Лучшие практики для реализации предотвращения угроз Cato

Обзор сервисов безопасности Cato

Облачное решение Cato включает мощные сервисы безопасности, которые легко настраиваются и помогают защитить вашу сеть. Эта статья объясняет рекомендации и лучшие практики для различных сервисов Предотвращения Угроз.

Облачное решение Cato имеет два уровня защиты для вашего аккаунта:

  • Уровень доступа - включает файерволы для WAN и Интернет трафика

  • Уровень безопасности - включает сервисы Предотвращения Угроз Cato: Антивирусная защита, NG Антивирус и Система предотвращения вторжений (IPS)

Облачное решение Cato применяет правила в файерволах, чтобы определить, разрешен или заблокирован трафик. Кроме того, сервисы Предотвращения Угроз анализируют трафик на наличие вредоносного ПО, сетевых уязвимостей, вредоносной сетевой активности и других угроз.

Уровень доступа

Каждый поток сети проверяется файерволом WAN и Интернет. Файервол WAN позволяет разрещывать или блокировать трафик между организационными сущностями, такими как сайты, пользователи, хосты, подсети и многое другое. Файервол Интернета позволяет контролировать доступ к веб-сайтам и веб-приложениям.

По умолчанию, файервол WAN Cato использует подход белого списка и разрешает только трафик, который явно определен правилом файервола, и блокирует весь неидентифицированный трафик. Файервол Интернета контролирует исходящий трафик в Интернет и использует подход черного списка. Последнее правило файервола Интернета — это скрытое правило всё-всё разрешить, поэтому нужно определить правила для явной блокировки соединений с Интернетом.

Сразу после установки, Cato имеет множество предопределенных категорий, содержащих десятки сервисов и приложений, чтобы помочь управлять сетевым трафиком. Эти категории регулярно обновляются командой безопасности Cato.

По умолчанию Интернет файервол включает правило, которое блокирует потенциально опасные категории трафика. Мы настоятельно рекомендуем не отключать это правило и обеспечивать наивысший уровень безопасности для вашей сети.

Уровень безопасности

Уровень безопасности Cato имеет несколько движков, которые анализируют трафик WAN и Интернет на наличие вредоносного ПО и рисков безопасности.

  1. Антивирус - это антивирусный шлюз в облаке и включает следующее:

    • Глубокая инспекция пакетов полезной нагрузки трафика для открытого и зашифрованного трафика (если включена Инспекция TLS).

    • Определение истинного типа файла определяет фактический тип файла, передаваемого по сети, независимо от его расширения файла или заголовка типа содержимого.

    • Обнаружение вредоносного ПО с использованием базы данных сигнатур и эвристики, которая всегда актуальна, основываясь на глобальных базах данных угроз, для защиты от известных текущих угроз. Cato не делится файлами или данными с облачными хранилищами, чтобы гарантировать конфиденциальность данных клиентов.

  2. NG Антивирус реализует движок SentinelOne, который использует модель ИИ для выявления угроз в переносимых исполняемых файлах, PDF и документах Office. Модель ИИ разрабатывается путем извлечения признаков из миллионов образцов вредоносного ПО в репозитории вредоносного ПО. Затем используется контролируемое машинное обучение для идентификации и корреляции различных признаков безвредных и вредоносных файлов. NG Антивирус может предсказывать и предотвращать неизвестные вредоносные программы и вирусы.

  3. Cистема предотвращения вторжений (IPS) - облачная система предотвращения сетевых вторжений Cato (IPS) инспектирует входящий, исходящий и WAN трафик, включая TLS трафик (если включена Инспекция TLS). IPS также может работать в режиме мониторинга (IDS) и не блокирует трафик. В режиме IDS оценивается весь трафик и генерируются события безопасности.

Лучшие практики для включения предотвращения угроз

Мы настоятельно рекомендуем включить сервисы Предотвращения Угроз для вашего аккаунта. Конечные пользователи не испытывают никакой задержки из-за обработки антивируса и IPS. Когда обнаружен вредоносный файл, доступ пользователя блокируется, и он перенаправляется на страницу блокировки.

Команда безопасности Cato постоянно поддерживает актуальность базы данных Предотвращения Угроз, основываясь на глобальных базах данных об угрозах, чтобы обеспечить эффективную защиту от текущих угроз.

Следующий рабочий процесс является наилучшей практикой для включения сервисов Предотвращения Угроз:

  1. Включите политики Предотвращения Угроз в режиме Мониторинг для всего трафика. В режиме Мониторинг вредоносный трафик только регистрируется и не блокируется.

  2. При необходимости вы можете настроить опцию Отслеживание, чтобы отправлять Оповещения по Электронной почте при обнаружении Вредоносного ПО (в режиме Мониторинг нет оповещений для заблокированного трафика).

  3. Через несколько дней ознакомьтесь с событиями Предотвращения Угроз и постепенно переключите политики в режим Блокировки.

  4. Включить инспекцию TLS, чтобы движки Предотвращения угроз могли анализировать зашифрованный трафик.

Примечание

Примечание: Для достижения максимальных результатов обнаружения инспекция TLS должна быть включена. Инспекция TLS позволяет движкам безопасности анализировать зашифрованный трафик, который может содержать вредоносные файлы или код. Включение инспекции TLS является последним шагом при включении Антивирусной защиты и политику IPS.

Связанные статьи

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев