Este artigo explica como o serviço de segurança IPS e o firewall na pilha de segurança da Cato Cloud protegem sua rede de ataques de phishing.
O phishing continua a ser uma das ameaças mais perigosas para as organizações, e ataques de phishing podem ser um vetor inicial para infiltrar a rede corporativa ou roubar credenciais e outros dados privados. O serviço IPS da Cato e o firewall na pilha de segurança têm diferentes técnicas para identificar o tráfego como um ataque de phishing e bloquear o ataque antes que ele entre em sua rede.
A equipe de Segurança da Cato cria proteções IPS e de firewall para ataques de phishing baseadas em Indicadores de Comprometimento (IOCs). Os IOCs são acumulados de uma variedade de feeds de inteligência de ameaças privados e de código aberto que contêm domínios, URLs e outros dados sobre campanhas de phishing conhecidas. Qualquer tráfego que corresponda ao IOC de uma campanha de phishing conhecida é automaticamente bloqueado pelo motor IPS.
Outro nível de proteções na pilha de segurança utiliza heurísticas e algoritmos baseados nas características dos sites de phishing. A equipe de Segurança analisa todos esses dados de rede e depois cria proteções que podem identificar sites que são fontes de ataques de phishing. Por exemplo, uma campanha de phishing pode usar uma URL falsa do Office365 para enganar os usuários, fazendo-os acreditar que este link é legítimo. Se um usuário acidentalmente clicar no link malicioso do Office365, o IPS ou o firewall pode bloquear o tráfego e evitar o ataque de phishing.
Além disso, o IPS inclui proteções que usam algoritmos avançados de aprendizado de máquina e modelos de processamento de imagens para se proteger contra as técnicas mais recentes de ataque de phishing. Por exemplo:
- Algoritmos de aprendizado de máquina IPS podem detectar e bloquear ataques que usam novos domínios criados através de técnicas como DGA e cybersquatting
- Modelos de processamento de imagem IPS podem identificar sites maliciosos que usam ícones falsos, bem como sites que usam ícones, gráficos e outros elementos idênticos aos de sites legítimos
A equipe de Segurança está constantemente analisando o tráfego de rede na Cato Cloud para aprimorar as heurísticas e algoritmos e melhorar a capacidade de detectar novos ataques de phishing.
As proteções contra phishing do IPS usam várias estratégias para detectar e mitigar ataques, o que ajuda a maximizar a proteção com a capacidade de bloquear ataques de phishing em diferentes estágios. Estes são os tipos de estratégias de proteção:
-
Bloqueio de Acesso - Essas proteções identificam o destino de navegação como um site de phishing e bloqueiam o acesso ao site. Exemplos usando essa estratégia incluem proteção baseada em:
- Feeds de inteligência de ameaças
- Modelos de aprendizado de máquina que identificam sites de phishing potenciais
- Identificação de domínios recém-registrados
- Heurísticas que identificam domínios de nível superior suspeitos
- Heurísticas que detectam tags de título HTML legítimas sendo renderizadas em um recurso desconhecido
- Bloqueio de Submissão de Credenciais — Detecção Avançada de Elementos de Página de Phishing - Estas proteções podem bloquear um ataque de phishing mesmo após o usuário já ter acessado o site malicioso e a página da web ter sido totalmente renderizada no navegador. O motor usa heurísticas avançadas para detectar elementos visuais e funcionais legítimos do Office 365 que aparecem em páginas não pertencentes ou operadas pela Microsoft. Os atacantes cada vez mais clonar ativos autênticos, quando tais inconsistências entre ativos de marca confiáveis e domínios não confiáveis são detectadas, o serviço IPS intervém no momento crítico, bloqueando a submissão de credenciais. Importante, o usuário não vê uma página de bloqueio. Em vez disso, o sistema impede silenciosamente que as credenciais saiam do dispositivo ou sessão do navegador. Um evento de segurança correspondente é gerado no CMA com o nome da ameaça: Tentativa de inserir informações confidenciais em um site de phishing.
-
Detecção Pós-Comprometimento — Identificação de Submissão de Credenciais em Formulários Web de Alto Risco - Em algumas situações, os usuários podem acessar domínios suspeitos que não podem ser definit ivamente categorizados como maliciosos e, portanto, não são imediatamente bloqueados. Nesses casos, o serviço de Monitoramento de Atividades Suspeitas (SAM) fornece uma camada secundária crucial de proteção. O SAM monitora continuamente as interações dos usuários com formulários web de alto risco ou não confiáveis, detectando comportamentos indicativos de coleta de credenciais. Se um usuário inserir ou submeter credenciais corporativas em tal site, o SAM gera eventos detalhados que alertam os administradores sobre o potencial comprometimento para que possam tomar medidas imediatas.
Para habilitar essas detecções, a Inspeção TLS deve estar ativada, permitindo a inspeção do tráfego criptografado para identificar o uso indevido de ativos legítimos da Microsoft em páginas maliciosas. A Inspeção TLS também deve ser ativada para os seguintes domínios da Microsoft:- windows.net
- windows.com
- msauthimages.net
- msauth.net
- msftauthimages.net
Você pode revisar os Eventos de Segurança em Inicial > Eventos e encontrar quaisquer ataques de phishing em sua conta que foram bloqueados. Existem diferentes subtipos de eventos para ataques de phishing bloqueados pelo IPS e pelo firewall. Para eventos de IPS, o tipo de ameaça pode ser classificado como Reputação, ou como Phishing.
Este é um exemplo de um evento para um ataque de phishing bloqueado pelo IPS:
-
Campos de evento IPS para um ataque de phishing:
- Tipo de evento - Segurança
- Subtipo de evento - IPS
-
Tipo de ameaça - Reputação
- Nome da Ameaça - Assinatura baseada na reputação do domínio - Phishing
-
Tipo de ameaça - Phishing
- Nome da Ameaça - Nome que a equipe de segurança dá para este ataque de phishing
-
Campos de evento de firewall de Internet para um ataque de phishing:
- Tipo de evento - Segurança
- Subtipo de evento – Firewall de Internet
- Categorias - Phishing
-
A estratégia de mitigação do IPS para um ataque de phishing pode ser identificada pelo formato do ID da Assinatura no evento, conforme segue:
- Assinaturas que bloqueiam o acesso têm o prefixo: cid_heur_ba_phishing_detection_
- Assinaturas que bloqueiam o envio de credenciais têm o prefixo: cid_heur_bs_phishing_detection_
- Assinaturas que detectam envios de credenciais para formulários da web arriscados têm o prefixo: cid_sam_cs_phishing_detection_ ou cid_sam_suspected_phishing_submission_to_risky_web_form
Para mais informações, veja Analisando Eventos de Segurança de Acordo com a Reputação da Ameaça.
A Bancada de Trabalho de Histórias do XDR gera histórias para ataques de malware potenciais, incluindo phishing, e fornece ferramentas para investigar o ataque. A seguir, um exemplo de uma história de um ataque de phishing bloqueado pelo IPS. A história ajuda a investigar o ataque fornecendo informações como uma descrição do ataque, o domínio e URL relacionados ao ataque, e mais.
Esta seção contém próximos passos sugeridos se você descobrir que o IPS ou o Firewall de Internet bloqueou ataques de phishing para sua conta.
- Identifique quais usuários finais em sua organização foram o alvo do ataque de phishing.
- Converse com os usuários finais e identifique que tipo de informações eles estavam compartilhando com este website.
-
Diga aos usuários finais para tomar as seguintes ações:
- Altere suas senhas para o website
- Inicie um log off completo de todos os serviços que estão relacionados ao website
- Verifique se algum dado que foi compartilhado (ou potencialmente compartilhado) representa algum risco.
0 comentário
Por favor, entre para comentar.