Эта статья содержит информацию о уровне риска пользователя Cato, о том, как он вычисляется и как его можно использовать для улучшения вашей защитной позиции.
Как часть подхода Cato к универсальному ZTNA, непрерывной оценке и верификации, Cato рассчитывает динамический уровень риска пользователя для каждого из пользователей вашей организации, чтобы определить риск, который они представляют.
Уровень риска пользователя помогает улучшить вашу защитную позицию и адаптивные возможности доступа. Вы можете создать правила в своих различных политиках, чтобы определить доступ к ресурсам на основе этого уровня. Например, создайте правило, которое блокирует трафик к чувствительным ресурсам компании от пользователей с Уровнем риска Высокий или выше.
Вы можете увидеть уровень риска для всех пользователей вашей организации, независимо от того, есть ли у них лицензия SDP или нет. Это дает вам представление об общей защитной позиции. Кроме того, вы можете увидеть все события безопасности, которые связаны с конкретным пользователем, и определить их уровень риска.
Примечание: Чтобы посмотреть уровень риска пользователя, вы должны иметь необходимые разрешения в роли Доступ к облаку Админ.
Компания ABC работает с приложениями SaaS и, следуя лучшим практикам безопасности, хочет убедиться, что только необходимые люди могут получить доступ к этим приложениям. Кроме того, они хотят убедиться, что никто в авторизованной группе с уровнем риска "Высокий" или выше не может получить доступ к этим приложениям.
Компания создает правило в своем межсетевом экране Интернета для блокировки любого трафика к их SaaS приложениям.
Когда Джон Доу не может получить доступ к приложению SaaS, он обращается в отдел IT, который видит, что его уровень риска высокий. Однако, после изучения событий, которые определили уровень, IT-отдел решает, что он не представляет риска, и сбрасывает уровень, чтобы он мог получить доступ к нужным приложениям.
Компания ABC имеет сервер базы данных, который должен быть доступен из различных офисов. Они хотят гарантировать, что оно доступно для разработчиков, но также необходимо обеспечить его безопасность, так как оно предоставляет доступ к чувствительным и собственным данным.
Компания создает правило в своем межсетевом экране WAN, чтобы позволить доступ только авторизованным пользователям, уровень риска которых ниже высокого.
Каждая пользовательская активность контролируется и регистрируется, используя общий контекст Cato, и пользователи динамически получают уровень риска на основе проприетарного алгоритма, который учитывает ряд различных точек данных. Уровень риска может использоваться в политиках Интернета и WAN для предоставления доступа только пользователям с наименьшим риском.
Cato собирает следующие атрибуты.
Атрибуты пользователей, обозначенные как политика, могут использоваться в политиках. Для получения дополнительной информации см. Политика доступа клиента.
|
Элемент |
Атрибут |
Примеры |
|---|---|---|
|
1 |
Троянская активность |
Dridex, Peacomm, PeacommBanking |
|
2 |
Банковское вредоносное ПО |
Bancos, Banload, Banker |
|
3 |
Кража информации |
Zeus/Zbot, Agent, Symmi |
|
4 |
Деятельность Backdoor |
Различные сигнатуры, сопоставленные с техниками MITRE ATT\u0026CK |
|
5 |
Трафик ботнета |
Mirai, различные C2 сигнатуры |
|
6 |
DNS туннелирование |
Множественные DNS обнаружения туннелирования |
|
7 |
Активность маяка |
Регулярные проверки команды и управления |
|
8 |
Множественные доменные коммуникации |
Множественные опасные домены, затем сервер с низкой репутацией |
|
9 |
Коммуникации ransomware |
Активность SMB и внешние коммуникации |
|
10 |
Поведение шифрования |
Активность шифрования файловой системы |
|
11 |
Доставка заметок о выкупе |
Размещение или доставка заметки о выкупе |
|
12 |
Коммуникации пулов майнинга |
CryptInject, Cryptomineext, Groupfabric Bitcoinminer |
|
13 |
Использование ресурсов |
Необычное использование системы для майнинга |
|
14 |
Передача данных в подозрительные назначения |
Эксфильтрация системной информации, эксфильтрация RaiDrive |
|
15 |
Кража учетных данных |
Активность кражи учетных данных и эксфильтрация |
|
16 |
Крупные передачи данных |
Ненормально крупные исходящие передачи |
|
17 |
Эксплуатация CVE |
CVE-2018-0101, CVE-2017-0199, CVE-2021-44228 (Log4Shell) |
|
18 |
Эксплуатация нулевого дня |
Сигнатуры для возникающих угроз |
|
19 |
Внедрение команд |
