Что такое Защита от фишинга Cato?

Обзор

Фишинг остаётся одной из основных причин компрометации учётных данных и доставки вредоносных программ, даже в организациях, которые используют расширенные средства защиты электронной почты и браузера. Злоумышленники продолжают развивать свои техники, чтобы обходить средства безопасности и злоупотреблять доверием пользователей.

Cato предоставляет комплексные уровни услуг безопасности, включая веб, облачные и Защита сети с нулевым доверием (ZTNA), для обнаружения и блокировки попыток фишинга, минимизации воздействия на пользователей и помощи в быстром наличии и устранении атак.

Вы управляете и визуализируете все обнаружения, политики и события, связанные с фишингом, в Приложении Управления Cato (CMA). Единый интерфейс коррелирует данные из таких служб, как Межсетевой экран Интернета, IPS, Защита DNS, Изоляция удаленного браузера (RBI), Брокер безопасности облачного доступа (CASB) и ZTNA. Этот консолидированный вид упрощает расследование фишинга и реакцию, позволяя вам просматривать инциденты, анализировать активность и обновлять политики без переключения между инструментами.

Например, если IPS или Защита DNS блокируют фишинговый домен, XOps сразу же отображает соответствующее событие как часть истории фишинга. Вы можете затем отслеживать атаку по различным службам и применять обновленные политики, все в рамках CMA.

Что такое фишинговые атаки?

Фишинговые атаки являются одним из наиболее эффективных методов компрометации пользователей и проникновения в организации. Атакующие используют обманные домены, фальшивые страницы входа и социальную инженерию для получения учётных данных или доставки вредоносных программ, часто выдавая себя за надёжные бренды или облачные сервисы. Эти кампании часто включают в себя фальшивые электронные письма или мошеннические веб-сайты, которые выглядят как законные компании, такие как Microsoft, AWS или Apple, обманывая пользователей вводить свои данные входа или одобрять вредоносные запросы.

Современные фишинговые кампании всё чаще эксплуатируют облачные и платформы совместной работы, что затрудняет обнаружение и блокировку вредоносной активности традиционными инструментами безопасности. Злоумышленники быстро адаптируются, используя автоматизацию и шифрование, чтобы уклоняться от обнаружения и скрывать общение с командно-контрольной инфраструктурой.

Проблемы обнаружения фишинга

Фишинговые кампании продолжают развиваться, злоупотребляя надёжными брендами и облачными сервисами. Общие проблемы обнаружения включают:

  • Недавно зарегистрированные домены (NRDs): Злоумышленники быстро регистрируют и отменяют домены, чтобы уклоняться от систем репутации

  • Злоупотребление SaaS: Вредоносный контент размещен на легитимных платформах совместной работы или хранения

  • Шифрование TLS: Скрывает фишинговые полезные нагрузки и URL в зашифрованном трафике

  • Фрагментированная видимость: Раздельные точечные продукты усложняют корреляцию обнаружений и понимание полного потока атаки

Обнаружение и предотвращение фишинга

Cato инспектирует весь трафик WAN, Интернета и удаленного доступа в строке на каждом PoP. Обнаружение и блокировка фишинга осуществляется через конвергентные службы безопасности, работающие параллельно в едином стеке.

Основные защиты включены в обычный сервис Cato. Защита от угроз, Расширенная защита от угроз, CASB и XOps требуют отдельной лицензии.

Основные защиты

  • Межсетевой экран Интернета: Использует фильтрацию URL, основанную на категории и репутации, постоянно обновляемую несколькими источниками информации об угрозах, чтобы блокировать доступ к известным или предполагаемым фишинговым доменам. Вы можете определять и импортировать пользовательские индикаторы компрометации (IoCs) для улучшения покрытия обнаружения для целевых или новых фишинговых кампаний

  • ZTNA (Доступ к сети с нулевым доверием): Применяет доступ с минимальными привилегиями к внутренним и облачным приложениям через управления, основанные на идентичности. Функции ZTNA включают проверку идентичности, проверку соответствия устройств и всегда включенное подключение, которое гарантирует, что все сеансы аутентифицированы и инспектированы в реальном времени

