Este artigo fornece uma visão geral da Política Anti-Malware da Cato para os motores Anti-Malware e NG Anti-Malware. Para mais detalhes sobre como customizar a Política de Implantação, consulte Configurando a Política Anti-Malware.
A política de segurança Anti-Malware da Cato oferece duas camadas de proteção para prevenir que arquivos maliciosos entrem na sua rede: Anti-Malware e NG Anti-Malware. Ambas as camadas simultaneamente escaneiam arquivos que chegam de tráfego WAN e Internet.
- A camada Anti-Malware protege contra ameaças de malware com base em assinaturas de arquivos conhecidas e por meio de análise heurística.
- O NG Anti-Malware é uma segunda camada que é baseada na tecnologia de detecção de malware de aprendizado de máquina e usa modelos preditivos para classificar arquivos como benignos, suspeitos ou maliciosos. Esta camada escaneia o arquivo e procura por características que indiquem se o arquivo é malicioso. Esses modelos são capazes de detectar malware desconhecido e de dia zero.
Os motores Anti-Malware e NG Anti-Malware inspecionam conexões sequencialmente, verificando se o tráfego corresponde a uma regra. A regra final na base de regras é uma regra implícita Bloquear Qualquer - Qualquer, então se o tráfego NÃO corresponder a uma regra, o arquivo é escanado automaticamente. As regras finais na base de regras são regras de Bloquear Qualquer - Qualquer para arquivos Maliciosos e Suspeitos; portanto, para o tráfego que NÃO corresponde a uma regra, o arquivo é escanado automaticamente, e arquivos com esses veredictos são bloqueados.
Você pode revisar as configurações de regras padrão na seção Regras Padrão no final da base de regras. Essas configurações de regras não podem ser editadas.
Regras que estão no topo da base de regras têm uma prioridade maior, pois são aplicadas às conexões antes das regras mais abaixo na base de regras. Por exemplo, se uma conexão corresponde à regra #2, a ação é aplicada à conexão, e os motores Anti-Malware ou NG Anti-Malware ignoram as regras #3 e abaixo.
O motor Anti-Malware escaneia cada arquivo baixado em busca de uma assinatura única e compara essa assinatura com um banco de dados de arquivos maliciosos conhecidos. O banco de dados é atualizado a cada 30 minutos com novas assinaturas de arquivos. Este motor também usa análise heurística para examinar o código-fonte e compará-lo a vírus conhecidos. Se o código corresponder ao código de outros vírus, então o arquivo é identificado como malicioso. Esta camada é a proteção principal contra ameaças de malware.
A Cato implementa o motor NG Anti-Malware da SentinelOne para fornecer uma segunda camada de proteção contra ameaças. Este motor utiliza um modelo de IA que detecta ameaças em arquivos executáveis portáteis, PDFs e documentos do Microsoft Office. O modelo de IA é desenvolvido extraindo características de milhões de amostras de malware no repositório de malware. Em seguida, o Aprendizado de Máquina Supervisionado (SML) é usado para identificar e correlacionar diferentes características de arquivos benignos e maliciosos. O motor então usa este modelo para identificar características semelhantes em arquivos desconhecidos, que são classificados como:
- Arquivo Malicioso - Com certeza é malware
- Arquivo suspeito - O arquivo ou comportamento apresenta características associadas a malware, mas não tem confiança suficiente ou dados para classificá-lo definitivamente como benigno ou malicioso.
- Arquivo benigno - Contém características de arquivos seguros e é muito provavelmente não é malware
Nota
Nota: O modelo de IA para o motor NG Anti-Malware permite que ele detecte malware desconhecido. No entanto, é possível que em casos raros este modelo produza um falso positivo e bloqueie um arquivo legítimo. Você pode criar uma exceção e permitir que usuários acessem e baixem o arquivo, veja Configurando a Política Anti-Malware.
Como o motor NG Anti-Malware é baseado em um algoritmo e não usa detecção baseada em assinatura, não requer atualizações de alta frequência. O algoritmo do motor é atualizado a cada poucos meses.
Esta seção explica como os arquivos são simultaneamente escaneados por ambas as camadas de proteção Anti-Malware e NG Anti-Malware ao usar a política padrão.
Quando se utiliza a política padrão, os motores Anti-Malware e NG Anti-Malware escaneiam todos os arquivos baixados ao mesmo tempo e bloqueiam qualquer arquivo que seja classificado como malicioso ou suspeito. Se uma solicitação de download de arquivo for bloqueada, o arquivo é descartado e um evento é gerado. Se um arquivo for bloqueado por ambos os motores, então é possível que dois eventos sejam gerados.
Os motores Anti-Malware e NG Anti-Malware escaneiam o tráfego HTTP, HTTPS e FTP.
Com base na política padrão, quando um usuário final inicia o processo de baixar um arquivo da Internet ou WAN, este é o comportamento de cada motor quando eles escaneiam simultaneamente os arquivos:
-
O motor Anti-Malware escaneia o arquivo e usa assinaturas de arquivos e análise heurística para determinar se o arquivo é Malicioso ou Benigno.
- Se o veredicto for Malicioso, o arquivo é bloqueado, deletado e um evento é gerado. A página de bloqueio é mostrada no navegador de Internet do usuário.
- Se o veredicto for Benigno, o arquivo está potencialmente disponível para download.
-
A camada NG Anti-Malware escaneia o arquivo e usa um modelo de IA para classificar o arquivo como Malicioso, Suspeito ou Benigno.
- Se o arquivo for malicioso ou suspeito, ele é bloqueado, deletado e gera um evento. A página de bloqueio é mostrada no navegador de Internet do usuário.
- Se o veredicto for Benigno, o arquivo está potencialmente disponível para download.
Nota
Nota: Arquivos escaneados são excluídos e não são retidos pela Cato para todos os vereditos.
O arquivo é permitido continuar para o usuário quando ambos os motores têm um veredito de Benigno, então eventos são gerados com veredito limpo.
A verificação unificada de Anti-Malware não cria um atraso perceptível na experiência do usuário. Usuários baixam arquivos limpos imediatamente.
Os motores Anti-Malware e NG Anti-Malware suportam formatos de arquivos específicos. Para mais detalhes, consulte Formatos de Arquivos com Suporte para Proteção Anti-Malware. (Você deve estar logado para visualizar este artigo)
0 comentário
Por favor, entre para comentar.