Melhores Práticas para Implementar Prevenção de Ameaças Cato

Visão Geral dos Serviços de Segurança da Cato

A Cato Cloud contém serviços de segurança poderosos que são fáceis de configurar e ajudam a manter sua rede segura. Este artigo explica as recomendações e melhores práticas para os diferentes serviços de Prevenção de Ameaças.

A Cato Cloud possui estas duas camadas de proteção para sua conta:

  • Camada de acesso - inclui firewalls para tráfego WAN e Internet

  • Camada de segurança - inclui os serviços de Prevenção de Ameaças da Cato: Anti-Malware, NG Anti-Malware e IPS

A Cato Cloud aplica as regras nos firewalls para determinar se o tráfego é permitido ou bloqueado. Além disso, os serviços de Prevenção de Ameaças analisam o tráfego em busca de malware, vulnerabilidades baseadas em rede, atividade maliciosa na rede e mais.

Camada de Acesso

Cada fluxo de rede é inspecionado pelo firewall de WAN e Internet. O firewall WAN permite que você permita ou bloqueie o tráfego entre entidades organizacionais, como sites, usuários, hosts, sub-redes e mais. O firewall de Internet permite que você controle o acesso a sites e aplicativos baseados na web.

Por padrão, o firewall WAN da Cato usa a abordagem de lista branca e só permite o tráfego explicitamente definido por uma regra de firewall, bloqueando todo o tráfego não identificado. O firewall de Internet controla o tráfego de saída para a Internet e usa uma abordagem de lista negra. A regra final do firewall de Internet é uma regra implícita qualquer-qualquer permitir, então você deve definir regras para bloquear explicitamente conexões com a Internet.

Pronto para uso, a Cato oferece muitas categorias predefinidas que contêm dezenas de serviços e aplicativos para ajudar a gerenciar o tráfego da rede. Essas categorias são atualizadas regularmente pela equipe de segurança da Cato.

Por padrão, o firewall de Internet inclui uma regra que bloqueia categorias de tráfego potencialmente perigosas. Recomendamos fortemente que você não desative essa regra e forneça a melhor segurança para sua rede.

Camada de Segurança

A camada de segurança Cato tem múltiplos motores que analisam o tráfego WAN e Internet em busca de malware e riscos de segurança.

  1. Anti-Malware é um gateway antivirus na nuvem e inclui o seguinte:

    • Inspeção profunda de pacotes da carga do tráfego claro e criptografado (se a Inspeção TLS estiver ativada).

    • A detecção do tipo de arquivo verdadeiro identifica o tipo real de um arquivo que trafega pela rede, independentemente de sua extensão de arquivo ou cabeçalho de tipo de conteúdo.

    • Detecção de malware usando um banco de dados de assinaturas e heurísticas que é mantido atualizado o tempo todo com base em bancos de dados de inteligência de ameaças globais para proteger contra ameaças conhecidas atuais. Cato NÃO compartilha nenhum arquivo ou dado com repositórios baseados na nuvem para garantir que os dados dos clientes permaneçam confidenciais.

  2. NG Anti-Malware implementa o motor SentinelOne que usa um modelo de IA para detectar ameaças em arquivos executáveis portáteis, PDFs e documentos do Office. O modelo de IA é desenvolvido extraindo características de milhões de amostras de malware no repositório de malware. Em seguida, o Machine Learning Supervisionado é usado para identificar e correlacionar diferentes características de arquivos benignos e maliciosos. NG Anti-Malware pode prever e prevenir malware e vírus desconhecidos.

  3. IPS - O Sistema de Prevenção de Intrusões de rede baseado na nuvem da Cato (IPS) inspeciona o tráfego de entrada, saída e WAN, incluindo o tráfego TLS (se a Inspeção TLS estiver habilitada). O IPS também pode operar no modo monitor (IDS) e não bloqueia o tráfego. No modo IDS, todo o tráfego é avaliado e eventos de segurança são gerados.

Melhores Práticas para Habilitar a Prevenção de Ameaças

Recomendamos altamente que você habilite os serviços de Prevenção de Ameaças para sua conta. Usuários finais não experimentam nenhum atraso devido ao processamento de anti-malware e IPS. Quando um arquivo malicioso é detectado, o acesso do usuário é bloqueado e o usuário é redirecionado para uma Página de Bloqueio.

A equipe de segurança da Cato mantém o banco de dados de Prevenção de Ameaças atualizado o tempo todo com base em bancos de dados de inteligência de ameaças globais para garantir proteção eficaz contra ameaças atuais.

O fluxo de trabalho a seguir é a melhor prática para habilitar os serviços de Prevenção de Ameaças:

  1. Habilite políticas de Prevenção de Ameaças no modo Monitorar para todo o tráfego. No modo Monitorar, o tráfego malicioso é apenas registrado e não é bloqueado.

  2. Se necessário, você pode configurar a opção de rastreamento para enviar um alerta por e-mail se malware for detectado (no modo Monitorar, não há alertas para tráfego bloqueado).

  3. Após alguns dias, revise os eventos de Prevenção de Ameaças e mude gradualmente as políticas para o modo Bloquear.

  4. Habilite inspeção TLS para permitir que os motores de Prevenção de Ameaças analisem o tráfego criptografado.

Nota

Nota: Para resultados máximos de detecção, a inspeção TLS deve ser habilitada. A inspeção TLS permite que os motores de segurança analisem o tráfego criptografado que pode conter arquivos ou código maliciosos. Habilitar a inspeção TLS é o passo final para habilitar o Anti-Malware e IPS.

Artigos Relacionados

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário