Помимо файервола и фильтрации URL Кейто, существуют дополнительные службы безопасности: Антивирус и Система предотвращения вторжений (IPS). Обе службы могут быть включены мгновенно и практически не требуют конфигурации. Эти службы предоставляют дополнительный уровень защиты для трафика WAN, интернет-трафика или обоих одновременно.
-
Вкратце, антивирусная защита будет обнаруживать и блокировать вредоносные файлы. Можно рассматривать как антивирусный шлюз в облаке.
-
IPS, с другой стороны, будет обнаруживать и блокировать использование уязвимостей хоста. Например, если пользователь использует непатченную версию Windows (без последних обновлений безопасности), удаленный сервер может воспользоваться определенной уязвимостью хоста и выполнить вредоносный код на рабочей станции. IPS обычно рассматривается как сервер "виртуальных патчей". Чаще всего IT сталкивается с трудностью, чтобы все хосты имели последние обновления безопасности и патчи. IPS — это немедленное решение для новых уязвимостей.
Настоятельно рекомендуется включить антивирус и службу IPS. Пользователь не испытывает задержки из-за обработки антивирусом. Когда обнаруживается вредоносный файл, доступ пользователя будет заблокирован, и пользователь будет перенаправлен на страницу блокировки.
Нет причин не включать эти службы. Команда безопасности Кейто всегда поддерживает базу данных защиты от вредоносных программ в актуальном состоянии на основе глобальных баз данных угроз для обеспечения эффективной защиты от текущих угроз.
В рамках лучших практик для включения служб антивируса и IPS рекомендуется следующий рабочий процесс:
-
Включите антивирус и IPS в режиме Мониторинг для обоих трафиков, WAN и интернет. В режиме Мониторинг вредоносный трафик только регистрируется и не блокируется.
-
При необходимости вы можете настроить отслеживание для получения оповещения по электронной почте, когда будет обнаружено вредоносное ПО (но не заблокируется, потому что оно находится в режиме Мониторинг).
-
В течение нескольких дней просмотрите события AM и IPS и постепенно переключите службы в режим блокировки.
Примечание
Примечание: для максимальных результатов обнаружения необходимо включить инспекцию TLS.
Инспекция TLS позволяет движкам безопасности анализировать зашифрованный трафик, который может содержать вредоносные файлы или код. Включение инспекции TLS — это последний шаг в активации антивируса и IPS. Руководство по включению инспекции TLS и рекомендации по распространению сертификата Кейто с использованием GPO можно найти здесь.
Ниже представлено пошаговое руководство по настройке служб безопасности и анализу результатов.
-
В панели навигации нажмите Безопасность > Антивирус.
-
Нажмите левый слайдер, чтобы включить (зеленый) или отключить (серый) Антивирус для учетной записи.
-
Нажмите правый слайдер, чтобы включить (зеленый) или отключить (серый) движок NG Антивирус.
Теперь антивирусные движки включены. Следующий шаг — настроить настройки защиты от вредоносных программ.
Для каждой антивирусной правила щелкните в столбце Действие и выберите один из следующих вариантов:
-
Блокировать - Предотвратить продолжение вредоносного файла к его адресу. При необходимости перенаправляет пользователя на специальную веб-страницу блокировки.
-
Разрешить - Позволить вредоносному файлу продолжить к его адресу.
Чтобы мониторить без блокировки, установите правило на Разрешить, а в разделе Отслеживание включите опцию Событие. Это создаст журналы событий, которые вы можете просматривать на странице событий (Домашняя > События). Вы также можете Отправить уведомления, активируемые типом трафика. В случае инцидента безопасности (обнаружение вредоносного ПО) уведомление будет отправлено предопределённым группам подписок, спискам рассылки и интеграциям оповещений. Для получения дополнительной информации о этих типах уведомлений, обратитесь к соответствующей статье в разделе Оповещения.
-
В области навигации нажмите Безопасность > IPS.
-
Щелкните ползунок IPS для включения (зеленый) или отключения (серый) защиты IPS для аккаунта.
Подобно движку AM, теперь активируйте защиту IPS для WAN-трафика, входящего трафика и исходящего трафика. WAN будет рассматриваться как любой вид трафика между сетевыми элементами, подключенными к Cato (сайты и пользователи). Входящая защита применяется к трафику, поступающему из Интернета и перенаправляемому на внутренние хосты с использованием Удаленной переадресации портов. Исходящий трафик - это любой вид трафика, исходящий из внутренних хостов в Интернет - обычный просмотр Интернета.
Как упоминалось выше, как только услуги безопасности включены, движок безопасности определяет, какой трафик фактически обнаруживается и потенциально блокируется.
Страница Событий (Главная > События) отображает данные о событиях, которые произошли на любых или всех сайтах и пользователях в течение определённого периода.
Чтобы отфильтровать только события Антивируса, в раскрывающемся меню Выбрать пресет, выберите Антивирус.
Чтобы отфильтровать только события IPS, в раскрывающемся меню Выбрать пресет, выберите IPS.
Прокрутите вниз, и вы найдете события. Для каждого события вы можете развернуть, чтобы получить больше информации.
* Если Антивирус и/или IPS отсутствуют, это означает, что события не были созданы. В этом случае, вы можете фильтровать более широкий временной интервал.
Как только Антивирус и IPS включены, вы можете тестировать их, пытаясь скачать вредоносные файлы. См. Рекомендуемые сайты для тестирования Антивируса и IPS
-
Поток сетевого трафика инспектируется Брандмауэром WAN - администраторы безопасности могут разрешать или блокировать трафик между организационными сущностями, такими как сайты, пользователи, хосты, подсети и более. По умолчанию, Брандмауэр WAN от Cato следует подходу с белым списком, содержащим имплицитное правило блокировки любое-любое.
-
Межсетевой экран Интернета - администраторы безопасности могут устанавливать правила разрешения или блокирования между сетевыми сущностями, такими как сайты, отдельные пользователи, подсети и более, для различных приложений, услуг и веб-сайтов. По умолчанию, Межсетевой экран Интернета от Cato следует подходу с черным списком, содержащим имплицитное правило разрешения любое-любое. Таким образом, чтобы заблокировать доступ, вы должны определить правила, которые явно блокируют соединения от одной или нескольких сетевых сущностей к приложениям.
-
Фильтрация URL - улучшение Межсетевого экрана Интернета. Из коробки, Cato предоставляет предопределённую политику десятков различных категорий URL, включая категории, ориентированные на безопасность, такие как Подозрительный спам и Подозрительное вредоносное ПО. Хотя Межсетевой экран Интернета предоставляет статическую защиту от доступа к интернет-приложениям, фильтрация URL завершает интернет-безопасность динамическими защитами.
-
Антивирус - может считаться антивирусным шлюзом в облаке. Клиенты могут использовать эту услугу для проверки как WAN, так и интернет-трафика на наличие вредоносных программ. Процессинг Антивируса включает следующее:
-
Глубокая инспекция пакетов полезной нагрузки трафика для чистого и зашифрованного трафика (если разрешено).
-
Обнаружение истинного типа файла используется для идентификации реального типа файла, проходящего по сети, независимо от его расширения или заголовка типа содержимого.
-
Обнаружение вредоносных программ с использованием базы данных подписей и эвристики, которая всегда обновляется на основе глобальных баз данных разведки угроз для обеспечения эффективной защиты от текущих угроз. Cato НЕ делится никакими файлами или данными с облачными репозиториями, чтобы обеспечить конфиденциальность данных клиентов.
-
-
IPS - Облачная система предотвращения проникновений в сеть (IPS) от Кейто инспектирует входящий, исходящий и WAN трафик, включая SSL трафик. IPS может работать в режиме мониторинга (IDS) без выполнения действия блокировки. В режиме IDS весь трафик оценивается и генерируются события безопасности.
0 комментариев
Войдите в службу, чтобы оставить комментарий.