  • Инспекция TLS: Расшифровывает и повторно шифрует HTTPS сеансы на PoP, позволяя инспекцию зашифрованных URL, форм и скриптов для выявления и блокировки фишинговых страниц, скрытых в TLS-трафике

Связанные статьи: 

Предотвращение угроз

  • IPS и Защита DNS: Обнаружение и блокировка фишинговых кампаний с использованием IoCs, эвристического анализа и AI/ML моделей, которые идентифицируют рискованные или обманные домены и клонированные страницы входа. Защита DNS блокирует запросы DNS до установления соединения с вредоносным сервером — предотвращая любое рукопожатие TCP или UDP

Связанные статьи: 

Примеры: Киберсквоттинг и фишинговые наборы

  • Киберсквоттинг: Cato защищает от доменов, умышленно созданных, чтобы напоминать легитимные бренды или услуги, которые обманывают пользователей вводить свои учётные данные. Узнайте больше в этом блоге: Cato Networks добавляет защиту от опасностей киберсквоттинга

  • Фишинговые наборы: IPS также идентифицирует активность, связанную с фишинговыми наборами — предварительно упакованными инструментами, используемыми злоумышленниками для автоматизации создания фальшивых страниц входа и кражи учётных данных. Узнайте больше в этом блоге: Противодействие скрытым фишинговым наборам: глубокий анализ Cato Networks и защита в реальном времени

Расширенная защита от угроз (ATP)

  • RBI (Изоляция удаленного браузера): Выполняет сеансы просмотра для ненадёжных или неизвестных сайтов в безопасном облачном контейнере. Предотвращает отправку учётных данных и исполнение скриптов, защищая пользователей, которые посещают подозрительные сайты, уклоняющиеся от других уровней защиты

Связанные статьи: 

CASB - Контроль приложений

CASB Cato обеспечивает видимость и контроль над SaaS и облачными приложениями, помогая выявлять риски фишинга и предотвращать компрометацию учётных записей.

  • Контроль приложений: Использует встроенные средства управления для применения политик для санкционированных приложений SaaS и контролирует активность несанкционированных приложений через интеграции API. CASB помогает выявлять риски, связанные с фишингом, такие как поддельные файлы, вредоносные ссылки или несанкционированные разрешения OAuth в облачных инструментах сотрудничества

  • Контроль приложений через API: Обеспечивает видимость и управление трафиком вне полосы, контролируя активности пользователей в санкционированных приложениях SaaS, даже когда трафик не проходит через Cato Cloud

Связанные статьи: 

Пример: Жизнь в облаке

CASB Cato помогает защищать от фишинговых кампаний, которые приводят к установлению вредоносного ПО соединений с командно-контрольными серверами, размещёнными на легитимных облачных платформах, таких как Google Drive или Trello, техника известная как Жизнь в облаке. Эти службы часто разрешены по умолчанию во многих организациях и могут избегать традиционных защит от фишинга, которые полагаются на фильтрацию URL или репутацию IP.

  • Ограничения арендатора: Применяйте ограничения арендатора для блокировки доступа к несанкционированным или личным экземплярам облачных приложений, обеспечивая доступность только корпоративных аккаунтов.

  • Контроль уровня активности: Вводите контроль для блокировки высокорисковых действий, таких как загрузка файлов или доступ к облачным сервисам через несанкционированных клиентов, предотвращая использование надежных облачных сервисов для вывода данных или выдачи удаленных команд скомпрометированным системам

  • Для получения более подробной информации, смотрите это видео

XOps 

XOps — это расширенная аналитическая и корреляционная служба инцидентов Cato. Она объединяет данные всех движков безопасности для выявления, приоритизации и контекстуализации инцидентов, связанных с фишингом. Представляя эту информацию в виде коррелированных историй и поведенческой аналитики, XOps позволяет вам более эффективно обнаруживать, расследовать и устранять фишинговую активность в CMA.

  • Истории безопасности: Коррелируйте обнаружения фишинга в единые повествования для анализа

    Вы также можете предпринять шаги по прямому смягчению фишинговой угрозы изнутри истории, например, отзыва сессии для удаленных пользователей или добавления цели в контейнер, который блокируется правилом брандмауэра

  • UEBA: Обнаруживает аномальные шаблоны входа или латеральное перемещение после попытки фишинга, помогая выявлять скомпрометированные аккаунты и сдерживать активность после атаки

Связанные статьи: 

Идентификация и поведения защиты

Возможности идентификации и поведения Cato укрепляют устойчивость к фишингу, ограничивая воздействие и снижая влияние кражи учётных данных. Эти функции обеспечивают проверку пользователей, соответствие устройства и минимальный доступ, чтобы гарантировать, что только аутентифицированные, безопасные пользователи могут подключаться к корпоративным ресурсам.

Осведомленность Пользователя

Фреймворк Осведомленности Пользователя Cato связывает всю активность на платформе с верифицированными идентификаторами пользователей. Политики доступа, основанные на идентификации, и видимость в CMA позволяют отслеживать активность, связанную с фишингом, к конкретным аккаунтам и применять целевую сегментацию для изоляции.

Для получения дополнительной информации, ознакомьтесь с этой статьей Осведомленность Пользователя

Аутентификация и контроль доступа

Фишинговые атаки часто полагаются на украденные учётные данные. Cato снижает этот риск через интеграции с поставщиками идентификационных данных для Единого входа (SSO) и Многофакторной аутентификации (MFA). Политики доступа динамически применяются на PoP на основе идентификатора пользователя, состояния устройства и контекста, чтобы предотвратить повторное использование учётных данных и латеральное перемещение.

Для получения дополнительной информации, см. Единый вход в IdP

Проверка соответствия устройства и валидация состояния

Cato проверяет, что только соответствующие и управляемые устройства могут подключаться к корпоративным ресурсам. Перед предоставлением доступа платформа проверяет состояние устройства (программное обеспечение безопасности, ОС, конфигурация) и блокирует несоответствующие конечные точки, чтобы гарантировать, что потенциально скомпрометированные устройства не могут быть использованы в фишинговых кампаниях.

Для получения более подробной информации смотрите Политика подключения клиента (Состояние устройства).

Расследование активности фишинга

CMA предоставляет единую видимость активности, связанной с фишингом, агрегируя обнаружения из всех движков безопасности Cato, включая Межсетевой экран Интернета, IPS, Защиту DNS, RBI, удалённый доступ и Мониторинг подозрительной активности (SAM). CMA использует облачную масштабируемую разведку Cato для постоянного улучшения точности обнаружения фишинга и выявления новых поведенческих атак.

Расследование событий

Вы можете расследовать события, связанные с фишингом, в CMA, используя контекстные фильтры, такие как пользователь, приложение и сайт, чтобы идентифицировать связанные обнаружения. Поиск на естественном языке и отчёты с возможностью детализации предоставляют быстрый доступ к событиям, связанным с фишингом.

Основные панели и отчёты включают Панель управления безопасностью, Панель приложений, Отчёты о действиях пользователей и Отчёты об угрозах, в которых акцентируется внимание на фишинговых доменах, повторных отправках учётных данных и рискованной активности пользователей.

Расследование с XOps

XOps предоставляет расширенные возможности корреляции и аналитики инцидентов, которые упрощают расследования фишинга. Он агрегирует обнаружения из нескольких двигателей безопасности, включая IPS, Защиту DNS, RBI и SAM, коррелируя их в единые Истории Безопасности, которые показывают полную последовательность фишинга. Похожие инциденты подчеркивают связанные атаки, и сводки, созданные AI, ускоряют сортировку. Интеграция с такими инструментами, как SentinelOne, Microsoft Defender и CrowdStrike, расширяет контекст до конечных точек для единого расследования. Для получения дополнительной информации см. XOps Security Playbook - Атака с использованием фишинговых веб-сайтов.

Мониторинг подозрительной активности (SAM)

SAM улучшает обнаружение фишинга и расследование, выявляя поведения сети, которые могут указывать на новые угрозы или неправильное использование, связанное с фишинговыми кампаниями. Он обнаруживает образцы трафика, которые соответствуют сигнатурам, созданным командой исследований безопасности Cato, выявляя активность, отклоняющуюся от ожидаемого пользовательского или прикладного поведения. Например, SAM может отмечать повторные отправки учетных данных на неизвестные домены, подозрительные исходящие запросы после попытки фишинга или трафик, соответствующий командной и управляющей связи.

Для получения дополнительной информации см. Monitoring Suspicious Activity with IPS (SAM).

Снизить риск фишинга на протяжении жизненного цикла атаки

Cato смягчает фишинговые атаки на каждом этапе жизненного цикла атаки — от начальных попыток доступа до активности после компрометации — путем корреляции обнаружений между своими движками безопасности. Этот подход к жизненному циклу гарантирует, что угрозы блокируются в реальном времени и отслеживаются, контекстуализируются и сдерживаются через интегрированную видимость и автоматизацию в CMA и XOps.

Блокировать доступ

Встроенные двигатели проверки Cato проактивно предотвращают подключение пользователей к фишинговой инфраструктуре, снижая риск до завершения сеанса.

  • Межсетевой экран Интернета и Защита DNS: блокирует доступ к рисковым или подозрительным доменам

  • IPS: блокирует доступ к известным фишинговым сайтам и инфраструктуре сбора учетных данных

Блокировать отправку учетных данных

Cato предотвращает отправку пользователями учетных данных на фишинговые сайты, которые обходят фильтры репутации доменов или URL.

  • IPS: обнаруживает шаблоны ввода учетных данных и структуры фишинговых страниц в реальном времени

  • RBI: изолирует веб-сессии в защищенном контейнере, предотвращая ввод данных или взаимодействие с фишинговыми формами и скриптами

Обнаружить активность после компрометации

Cato обеспечивает видимость необычной активности, которая может указывать на успешный фишинг или неправильное использование учетных данных, помогая вам быстро выявлять и сдерживать потенциальные компрометации.

  • SAM генерирует события, когда фиксирует повторные отправки учетных данных, аномальные исходящие соединения или поведение, соответствующее командной и управляющей связи.

    Например, если сложная фишинговая атака прошла мимо других защит, мониторинг событий SAM может помочь выявить зараженный хост.

Коррелировать фишинговые события с XOps

Сервис XOps объединяет данные, связанные с фишингом, из нескольких двигателей безопасности в единый вид для расследования.

  • Истории Безопасности: соединяет события из IPS, Защиты DNS, RBI и SAM в хронологический рассказ атаки

  • Анализ на базе AI: выделяет коренные причины, затронутых пользователей и последующие действия

  • Похожие инциденты: выявить повторяющиеся кампании, нацеленные на одну и ту же организацию или пользователей

Управлять ответом на фишинг и операциями

Cato упрощает ответ на фишинг и операционные рабочие процессы, централизуя расследование, сдерживание и координацию между движками безопасности в CMA с XOps. Этот унифицированный подход позволяет эффективно управлять инцидентами, ускорять устранение и снижать общий эффект от фишинговых атак.

Действия в ответ на инциденты

Вы можете сдерживать фишинговые инциденты напрямую из CMA, чтобы сократить время реакции и минимизировать воздействие неправильного использования учетных данных или компрометированных учетных записей.

  • Контроль пользователей и сессий: изолировать затронутых пользователей и блокировать дальнейший доступ

    • Удаленные пользователи: отзывать учетные данные для пользователей, подключенных через клиент Cato, чтобы предотвратить продолжающийся доступ из компрометированных учетных записей

    • Пользователи за сайтом: отключить затронутых пользователей и создать правила WAN и Межсетевого экрана Интернета, которые блокируют конкретного пользователя как источник трафика (требуется осведомленность пользователя)

  • Применение политики: обновлять политики межсетевого экрана WAN и Интернета в реальном времени, чтобы блокировать связь с новыми идентифицированными фишинговыми доменами или IP-адресами

  • Кроссплатформенная интеграция: интеграция с инструментами защиты конечных точек, такими как SentinelOne, Microsoft Defender, CrowdStrike и Защита конечных точек Cato (EPP)

    • Данные из этих инструментов EPP включены в контекст событий CMA, позволяя вам просматривать обнаружения конечных точек вместе с событиями сетевой безопасности Cato

  • Корреляция XOps: Истории безопасности XOps включают данные обнаружения и реакции конечных точек (EDR), обеспечивая коррелированную видимость через уровни сети и конечных точек

Связанные статьи: 

Операционные рабочие процессы

CMA оптимизирует операции по безопасности, автоматизируя задачи управления оповещениями, расследованиями и отчетностью.

  • Централизованные Оповещения: просматривать, фильтровать и приоритизировать фишинговые оповещения из всех двигателей безопасности в одном месте

  • Интеграции Уведомлений: отправлять автоматизированные оповещения на платформы для совместной работы, такие как Slack, ServiceNow или электронная почта, чтобы ускорить эскалацию и отслеживание

  • Обзоры Событий: просматривать фишинговые события, включая обнаружения SAM и IPS, чтобы выявлять тенденции и улучшать точность

  • Отчеты, включая данные о фишинге: генерировать отчеты, которые суммируют активность, связанную с фишингом, такие как Отчет о событиях безопасности, Отчет о расследованиях XOps и Отчет о обнаружениях XOps, для поддержки оперативной видимости и отчетности для руководства

Связанные статьи: 

Дополнительные защиты

Дополнительные защиты Cato работают вместе с защитами от фишинга, чтобы обеспечить полную безопасность для данных, конечных точек и подключенных устройств. Эти услуги защищают от потери данных, заражения вредоносными программами и эксплуатации IoT, которые могут произойти во время или после фишинговой атаки. Каждая защита требует отдельной лицензии.

  • DLP: помогает предотвратить попытки эксфильтрации данных, которые могут последовать за фишинговой атакой

  • Cato EPP: обнаруживает и блокирует вредоносные программы или другие полезные нагрузки, доставляемые через фишинговые векторы

  • Безопасность IoT: защищает управляемые IoT-активы и выявляет неуправляемые устройства, которые могут быть использованы после компрометации фишингом

DLP

Движок DLP от Cato защищает конфиденциальную информацию от эксфильтрации после попытки фишинга. Для получения дополнительной информации см. Что такое DLP-сервис Cato?.

  • Встроенное Применение DLP: инспектирует весь трафик на наличие конфиденциальной информации и блокирует несанкционированные передачи за пределы организации

  • Мониторинг Вне Полосы: использует API-коннекторы для мониторинга активности данных и обмена в санкционированных SaaS-приложениях, даже когда трафик не проходит через облако Cato

  • Видимость: предоставляет данные о событиях в CMA для обзора и аудита нарушения политик обработки данных

Защита Cato для конечных точек (Cato EPP)

Защита конечных точек Cato (EPP) защищает конечные точки, обнаруживая и блокируя вредоносные программы и полезные нагрузки, доставленные через фишинг, без зависимости от проверки трафика PoP. Это обеспечивает непрерывную защиту, даже когда устройства работают за пределами облака Cato. Для получения дополнительной информации о решении EPP от Cato, см. Начало работы с Защитой конечных точек Cato (EPP).

  • Предотвращение Локальных Угроз: обнаруживает и блокирует вредоносные файлы, скрипты и полезные нагрузки до их выполнения

  • Поведенческий Анализ: выявляет подозрительные процессы и активность, подобную вымогательной, исходящую из фишинговых атак

  • Интеграция CMA: отправляет оповещения конечных точек и телеметрию в CMA для централизованной видимости, позволяя исследовать вредоносные программы, связанные с фишингом, наряду с данными о сети и идентификации

Безопасность IoT и OT

  • Обнаружение устройств: автоматически выявляет все IoT и OT устройства, подключенные к сети

  • Поведенческий Мониторинг: обнаруживает аномальные схемы коммуникации, такие как попытки устройств связаться с фишингово-контролируемыми или командными и управляющими доменами

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев