Динамическая профилактика — это основанный на поведении движок безопасности, который предвосхитительно применяет динамические средства управления в ответ на обнаруженные угрозы, чтобы уменьшить поверхность атаки и устранить угрозы на ранних этапах, прежде чем произойдет какой-либо эффект.
В отличие от статических правил или сигнатур, Динамическая профилактика использует видимость трафика во всей сети Cato, чтобы непрерывно обучаться, что является нормальным поведением в вашей сети. Она создает поведенческую базу для каждой сущности, представляя типичные модели использования и ожидаемую активность.
Когда обнаружено ненормальное поведение, Динамическая профилактика автоматически применяет временные, динамические средства управления. Эти адаптивные динамические средства управления блокируют доступ к открытым сервисам, действиям или путям доступа, чтобы уменьшить потенциальную поверхность атаки. Эти средства управления обеспечивают выполнение мер по устранению основанных на тщательном анализе и исследовании нескольких сценариев нарушений командой исследований Cato.
Динамическая профилактика постоянно переоценивает поведение с течением времени и автоматически приспосабливает или удаляет наложенные средства управления, когда поведение изменяется. Это позволяет раннему нарушению активности атаки, уменьшает открытую поверхность атаки и минимизирует необходимость ручного вмешательства, сохраняя полную видимость и административный контроль.
Для предоставления более полного обзора рискованного поведения пользователей блокировать события, инициированные основанным на поведении движком безопасности Dynamic Prevention, которые включены в оценку риска пользователя. Для получения дополнительной информации смотрите Понимание уровня риска пользователя.
Динамическая профилактика требует лицензии на расширенную защиту от угроз.
Использование - Блокировка обнаружения и управления командно-контрольной связью после компрометации через фишинг
Сотрудник в компании ABC стал жертвой фишинговой атаки, которая скомпрометировала его конечную точку. Вскоре после компрометации, злоумышленник начал попытки обнаружения и картирования сети с использованием легитимных инструментов. Это легитимное действие ранее никогда не наблюдалось на этом устройстве. Динамическая защита немедленно обнаружила это поведение как отклонение с высоким риском от установленного базового уровня, выявив его как вредоносную разведку.
В ответ движок Динамической защиты применяет адаптивный контроль безопасности, предотвращая загрузку и выполнение AnyDesk. Злоумышленник пытался использовать этот файл для удаленного доступа и управления C2. При автоматическом применении этого контроля, Динамическая защита остановила атаку на ранней стадии. Это предотвратило внешний контроль, остановило дальнейшую доставку полезной нагрузки и устранило риск латерального перемещения.
С помощью Динамической защиты компания ABC автоматически нейтрализует угрозы после фишинга без ручного вмешательства, значительно снижая площадь атаки и укрепляя общую безопасность.
Динамическая защита непрерывно анализирует активность в вашем окружении, чтобы выявлять и останавливать подозрительное поведение, используя следующий четырехшаговый процесс:
- Создайте базовую линию сущности: Динамическая защита непрерывно мониторит сетевую активность по времени для установления нормального профиля поведения для каждой сущности. Сущность может быть хостом, таким как ноутбук или сервер.
- Обнаружение отклонений: Динамическая защита собирает сигналы в реальном времени из множества движков безопасности, включая встроенные и внеполосные сервисы, такие как Антивирус, IPS и DLP. Она также анализирует долгосрочные инсайты из массива данных Cato, который агрегирует все события безопасности. Эти сигналы сравниваются с поведенческой базовой линией для выявления аномальной активности. Даже действия, которые кажутся безобидными, могут быть отмечены, если они значительно отклоняются от нормального поведения.
- Динамические Контроли: Чтобы сократить площадь атаки, когда обнаружено подозрительное поведение, Динамическая защита автоматически применяет соответствующий контроль.
- Блокировать Вредоносные Действия: Если проводится вредоносное действие, оно блокируется в реальном времени для предотвращения угроз.
- Адаптировать Динамические Контроли: Динамическая защита непрерывно переоценивает поведение сущностей и динамически корректирует или удаляет применяемые контроли по мере изменения уровня риска.
Многие современные атаки состоят из последовательности низкосигнальных действий, которые выглядят легитимными изолированно, но указывают на вредоносное намерение при корреляции во времени. В то время как традиционные движки безопасности эффективно реализуют политику и блокируют известные угрозы на конкретных этапах жизненного цикла атаки, они, как правило, действуют в рамках кратковременных оценочных контекстов. Обнаружение этих угроз требует корреляции трафика, событий безопасности и поведения сущностей через расширенные временные окна, что в противном случае требует сложной настройки политики, ручной настройки базового уровня и глубокого понимания нормальных шаблонов доступа в организации.
Динамическая защита добавляет адаптивный уровень предотвращения, коррелирующий сигналы в течение длительных временных промежутков и из нескольких источников данных. Анализируя потоки трафика, события и поведенческие шаблоны вместе, она выявляет продвинутые угрозы, которые появляются только когда действия рассматриваются как часть более широкой последовательности, а не как отдельные инциденты.
Когда Динамическая защита обнаруживает подозрительное поведение, она автоматически применяет градуированное, контекстное исполнение для остановки прогрессии угрозы в реальном времени. Эти адаптивные ограничения вводятся немедленно — без необходимости в пользовательских правилах или ручном вмешательстве — и постоянно корректируются на основе обновленной оценки риска.
Совместно существующие движки безопасности предоставляют точную защиту на уровне событий, в то время как Динамическая защита осуществляет долгосрочное обнаружение в контексте и автоматическую реакцию. Это сочетание позволяет предотвратить сложные атаки, обходящие традиционные контроли, без увеличения сложности настройки или операционных накладных расходов.
0 комментариев
Статья закрыта для комментариев.