Обнаружено попыток внедрения команд |
|
20 |
Траверс директории |
Поведение траверса пути |
|
21 |
Попытки загрузки файлов |
Подозрительные загруженные файлы в веб-приложения |
|
22 |
SQL-инъекция |
Попытки атаки SQLi |
|
23 |
Межсайтовый сценарий и CSRF |
Обнаружения XSS и CSRF |
|
24 |
Обфусцированный фишинг |
Обнаружение скрытых тактик фишинга |
|
25 |
Фишинг учетных данных |
Вставка конфиденциальных данных на страницы для фишинга |
|
26 |
Имитирование брендов |
Фишинг, связанный с DHL |
|
27 |
Инструменты автоматизированного сканирования |
Nikto, Nessus, OpenVAS |
|
28 |
Целенаправленные уязвимости зондов |
Сканирование, сфокусированное на CVE |
|
29 |
Перечисление сети |
Сканирование портов и обнаружение сети |
|
30 |
Коммуникации с известными плохими IP/доменами |
Доступ к доменам с низкой репутацией, TOR/прокси |
|
31 |
Электронная почта пользователя |
(политика - см. ниже) |
|
32 |
Группа пользователя |
(политика - см. ниже) |
|
33 |
Уровень доверия пользователя |
(политика - см. ниже) |
|
34 |
Платформа |
(политика - см. ниже) |
|
35 |
Страна |
(политика - см. ниже) |
|
36 |
Происхождение соединения |
(политика - см. ниже) |
|
37 |
Удаленное выполнение через SMB |
PsExec, PAExec, RemCom, CSExec |
|
38 |
Удаленное выполнение WinRM |
Командная оболочка WinRS, PowerShell WinRM |
|
39 |
Исполнение Impacket удаленно |
Impacket PsExec, Impacket SMBExec, Impacket DCOMExec |
|
40 |
Удаленное выполнение WMI |
Выполнение WMI через DCOM |
|
41 |
Манипуляция удаленными сервисами |
Создание сервиса SVCCTL, Запуск сервиса SVCCTL, Удаление сервиса SVCCTL |
|
42 |
Планированные задания удаленно |
schtasks удаленно, выполнение задачи AT через atsvc |
|
43 |
Разведка LDAP |
LDAP запрос доверия, лица, компьютеры, запросы администраторов, групп |
|
44 |
Разведка SAMR / LSARPC |
Поиск админа SAMR, отображение информации SAMR, локальное перечисление администратора SAMR, встроенный администратор LSARPC |
|
45 |
Сканирование мультисервисных портов |
Сканирование FTP, SSH, RDP сервисов с одного источника IP |
|
46 |
Перенос инструмента для учетных данных |
Передача Mimikatz SMB |
|
47 |
Передача наступательного инструмента через SMB |
Netcat, Nmap, ADFind, TDSSKiller, PowerShell скрипты, пакетные скрипты |
|
48 |
Передача инструмента переноса файлов через SMB |
WinSCP, FileZilla, PuTTY, MobaXterm |
|
49 |
Эксфильтрация Rclone |
Rclone SSH, Rclone HTTP, Rclone загрузка |
|
50 |
Эксфильтрация облачного хранилища |
Загрузка MEGA API, облачные услуги с низкой популярностью |
|
51 |
Доступ к Pastebin через бота |
Доступ к содержимому Pastebin без браузера |
|
52 |
FTP до подозрительных мест |
FTP до IP с низкой репутацией, доменов с низкой репутацией, нестандартных портов |
|
53 |
Протокольное туннелирование |
Туннелирование RDP через веб-порты, RDP через TLS на нестандартных портах |
|
54 |
Загрузка RMM-инструмента |
TeamViewer, AnyDesk, ScreenConnect, Splashtop, SimpleHelp, Atera, Zoho Assist |
|
55 |
Активное подключение RMM |
Сессия TeamViewer WAN/входящая, удаленный рабочий стол AnyDesk, ретрансляция Splashtop, SimpleHelp бортовое/UDP |
|
56 |
Передача RMM инструмента через SMB |
Передача AnyDesk SMB, передача Splashtop SMB. |
|
57 |
Подозрительное использование CLI инструмента |
curl / wget до сайтов с низкой репутацией, загрузка бинарного файла curl / wget |
|
58 |
Загрузка комплекта PSTools |
Загрузка PSTools с последующим массовым PsExec (15+ хостов за 10 мин) |
Cato рассматривает множество различных индикаторов для определения рискованного поведения и классифицирует их в 4 категории выше. Эти индикаторы включают:
-
Индикаторы систем, которые уже были скомпрометированы - более 2500 сигнатур, включая:
-
Вредоносное ПО, такое как трояны, финансовое вредоносное ПО и различные техники бэкдора
-
Коммуникации управления и контроля, такие как трафик ботнетов, DNS туннелирование и коммуникации доменов
-
Активность вымогательского ПО, такая как поведение шифрования, доставка заметки от вымогателя и коммуникации вымогателей
-
Криптодобыча, такие как коммуникации пула добычи и использование ресурсов
-
Активности эксфильтрации, такие как передача данных на подозрительные назначения, кража учетных данных и крупные передачи данных
-
-
Индикаторы заблокированных попыток, которые могут привести к инфицированию - более 2300 сигнатур, включая:
-
Попытки удаленного выполнения кода (RCE), такие как эксплуатация CVE, попытки эксплуатации нулевого дня и инъекция команд
