permitir - Deixe o arquivo malicioso continuar para seu destino.

Para monitorar sem bloquear, defina a regra como Permitir, e na seção Rastreamento, habilite a opção Evento. Isso cria logs de eventos que você pode revisar na página de Eventos (Inicial > Eventos). Você também pode Enviar Notificações acionadas pelo tipo de tráfego. Em caso de um evento de segurança (detecção de malware), uma notificação será enviada para os Grupos de Assinatura, Listas de Email e Integrações de Alerta predefinidos. Para mais informações sobre esses tipos de notificações, consulte o artigo relevante na seção Alertas.

Habilitação e Configuração do Sistema de Prevenção de Intrusões

  1. No painel de navegação, clique em Segurança > IPS.

  2. Clique no controle deslizante IPS para habilitar (verde) ou desabilitar (cinza) a proteção IPS para a conta.

Semelhante ao motor AM, agora habilite a proteção IPS para Tráfego WAN, Tráfego de Entrada e Tráfego de Saída. WAN seria considerado qualquer tipo de tráfego entre os elementos da Rede conectados à Cato (sites e usuários). A proteção de entrada aplica-se ao tráfego que vem da Internet e é encaminhado para hosts Internos usando Encaminhamento de Porta Remota. Saída é qualquer tipo de tráfego originado dos hosts Internos para a Internet - navegação regular na Internet.

Revisando Eventos de Segurança

Como mencionado acima, uma vez que os Serviços de Segurança estão ativados, o motor de segurança determina qual tráfego é realmente detectado e potencialmente bloqueado.

A página de Eventos (Inicial > Eventos) exibe dados sobre os eventos que ocorreram em todo ou qualquer site e usuários durante um período específico.

Para filtrar apenas eventos de Anti-malware, no menu suspenso Selecionar Presets, selecione Anti-malware.

360002146618-mceclip0.png

Para filtrar apenas eventos IPS, no menu suspenso Selecionar Presets, selecione IPS.

Role para baixo e você encontrará os eventos. Para cada evento, você pode expandir para obter mais Detalhes.

360002042337-mceclip2.png

* Se Anti-Malware e/ou IPS não estiverem presentes, isso significa que não foram gerados eventos. Nesse caso, você pode filtrar um Período de Tempo maior.

Uma vez que Anti-Malware e IPS estão habilitados, você pode testar tentando baixar Arquivos Maliciosos, veja Sites recomendados para testar Anti-Malware e IPS

Informações Adicionais sobre os Serviços Avançados de Segurança da Cato

  1. O fluxo da Rede é inspecionado pelo Firewall WAN - os administradores de segurança podem permitir ou bloquear o tráfego entre entidades organizacionais, como sites, usuários, hosts, sub-redes e mais. Por Padrão, o Firewall WAN da Cato segue uma abordagem de lista de permissões, tendo uma Regra implícita de bloqueio qualquer-qualquer.

  2. Firewall de Internet - os administradores de segurança podem definir regras de permitir ou bloquear entre entidades de Rede, como sites, usuários individuais, sub-redes e mais para várias aplicações, serviços e Websites. Por Padrão, o Firewall de Internet da Cato segue uma abordagem de lista de bloqueio, tendo uma Regra implícita qualquer-qualquer permitir. Assim, para bloquear o Acesso, você deve definir Regras que bloqueiem explicitamente conexões de uma ou mais entidades de Rede para aplicações.

  3. Filtragem de URL - aprimorando o Firewall de Internet. Pronto para uso, a Cato fornece uma Política predefinida de dezenas de diferentes categorias de URL, incluindo categorias orientadas à segurança, como Spam Suspeito e Malware Suspeito. Enquanto o Firewall de Internet fornece prevenção de Acesso estático para aplicações da Internet, o filtro de URL completa a segurança da Internet com proteções dinâmicas.

  4. Anti-Malware - pode ser considerado um gateway antivírus na nuvem. Os clientes podem usar este Serviço para inspecionar tanto o tráfego WAN quanto o tráfego da Internet em busca de Malware. O processamento de Anti-malware inclui o seguinte:

    • Inspeção Profunda de Pacotes da carga do tráfego para tráfego claro e Criptografado (se ativado).

    • A Detecção de Tipo de Arquivo real é usada para identificar o tipo real de um Arquivo que circula na Rede, independentemente de sua extensão de Arquivo ou do cabeçalho do tipo de conteúdo.

    • A Detecção de Malware utiliza um banco de dados de assinaturas e heurísticas que é mantido atualizado em todos os momentos, com base em bancos de dados globais de inteligência de ameaças para garantir proteção eficaz contra ameaças atuais. A Cato NÃO compartilha nenhum arquivo ou dado com repositórios baseados em nuvem para garantir que os dados dos clientes permaneçam confidenciais.

  5. IPS - Cato’s cloud-based Network Intrusion Prevention System (IPS) inspects inbound, outbound and WAN traffic, including SSL traffic. O IPS pode operar em Monitorar Modo (IDS) sem que nenhuma ação de bloqueio ocorra. Em Modo IDS, todo o tráfego é avaliado e eventos de Segurança são gerados.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário