Como o Cato Cloud Protege Sua Conta de Extensões do Chrome Suspeitas

Este artigo explica como o serviço de segurança IPS protege sua rede de extensões suspeitas e maliciosas para o navegador Chrome.

Como o Serviço IPS da Cato Identifica Extensões do Chrome Suspeitas

As extensões do Chrome oferecem aos usuários diversos recursos e funcionalidades, no entanto, as organizações enfrentam o desafio de proteger contra atacantes que exploram extensões do Chrome normalmente confiáveis por meio de uma variedade de vetores de ataque. O serviço Anti-Malware não pode distinguir entre extensões benignas e maliciosas, deixando as organizações vulneráveis a ataques. O serviço IPS da Cato oferece cobertura para essas vulnerabilidades de rede por meio de técnicas avançadas que identificam extensões potencialmente maliciosas, oferecendo proteção única e valiosa para sua organização.

Pré-requisitos

As proteções para extensões do Chrome estão incluídas na licença IPS. Para mais informações sobre a compra da licença IPS, entre em contato com seu representante da Cato
O serviço IPS deve estar habilitado e configurado para a ação Bloquear para a funcionalidade de proteção de extensões do Chrome

Ajuste Fino dos Feeds de Inteligência de Ameaças

Extensões do Chrome maliciosas podem abusar de seu nível de permissão no host infectado para distribuir malware e comprometer o host. Isso expõe toda a rede a ameaças como ransomware, vazamento de dados, exaustão de recursos, entre outras. O serviço IPS utiliza técnicas inovadoras para manter, desenvolver e ajustar finamente os feeds de inteligência de ameaças para possibilitar a identificação de atividades suspeitas associadas a extensões do Chrome.

Bloqueando Ameaças de Extensões do Chrome

Uma vez que o serviço IPS detecta que um host está conectado ao Cato Cloud e está usando uma extensão do Chrome suspeita, o serviço bloqueia a conexão HTTP/S nesse fluxo de rede. Isso impede o host de usar a extensão suspeita e bloqueia a conectividade com a extensão para evitar que receba atualizações, envie dados, entre outros.

Nota

Nota: Extensões suspeitas e maliciosas são apenas bloqueadas de acordo com as Configurações de Escopo de Proteção do IPS. Por exemplo, se o escopo de Tráfego WAN estiver configurado para Monitorar ou Permitir, então esse escopo não será protegido de extensões do Chrome maliciosas.

Revisando Eventos de Extensões do Chrome Bloqueadas

Você pode revisar eventos de Segurança em Inicial > Eventos e encontrar os eventos de bloqueio do IPS relacionados às extensões do Chrome.

Este é um exemplo de um evento para uma extensão do Chrome bloqueada:

Esses são os campos de eventos IPS para um evento de extensão do Chrome suspeita:

Tipo de Evento - Segurança
Subtipo de Evento - IPS
MITRE ATT&CK® Técnicas - Interprete de Comando e Script (T1059)
Tipo de Ameaça - PuP
Nome da Ameaça - Extensão do Chrome de Baixo Nível de Confiança

Estes são exemplos de ID de Assinatura para um evento de extensão do Chrome:

feed_suspicous_chrome_ext_low_popu
feed_suspicous_chrome_ext_high_popu
feed_risky_chrome_ext_in_webstore
feed_risky_chrome_ext_in_webstore_no_intersect

Para mais informações sobre logs de eventos, consulte Analisando Eventos na Sua Rede.

Cato Bloqueou uma Extensão do Chrome - E Agora?

Após Cato bloquear uma extensão do Chrome, recomendamos que o gerente de TI inspecione todas as extensões do Chrome em uso e remova qualquer uma que seja desconhecida. Além disso, como extensões do Chrome maliciosas podem infectar extensões legítimas para explorar suas permissões, a melhor prática é remover todas as extensões existentes do navegador e redefinir o Chrome para as configurações padrão.