Эта статья содержит информацию о уровне риска пользователя Cato, о том, как он вычисляется и как его можно использовать для улучшения вашей защитной позиции.
Примечание
Примечание: Пожалуйста, свяжитесь с cato-releases@catonetworks.com, чтобы получить дополнительную информацию о включении и использовании этой функции.
В рамках подхода Cato к универсальному ZTNA и непрерывной оценке и проверке, Cato определяет динамический уровень риска пользователя для каждого пользователя вашей организации, чтобы определить риск, который они представляют.
Уровень риска пользователя помогает улучшить вашу защитную позицию и адаптивные возможности доступа. Уровень риска пользователя основан на различных индикаторах от пользователя для установления базового уровня. Вы можете создать правила в своих различных политиках, чтобы определить доступ к ресурсам на основе этого уровня. Например, создайте правило, которое блокирует трафик к чувствительным ресурсам компании от пользователей с Уровнем риска Высокий или выше.
Вы можете увидеть уровень риска для всех пользователей вашей организации, независимо от того, есть ли у них лицензия SDP или нет. Это дает вам представление об общей защитной позиции. Кроме того, вы можете увидеть все события безопасности, которые связаны с конкретным пользователем, и определить их уровень риска.
Компания ABC работает с приложениями SaaS и, следуя лучшим практикам безопасности, хочет убедиться, что только необходимые люди могут получить доступ к этим приложениям. Кроме того, они хотят убедиться, что никто в авторизованной группе с уровнем риска "Высокий" или выше не может получить доступ к этим приложениям.
Компания создает правило в своем межсетевом экране Интернета для блокировки любого трафика к их SaaS приложениям.
Когда Джон Доу не может получить доступ к приложению SaaS, он обращается в отдел IT, который видит, что его уровень риска высокий. Однако, после изучения событий, которые определили уровень, IT-отдел решает, что он не представляет риска, и сбрасывает уровень, чтобы он мог получить доступ к нужным приложениям.
Компания ABC имеет сервер базы данных, который должен быть доступен из различных офисов. Они хотят убедиться, что он доступен разработчикам, но также необходимо гарантировать безопасность, так как он предоставляет доступ к чувствительным и собственным данным.
Компания создает правило в своем межсетевом экране WAN, чтобы позволить доступ только авторизованным пользователям, уровень риска которых ниже высокого.
Каждая активность пользователя отслеживается и заносится в журнал, используя общий контекст Cato, и пользователям динамически присваивается Уровень риска на основе запатентованного алгоритма, который учитывает ряд различных данных. Уровень риска затем может быть использован в политиках Интернет и WAN, чтобы разрешить доступ только пользователям, которые представляют наименьшие риски. Cato собирает следующие атрибуты:
|
Элемент |
Атрибут |
Примеры |
|---|---|---|
|
1 |
Троянская активность |
Dridex, Peacomm, PeacommBanking |
|
2 |
Банковское вредоносное ПО |
Bancos, Banload, Banker |
|
3 |
Кража информации |
Zeus/Zbot, Agent, Symmi |
|
4 |
Активность закладки |
Различные сигнатуры, сопоставленные с техниками MITRE ATT&CK |
|
5 |
Трафик ботнета |
Mirai, различные сигнатуры C2 |
|
6 |
DNS-туннелирование |
NULL-основанное DNS-туннелирование, TXT-основанное DNS-туннелирование, Настройка DNS-туннеля через DNS2TCP, Канальное DNS-туннелирование |
|
7 |
Световозвращательная активность |
Регулярные проверки управления и контроля |
|
8 |
Множественные соединения с доменами |
Попытки SSH, Загрузка данных, Подключения HTTP |
|
9 |
Вымогательское ПО |
Lockbit, BlackCat, Avos, Quantum |
|
10 |
Поведение шифрования |
Активность шифрования файловой системы |
|
11 |
Доставка вымогательских записок |
Размещение или доставка вымогательских записок |
|
12 |
Связь с майнинговым пулом |
CryptInject, Cryptomineext, Groupfabric Bitcoinminer |
|
13 |
Использование ресурсов |
Аномальное использование системы для майнинга |
|
14 |
Передача данных на подозрительные адреса |
Эксфильтрация информации о системе, Эксфильтрация RaiDrive |
|
15 |
Кража учетных данных |
Fin4, Soaksoakredirect, Novaloader |
|
16 |
Большие передачи данных |
Эксфильтрация данных на Mega, Fewin крадет данные — попытки эксфильтрации, скрытый канал ICMP, несущий данные HTTP |
|
17 |
Эксплуатация уязвимостей CVE |
CVE-2018-0101, CVE-2017-0199, CVE-2021-44228 (Log4Shell) |
|
18 |
Эксплуатация уязвимостей нулевого дня |
Сигнатуры для новых угроз |
|
19 |
Инъекция команд |
SolarView |
|
20 |
Траверсирование каталогов |
TIBCO, траверсирование каталогов в HTTP заголовках |
|
21 |
Попытки загрузки файла |
CVE-2021-3378, CVE-2021-22005, CVE-2021-36440 |
|
22 |
SQL инъекция |
CVE-2020-35848, CVE-2024-43468, CVE-2020-22425 |
|
23 |
Межсайтовый скриптинг и CSRF |
Общий XSS, Внедрение межсайтового скрипта, CVE-2022-41622 |
|
24 |
Зашифрованный фишинг |
Маскировка домена, сократители URL |
|
25 |
Фишинг учетных данных |
Вставка конфиденциальных данных на фишинговые страницы |
|
26 |
Подмена бренда |
Фишинг, связанный с DHL, Киберапланирование PoP сервиса |
|
27 |
Автоматизированные инструменты сканирования |
Nikto, Nessus, OpenVAS |
|
28 |
Таргетированные зонды уязвимостей |
Сканирование, фокусированное на CVE |
|
29 |
Перечисление сети |
Сканирование портов и обнаружение сети |
|
30 |
Связь с известными плохими IP/доменами |
Доступ к домену с низкой репутацией, TOR/прокси |
|
31 |
Электронная почта пользователя |
|
|
32 |
Группа пользователей |
|
|
33 |
Уровень доверия пользователя |
|
|
34 |
Платформа |
|
|
35 |
Страна |
|
|
36 |
Источник подключения |
|
Уровень риска пользователя является важным инструментом для сетевых и охранных команд, позволяющим создавать политики динамического контроля доступа с нулевым доверием для защиты как трафика внутренних приложений, так и интернет-трафика. Он предлагает ценные аналитики о вашей защитной позе, позволяя динамически корректировать вашу стратегию безопасности в ответ на развивающиеся угрозы.
Вы можете создавать политики на основе риска в ваших межсетевых экранах Интернета и WAN для блокировки доступа к вашим приложениям.
Чтобы определить правило на основе риска в ваших файерволах:
-
При настройке ваших политик межсетевого экрана Интернет или WAN добавьте пользователя или группы пользователей, к которым применяется правило.
-
В разделе Устройство правила, под Атрибуты пользователя, нажмите Добавить атрибут.
-
Введите критерии уровня риска для сопоставления с правилом.
-
Определите Действие, которое необходимо выполнить при совпадении правила, и нажмите Сохранить.
Страница Access > Users предоставляет возможность видеть всех пользователей в вашей системе и их уровни риска.
Вы можете фильтровать информацию на странице на основе уровня риска, чтобы легко найти тех, кто потенциально представляет наибольшую угрозу для организации. Значения уровня риска:
-
Критический
-
Высокий
-
Средний
-
Низкий
С этой страницы вы можете выполнять определенные действия на основе уровня риска, такие как отзыв сессии пользователя или сброс уровня риска.
Расследование и мониторинг конкретного пользователя
Чтобы лучше понять, что определяет Уровень риска для пользователя, вы можете нажать на значок Мониторинг, который приведет вас на страницы Мониторинг Пользователей, где вы можете посмотреть События безопасности для пользователя. Уровень риска сгруппирован в следующие категории для упрощения расследования:
- Система предотвращения вторжений (IPS)
- Антивирус
- Подозрительная активность
- Файервол
Отфильтруйте содержимое страницы событий с использованием следующих критериев:
-
Тип события: Безопасность
-
Sub Type: Anti Malware, NG Anti Malware, SAM, IPS, User Risk Event
Получив эту дополнительную информацию, вы можете принять более обоснованное решение о том, как поступить с пользователем и какие действия, если таковые имеются, вам нужно предпринять.
0 комментариев
Войдите в службу, чтобы оставить комментарий.