Предотвращение угроз Cato — это облачная служба безопасности, которая инспектирует трафик WAN и Интернета в Cato Cloud для обнаружения и блокировки вредоносных файлов, вредоносного ПО, атак, основанных на сети, и других угроз безопасности. Предотвращение угроз помогает обезопасить ваш трафик путем предотвращения вредоносного ПО, блокировки вредоносных доменов и назначений, обнаружения попыток эксплуатации и другой атакующей активности, а также остановки угроз до того, как они могут повлиять на пользователей или ресурсы. Вы можете расширить эту защиту с помощью расширенных услуг предотвращения угроз, таких как Изоляция удаленного браузера (RBI), которая изолирует веб-сессии от устройства пользователя, и Тестовая среда, которая сканирует подозрительные файлы в изолированной среде для более глубокого анализа.
Системы безопасности Cato работают вместе в единой облачной службе, чтобы обеспечить более точное обнаружение, более постоянное применение и более сильную защиту на всех этапах жизненного цикла угрозы. Вместо того, чтобы принимать изолированные решения, движки инспектируют один и тот же трафик и строятся на общей аналитике через множество слоев защиты. Эта единая архитектура улучшает координацию между средствами управления безопасностью и помогает остановить угрозы до того, как они могут распространиться или причинить ущерб.
Предотвращение угроз Cato также использует ИИ и машинное обучение как часть инфраструктуры службы, чтобы улучшить интеллектуальную защиту от угроз и укрепить качество обнаружения. Это включает классификацию на основе ИИ, машинный анализ метаданных трафика, защита машинного обучения в IPS от угроз, и проактивный анализ на основе поведения в динамическом предотвращении. Эти возможности вместе усиливают обнаружение в системах защиты и помогают Cato более эффективно выявлять как известные, так и неизвестные угрозы.
Полная инспекция угроз требует инспекции TLS, чтобы можно было анализировать зашифрованный трафик.
Cato расшифровывает, инспектирует и повторно шифрует трафик в реальном времени, чтобы услуги предотвращения угроз и расширенного предотвращения угроз могли анализировать зашифрованный трафик, включая антивирус, IPS и тестовую среду. Это расширяет инспекцию угроз для зашифрованных сессий и позволяет больше трафика оценивать полным набором слоев защиты. Правила детального инспектирования и обхода помогают поддерживать покрытие безопасности при исключении трафика, который не должен инспектироваться.
Поскольку инспекция TLS может влиять на пользовательский опыт на легитимных сайтах, Cato предоставляет конфигурационный мастер инспекции TLS, который помогает вам быстро развертывать рекомендуемые правила инспектирования и обхода, одновременно настраивая политику для вашей среды.
Механизмы предотвращения угроз работают в точках присутствия в Cato Cloud и инспектируют только трафик, который проходит через них. Трафик, обходящий Cato Cloud, такой как трафик MPLS или трафик с сайтов и клиентов, который выходит прямо в общественный Интернет, не инспектируется ни службой предотвращения угроз, ни службами расширенного предотвращения угроз. Этот трафик вне поля зрения встроенной инспекции угроз Cato.
Эти услуги работают вместе, предоставляя многослойную защиту, объединяя обнаружение на основе сигнатур, анализ поведения и машинное обучение для идентификации как известных, так и неизвестных угроз. Поскольку все они работают в Cato Cloud как часть единой архитектуры безопасности, каждый слой добавляет более широкий и более согласованный обзор активности угроз. Централизованное управление в CMA позволяет легко настраивать политики, мониторить события и поддерживать видимость через весь защищенный трафик.
Cato IPS инспектирует входящий, исходящий и трафик WAN, чтобы защитить приложения, устройства и сетевые услуги от известных уязвимостей, ботов, вредоносного трафика и других сетевых атак. Служба включает в себя несколько слоев защиты, таких как анализ репутации, защита от известных уязвимостей, обнаружение ботов, анализ поведения сети, проверка протоколов, географическое ограничение и обнаружение туннельных атак.
Сигнатуры IPS непрерывно обновляются исследованиями безопасности Cato, а политики IPS разрабатываются для баланса между покрытием безопасности и стабильностью работы. IPS может обеспечивать защиту в режиме блокирования или мониторить трафик без блокировки и помогает предотвратить эксплуатацию известных уязвимостей в трафике, проходящем через Cato Cloud.
Служба IPS включает защиту DNS для обеспечения безопасности DNS для трафика в вашем аккаунте. Защита DNS блокирует DNS-запросы к вредоносным доменам до установления соединения с назначением, что помогает остановить такие угрозы, как фишинг, доставка вредоносного ПО и связь командно-контрольного центра на ранних этапах атаки. Блокируя вредоносные запросы на уровне DNS, защита DNS помогает остановить атаки до доставки нагрузки и обеспечивает видимость, поддерживающую более широкие расследования угроз.
Вы можете включить или отключить конкретные защиты DNS и определить действия, такие как разрешение, блокировка или перехват для каждой защиты. Действие перехвата перенаправляет DNS-запросы к вредоносным доменам на сервер перехвата вместо оригинального назначения. Это также помогает идентифицировать исходную конечную точку для запроса, включая среды, использующие внутренние DNS-прокси, и поддерживает обнаружение потенциально зараженных устройств.
Мониторинг подозрительной активности расширяет видимость IPS для подозрительной сетевой активности, которая не мониторится стандартными сигнатурами IPS. SAM идентифицирует активность, которая может указывать на компрометацию или нарушение, но, поскольку трафик не является определенно вредоносным, он мониторит трафик без блокировки.
Связывая события в течение времени, SAM уменьшает шум и дает командам безопасности лучшую видимость на ранние стадии атак. Это помогает выявить угрозы, которые не обнаруживаются сигнатурными контролями IPS. Это добавляет контекст для расследования активности, которая может не вызвать прямое предотвращение, и помогает идентифицировать угрозы, которые только сигнатурные контроли могут упустить.
Антивирус Cato и NG Антивирус обеспечивают два слоя защиты для предотвращения попадания вредоносных файлов в вашу сеть. Оба слоя одновременно сканируют файлы из трафика WAN и интернета.
Антивирус использует известные сигнатуры файлов и эвристический анализ для обнаружения вредоносных файлов. NG Антивирус использует машинное обучение и прогнозирующие модели для классификации файлов как безвредных, подозрительных или вредоносных, и обнаруживает неизвестные и нулевые угрозы. Этот многослойный подход блокирует вымогательское ПО, трояны и другое коммерческое вредоносное ПО без воздействия на пользовательский опыт.
Сервисы расширенного предотвращения угроз обеспечивают дополнительную защиту от сложных угроз, которые могут обойти стандартные контроли предотвращения угроз. Эти услуги расширяют защиту Cato с изолированным просмотром, расширенным анализом файлов и предотвращением на основе поведения, чтобы помочь выявить и остановить сложные методы атак.
RBI является частью политики межсетевого экрана Интернета и защищает пользователей от веб- и браузерных угроз без блокирования доступа к интернету. Вместо того, чтобы отображать веб-контент на устройстве пользователя, RBI проводит сессию просмотра в изолированной среде в Cato Cloud и транслирует безопасное визуальное представление в браузер. Это помогает защитить от угроз, таких как вымогательское ПО, вредоносное ПО, фишинг, вредоносные рекламы и межсайтовое сценарное выполнение (XSS), при этом позволяя пользователям безопасно посещать рискованные или неизвестные вебсайты. RBI расширяет защиту на рискованную активность просмотра без необходимости обхода пользователем средств безопасности.
Динамическое предотвращение — это движок безопасности на основе поведения, который превентивно применяет адаптивные средства контроля в ответ на обнаруженные угрозы, чтобы уменьшить поверхность атаки и смягчить угрозы на ранней стадии, до того как они могут повлиять на ваше окружение. Он анализирует активность с течением времени и в более широком контексте, чем традиционные точечные обнаружения, что помогает выявить подозрительное поведение, которое может использовать легитимные средства или выглядеть безвредным в изоляции. Когда обнаруживается аномальное поведение, динамическое предотвращение может автоматически применять временные средства контроля и постоянно их корректировать или удалять по мере изменения поведения.
Тестовая среда – это изолированная и безопасная среда, где потенциально вредоносные или подозрительные файлы исполняются и анализируются без риска для вашей сети. Это добавляет углубленный анализ для расследования вредоносного ПО, чтобы выявлять неизвестные и уклоняющиеся угрозы. Файлы, идентифицированные политикой антивируса как вредоносные или подозрительные, автоматически сканируются в тестовой среде, и вы также можете загрузить определенные файлы для анализа.
MITRE ATT&CK в формате - это база знаний о тактиках и техниках противника, которая помогает командам безопасности классифицировать и исследовать активность атак. Панель MITRE ATT&CK от Cato предоставляет видимость в активность атак в вашей сети с использованием фреймворка MITRE ATT&CK. Она связывает угрозы, обнаруженные службами безопасности Cato, с тактиками и техниками ATT&CK, помогая командам безопасности понимать, как атаки развиваются по всей цепочке поражения. Панель включает аналитику и визуализации, такие как сводки тактик, разбор техник, хронологии событий и затронутые устройства. Вы можете углубиться в специфические техники или источники для исследования событий безопасности и анализа паттернов атак в вашем окружении. Это помогает связать индивидуальные обнаружения с более широкой историей атаки и дает командам безопасности более ясный обзор того, как угрозы разворачиваются в окружающей среде.
0 комментариев
Войдите в службу, чтобы оставить комментарий.