Este artigo explica como o serviço de segurança IPS e o firewall na pilha de segurança da Cato Cloud protegem sua rede de ataques de phishing.
O phishing continua a ser uma das ameaças mais perigosas para as organizações, e ataques de phishing podem ser um vetor inicial para infiltrar a rede corporativa ou roubar credenciais e outros dados privados. O serviço IPS da Cato e o firewall na pilha de segurança têm diferentes técnicas para identificar o tráfego como um ataque de phishing e bloquear o ataque antes que ele entre em sua rede.
A equipe de Segurança da Cato cria proteções IPS e de firewall para ataques de phishing baseadas em Indicadores de Comprometimento (IOCs). Os IOCs são acumulados de uma variedade de feeds de inteligência de ameaças privados e de código aberto que contêm domínios, URLs e outros dados sobre campanhas de phishing conhecidas. Qualquer tráfego que corresponda ao IOC de uma campanha de phishing conhecida é automaticamente bloqueado pelo motor IPS.
Outro nível de proteções na pilha de segurança utiliza heurísticas e algoritmos baseados nas características dos sites de phishing. A equipe de Segurança analisa todos esses dados de rede e depois cria proteções que podem identificar sites que são fontes de ataques de phishing. Por exemplo, uma campanha de phishing pode usar uma URL falsa do Office365 para enganar os usuários, fazendo-os acreditar que este link é legítimo. Se um usuário acidentalmente clicar no link malicioso do Office365, o IPS ou o firewall pode bloquear o tráfego e evitar o ataque de phishing.
Além disso, o IPS inclui proteções que usam algoritmos avançados de aprendizado de máquina e modelos de processamento de imagens para se proteger contra as técnicas mais recentes de ataque de phishing. Por exemplo:
-
Os algoritmos de aprendizado de máquina do IPS podem detectar e bloquear ataques que usam novos domínios criados por meio de técnicas como DGA e cybersquatting
-
Os modelos de processamento de imagem do IPS podem identificar sites maliciosos que usam ícones falsos, assim como sites que usam ícones, gráficos e outros elementos idênticos aos de sites legítimos
A equipe de Segurança está constantemente analisando o tráfego de rede na Cato Cloud para aprimorar as heurísticas e algoritmos e melhorar a capacidade de detectar novos ataques de phishing.
As proteções contra phishing do IPS usam várias estratégias para detectar e mitigar ataques, o que ajuda a maximizar a proteção com a capacidade de bloquear ataques de phishing em diferentes estágios. Estes são os tipos de estratégias de proteção:
-
Bloqueio de Acesso - Essas proteções identificam o destino de navegação como um site de phishing e bloqueiam o acesso ao site. Exemplos usando essa estratégia incluem proteção baseada em:
-
Feeds de inteligência de ameaças
-
Modelos de aprendizado de máquina que identificam potenciais sites de phishing
-
Identificação de domínios recém-registrados
-
Heurísticas que identificam domínios de topo suspeitos
-
Heurísticas que detectam tags de título HTML legítimas renderizadas em um recurso desconhecido
-
-
Bloqueio da Submissão de Credenciais - Essas proteções podem bloquear um ataque de phishing mesmo depois que o usuário tenha acessado o site e o site tenha sido renderizado no navegador. As proteções usam heurísticas para detectar elementos legítimos da página da web renderizados em um site malicioso. Por exemplo, um logotipo legítimo do Office365 em um site que não pertence à Microsoft. O serviço IPS sabota o ataque de phishing ao impedir que o usuário envie credenciais.
-
Detecção Pós-Compromisso: Identificação de Submissão de Credenciais em Formulários Web Arriscados - Às vezes, um usuário pode acessar sites suspeitos que não são bloqueados porque não são definitivamente maliciosos. O serviço de Monitoramento de Atividades Suspeitas (SAM) pode identificar quando um usuário envia credenciais em tais sites arriscados, e cria eventos que alertam o administrador sobre a potencial violação.
Você pode revisar os Eventos de Segurança em Inicial > Eventos e encontrar quaisquer ataques de phishing em sua conta que foram bloqueados. Existem diferentes subtipos de eventos para ataques de phishing bloqueados pelo IPS e pelo firewall. Para eventos de IPS, o tipo de ameaça pode ser classificado como Reputação, ou como Phishing.
Este é um exemplo de um evento para um ataque de phishing bloqueado pelo IPS:
-
Campos de evento IPS para um ataque de phishing:
-
Tipo de evento - Segurança
-
Subtipo de evento - IPS
-
Tipo de ameaça - Reputação
-
Nome da Ameaça - Assinatura baseada na reputação do domínio - Phishing
-
-
Tipo de ameaça - Phishing
-
Nome da Ameaça - Nome que a equipe de segurança dá para este ataque de phishing
-
-
Campos de evento de firewall de Internet para um ataque de phishing:
-
Tipo de evento - Segurança
-
Subtipo de evento – Firewall de Internet
-
Categorias - Phishing
-
-
-
A estratégia de mitigação do IPS para um ataque de phishing pode ser identificada pelo formato do ID da Assinatura no evento, conforme segue:
-
Assinaturas que bloqueiam o acesso têm o prefixo: cid_heur_ba_phishing_detection_
-
Assinaturas que bloqueiam o envio de credenciais têm o prefixo: cid_heur_bs_phishing_detection_
-
Assinaturas que detectam envios de credenciais para formulários da web arriscados têm o prefixo: cid_sam_cs_phishing_detection_ ou cid_sam_suspected_phishing_submission_to_risky_web_form
-
Para mais informações, veja Analisando Eventos de Segurança de Acordo com a Reputação da Ameaça.
A Bancada de Trabalho de Histórias do XDR gera histórias para ataques de malware potenciais, incluindo phishing, e fornece ferramentas para investigar o ataque. A seguir, um exemplo de uma história de um ataque de phishing bloqueado pelo IPS. A história ajuda a investigar o ataque fornecendo informações como uma descrição do ataque, o domínio e URL relacionados ao ataque, e mais.
Esta seção contém próximos passos sugeridos se você descobrir que o IPS ou o Firewall de Internet bloqueou ataques de phishing para sua conta.
-
Identifique quais usuários finais em sua organização foram o alvo do ataque de phishing.
-
Converse com os usuários finais e identifique que tipo de informações eles estavam compartilhando com este website.
-
Diga aos usuários finais para tomar as seguintes ações:
-
Altere suas senhas para o website
-
Inicie um log off completo de todos os serviços que estão relacionados ao website
-
-
Verifique se algum dado que foi compartilhado (ou potencialmente compartilhado) representa algum risco.
0 comentário
Por favor, entre para comentar.