-
Атаки на веб-приложения, такие как траверс каталогов, попытки загрузки файлов и XSS/CSRF
-
Активности фишинга, такие как фишинг учетных данных и имитация бренда
-
Сканирование уязвимостей, такие как использование автоматизированных инструментов сканирования и перечисление сети
-
-
Нарушения политики и рискованные активности, которые потенциально могут привести к компрометации - более 1500 сигнатур, включая:
-
Попытки латерального передвижения, такие как использование psexec, WinRM, и удаленный доступ PowerShell
-
Раскрытие информации, такие как утечка конфиденциальных данных, утечки сообщений об ошибках и листинги каталогов
-
Индикаторы на основе репутации, такие как использование TOR или прокси, доступ к подозрительным доменам и связь с известными плохими IP-адресами
-
Блокировать события, вызванные движком безопасности на основе поведения в Dynamic Prevention. Для получения дополнительной информации см. Что такое Dynamic Prevention?
-
Уровень риска пользователя является важным инструментом для сетевых и охранных команд, позволяющим создавать политики динамического контроля доступа с нулевым доверием для защиты как трафика внутренних приложений, так и интернет-трафика. Это предоставляет ценные данные по вашей позиции риска, позволяя вам динамически корректировать стратегии безопасности в ответ на развивающиеся угрозы.
Вы можете создавать политики на основе риска в ваших межсетевых экранах Интернета и WAN для блокировки доступа к вашим приложениям.
Чтобы определить правило на основе риска в ваших файерволах:
-
Настраивая ваши Интернет или WAN политики файервола, добавьте Пользователя или Группы пользователей, к которым применяется правило.
-
В разделе Устройство правила, в категории Атрибуты пользователя, нажмите Добавить атрибут.
-
Введеите критерии уровня риска для соответствия правилу.
-
Определите Действие, которое будет выполняться при соответствии правила и нажмите Сохранить.
Страница Access > Users предоставляет возможность видеть всех пользователей в вашей системе и их уровни риска.
Вы можете фильтровать информацию на странице на основе уровня риска, чтобы легко найти тех, кто потенциально представляет наибольшую угрозу для организации. Значения уровня риска:
-
Критический
-
Высокий
-
Средний
-
Низкий
С этой страницы вы можете выполнять определенные действия на основе уровня риска, такие как отзыв сессии пользователя или сброс уровня риска.
Чтобы лучше понимать, что определяет уровень риска для пользователя, вы можете нажать на отдельного пользователя и перейти на страницу Риск пользователя, где отображается их панель оценки риска. Используйте панель оценки риска пользователя, чтобы расследовать положение риска конкретного пользователя и принять немедленные меры по устранению. Панель помогает вам понять, как изменяется риск пользователя со временем, что способствует этому риску и какие события безопасности связаны, чтобы вы могли быстро перейти от расследования к устранению. Вы обращаетесь к панели управления через Справочник пользователей.
Чтобы посмотреть информацию о конкретных пользователей, вы должны иметь необходимые разрешения, указанные в роли Доступ к облаку Админ:
-
Нет – вы не можете получить доступ к панели управления оценки риска пользователя
-
Просмотр – вы можете просматривать панель управления оценки риска, но не можете выполнять действия
-
Редактировать – у вас есть полные разрешения для просмотра панели управления оценки риска и для выполнения действий, таких как отзыв сессии или сброс оценки риска.
Используйте просмотры панели управления, чтобы расследовать, почему изменился оценка риска пользователя и что этому способствует. Изучите риск во времени, чтобы выявить пики и тенденции оценки, участников риска, чтобы увидеть факторы, активно влияющие на текущую оценку, связанные с безопасностью события, чтобы просмотреть события безопасности, связанные с пользователем, и события изменения оценки, чтобы увидеть конкретные события, внесшие вклад в изменения оценки, для каждого из следующих:
-
IPS
-
Антивирус
-
Подозрительная активность
-
Файервол
-
Динамическая защита
Вы можете нажать на любую из ссылок в данном разделе, например, Просмотреть все события IPS, чтобы перейти на страницу событий, которая затем фильтруется по пользователю и типу события.
0 комментариев
Войдите в службу, чтобы оставить комментарий.