Эта статья описывает управляемую услугу по анализу угроз Cato, которая включена в лицензию на предотвращение угроз.
Для получения дополнительной информации о покупке лицензии на предотвращение угроз, свяжитесь с вашим представителем Cato.
Анализ угроз - это процесс сбора и анализа информации о потенциальных или существующих угрозах активам, системам или операциям организации. Вы можете использовать эту информацию, чтобы помочь идентифицировать и оценить риски, прогнозировать угрозы и разрабатывать стратегии для предотвращения или смягчения потенциальных атак.
Cato предлагает управляемую услугу оперативного анализа угроз, которая представляет собой индивидуальное кибербезопасное решение для обеспечения потоков данных анализа угроз для таких IOC, как IP-адреса, домены и URL. Наши эксперты по кибербезопасности тщательно анализируют и мониторят эти потоки для обеспечения их точности, а затем внедряют их в сервисы безопасности Cato, такие как IPS и XDR. Например, многие сигнатуры угроз IPS Cato предназначены для блокировки трафика, который соответствует IOC в потоках данных анализа угроз. Обширные знания и ресурсы Cato для управления анализом угроз обеспечивают следующие преимущества:
-
Экспертиза и ресурсы
Cato располагает специализированными экспертами по безопасности и внутренней системой анализа угроз, оснащенной передовыми механизмами, обеспечивающими комплексные решения по анализу угроз. Это позволяет организациям использовать экспертизу и инфраструктуру Cato без необходимости внутренних инвестиций в создание и поддержку таких возможностей.
-
Отзывчивость и своевременность
Cato предоставляет возможности мониторинга, смягчения рисков и анализа в реальном времени, обеспечивая клиентам немедленные уведомления об активных угрозах, обнаруженных через его функциональность анализа угроз. Это гарантирует, что организации остаются в курсе возникающих угроз и имеют возможность проактивно снижать риски.
-
Владение и контроль
Cato берет на себя ответственность и владение платформой анализа угроз клиента. Это включает в себя осведомленность о трендах в области кибербезопасности, различных группах атакующих и IOC через многочисленные источники информации. Кроме того, Cato выполняет постоянное обслуживание существующей платформы и проводит регулярные, всесторонние проверки данных.
-
Стоимость и масштабируемость
Модель Cato позволяет организациям получать выгоду от более широкого спектра источников информации об угрозах с постоянным улучшением и развитием модуля Cato. Cato постоянно добавляет новые функции, которые включаются в пакет без дополнительных затрат.
С 2024 года Cato обрабатывает примерно 250 различных источников информации об угрозах, содержащих около 20 миллионов IOC. Поскольку потоки данных из открытых сообществ и коммерческих поставщиков сильно различаются по качеству, они часто содержат ложные срабатывания. Слишком много ложных срабатываний приводят к ненужным оповещениям, загромождающим команды безопасности, мешая им обнаруживать реальные угрозы. Ложные срабатывания также нарушают работу бизнеса, мешая пользователям получать доступ к легитимным ресурсам. Управляемая услуга Cato улучшает результаты бизнеса, постоянно оценивая потоки данных анализа угроз и устраняя ложные срабатывания. В среднем, Cato идентифицирует 10% IOC как ложные срабатывания. Это означает, что после процесса оценки и устранения около 18 миллионов оставшихся IOC развертываются в службах безопасности в облаке Cato для обеспечения защиты всех клиентов. Цикл развертывания новых данных об анализе угроз в облако Cato занимает около 3 часов от начала до конца.
Следующая иллюстрация резюмирует цикл развертывания новых данных анализа угроз:
Этот раздел описывает различные методы, которые Cato использует для оценки и усовершенствования потоков данных анализа угроз.
Процесс оценки потока данных Cato следует внутреннему протоколу, чтобы оценить качество потока и обеспечить плавную интеграцию. Под руководством аналитика безопасности, это включает в себя ручное обследование каждого потока для обеспечения его высокого качества и уменьшения числа ложных срабатываний. Процесс включает проверку надежности источника потока, его настройку в системе внутреннего анализа угроз, а также тщательную проверку IOC с использованием адаптированных фильтров для увеличения истинных срабатываний и минимизации ложных.
Cato использует огромные объемы информации, собранной из трафика в нашей сети, для улучшения своей угрозовой разведки. Алгоритмы машинного обучения могут работать с данными в хранилище данных Cato, которое построено на основе метаданных потоков трафика через Cato Cloud. Это некоторые из способов использования этих данных для лучшей угрозовой разведки:
-
Модели популярности для оценки частоты и значимости угроз - Эти модели помогают нам оценивать актуальность угроз на основе того, как часто они встречаются у клиентов. Модели популярности присваивают угрозам оценки риска, указывающие их частоту. Более высокая оценка указывает на большую вероятность реальной угрозы. Для создания моделей популярности мы собираем данные о трафике в Интернете и изучаем взаимодействие клиентов с веб-сайтами и IP-адресами. Оценка популярности отражает уровень интереса к цели в нашей сети.
-
Оценка сигнатур угроз IPS - Мы постоянно оцениваем точность сигнатур IPS на основе данных, полученных из клиентских сред, где были обнаружены сигнатуры. Этот цикл обратной связи уточняет наш мониторинг и улучшает качество IPS без участия клиента.
Сложная модель ИИ оценивает каждый IOC и присваивает ему оценку классификации. Cato хранит IOCs в базе данных для сбора связанных данных о репутации и использует ИИ для непрерывного обновления оценки классификации. Эта оценка определяет, блокирует ли IPS IOC и помечается ли он как вредоносный в историях XDR. Эти записи в базе данных поддерживаются в долгосрочной перспективе, а данные улучшаются на основе множества внешних источников и наших собственных потоков угрозовой разведки.
Для получения более подробной информации об угрозовой разведке Cato, см. следующие статьи:
0 комментариев
Статья закрыта для комментариев.