Как IPS защищает от фишинговых атак

Эта статья объясняет, как Система предотвращения вторжений (IPS) и Межсетевой экран для Интернета в Cato Cloud защищает вашу сеть от фишинговых атак.

Как стек безопасности Cato выявляет фишинг-атаки

Фишинг продолжает оставаться одной из самых опасных угроз для организаций, и фишинговые атаки могут служить начальным вектором внедрения в корпоративную сеть или кражи учетных данных и других частных данных. Сервис IPS и Межсетевой экран для Интернета в Cato Security Stack имеют различные техники для идентификации трафика как фишинговой атаки и блокируют атаку до того, как она попадет в вашу сеть.

IOC, основанные на источниках разведки угроз

Команда безопасности Cato создает защиты IPS и файервола от фишинговых атак на основе Индикаторов компромиссов (IOCs). IOCs накапливаются из различных частных и открытых потоков разведывательной информации о угрозах, содержащих домены, URL и другие данные о известных фишинговых кампаниях. Любой трафик, совпадающий с IOC известной фишинговой кампании, автоматически блокируется движком IPS.

Евристика и алгоритмы, основанные на анализе трафика

Еще один уровень защиты в Cato Security Stack использует эвристики и алгоритмы, основанные на характеристиках фишинговых сайтов. Команда безопасности анализирует все эти данные сети и затем создает защиты, которые могут идентифицировать сайты, являющиеся источниками фишинговых атак. Например, фишинговая кампания может использовать поддельный URL Office365 для обман пользователей в вере в подлинность ссылки. Если пользователь случайно нажмет на вредоносную ссылку Office365, IPS или файервол может заблокировать трафик и предотвратить фишинговую атаку.

Кроме того, IPS включает защиты, которые используют передовые алгоритмы машинного обучения и модели обработки изображений для защиты от последних техник фишинговых атак. Например:

Алгоритмы машинного обучения IPS могут обнаруживать и блокировать атаки, использующие новые домены, созданные с помощью таких техник, как DGA и киберсквоттинг
Модели обработки изображений IPS могут идентифицировать вредоносные сайты, которые используют поддельные значки, а также сайты, использующие значки, графику и другие элементы, идентичные элементам легитимных сайтов

Команда безопасности постоянно анализирует сетевой трафик в Cato Cloud для улучшения эвристик и алгоритмов и повышения способности обнаружения новых фишинговых атак.

Стратегии обнаружения и смягчения последствий

Защита IPS от фишинга использует различные стратегии для обнаружения и смягчения атак, что помогает максимально защититься с возможностью блокирования фишинговых атак на разных стадиях. Вот виды стратегий защиты:

Блокирование доступа - Эти защиты идентифицируют место назначения как фишинговый сайт и блокируют доступ к сайту. Примеры, использующие эту стратегию, включают защиту на основе:
- Источники разведки угроз
- Модели машинного обучения, которые идентифицируют потенциальные фишинг сайты
- Идентификация недавно зарегистрированных доменов
- Евристика, которая выявляет подозрительные домены верхнего уровня
- Евристика, которая выявляет легитимные HTML теги заголовков, отображаемых в неизвестном ресурсе
Блокировка отправки учетных данных — Расширенное обнаружение элементов фишинг-страницы - Эти защиты могут блокировать фишинг-атаку даже после того, как пользователь уже получил доступ к вредоносному сайту, и веб-страница полностью загружена в браузере. Движок использует расширенные евристики для обнаружения легитимных визуальных и функциональных элементов Office 365, которые появляются на страницах, не принадлежащих Microsoft. Злоумышленники все чаще клонируют подлинные активы. Когда обнаруживаются такие несоответствия между доверенными активами бренда и ненадежными доменами, служба IPS вмешивается в критический момент, блокируя отправку учетных данных. Важно, что пользователь не видит страницу блокировки. Вместо этого система молча предотвращает отправку учетных данных с устройства или сеанса браузера. В CMA генерируется соответствующее событие безопасности с именем угрозы: попытка вставить конфиденциальную информацию на фишинг-сайт.
Обнаружение после компрометации — Идентификация отправки учетных данных в веб-формы высокого риска - В некоторых ситуациях пользователи могут получить доступ к подозрительным доменам, которые нельзя однозначно классифицировать как вредоносные, и поэтому они не блокируются немедленно. В этих случаях служба мониторинга подозрительной активности (SAM) предоставляет важный вторичный уровень защиты. SAM постоянно отслеживает взаимодействия пользователей с веб-формами высокого риска или ненадежными, выявляя поведение, указывающее на сбор учетных данных. Если пользователь вводит или отправляет корпоративные учетные данные на таком сайте, SAM генерирует подробные события, которые предупреждают администраторов о потенциальной компрометации, чтобы они могли принять немедленные меры.
Для активации этих обнаружений необходимо включить инспекцию TLS, позволяющую инспектировать зашифрованный трафик для выявления неправильного использования легитимных активов Microsoft на вредоносных страницах. Инспекция TLS также должна быть включена для следующих доменов Microsoft:
- windows.net
- windows.com
- msauthimages.net
- msauth.net
- msftauthimages.net

Просмотр событий для заблокированных фишинговых атак

Вы можете просмотреть События Безопасности в разделе Главная > События и найти в учетной записи фишинговые атаки, которые были заблокированы. Существуют различные подтипы событий для фишинговых атак, заблокированных IPS и файерволом. Для событий IPS тип угрозы может быть классифицирован как Репутация, или как Фишинг.

Это пример события для фишинговой атаки, заблокированной IPS:

Поля события для IPS-фишинговой атаки:
- Тип события - Безопасность
- Подтип события - IPS
- Тип угрозы - Репутация
  - Название угрозы - Сигнатура на основе репутации домена – Фишинг
- Тип угрозы - Фишинг
  - Название угрозы - Имя, которое команда безопасности дает для этой фишинговой атаки
- Поля события для межсетевого экрана для фишинговой атаки:
  - Тип события - Безопасность
  - Подтип события – Межсетевой экран для Интернета
  - Категории - Фишинг
Стратегия смягчения последствий для IPS-фишинга может быть идентифицирована по формату ID подписи в событии, как показано ниже:
- Сигнатуры, блокирующие доступ, имеют префикс: cid_heur_ba_phishing_detection_
- Сигнатуры, блокирующие отправку учетных данных, имеют префикс: cid_heur_bs_phishing_detection_
- Сигнатуры, обнаруживающие отправку учетных данных на рискованные веб-формы, имеют префикс: cid_sam_cs_phishing_detection_ или cid_sam_suspected_phishing_submission_to_risky_web_form

Для получения дополнительной информации, смотрите Анализирование событий безопасности в соответствии с репутацией угроз.

Рассмотрение Историй XDR для фишинговых атак

Рабочая область Историй XDR генерирует истории для потенциальных атак вредоносного ПО, включая фишинг, и предоставляет инструменты для расследования атаки. Ниже приводится пример истории для фишинговой атаки, заблокированной системой предотвращения вторжений. История помогает расследовать атаку, предоставляя такую информацию, как описание атаки, домен и URL, связанные с атакой, и многое другое.

Cato заблокировал фишинговую атаку - что теперь?

Этот раздел содержит предлагаемые дальнейшие шаги, если вы обнаружите, что система предотвращения вторжений или межсетевой экран заблокировали фишинговые атаки для вашего аккаунта.

Определите, какие конечные пользователи в вашей организации стали целью фишинговой атаки.
Поговорите с конечными пользователями и определите, какой тип информации они делились с этим веб-сайтом.
Сообщите конечным пользователям о необходимости выполнить следующие действия:
- Измените их пароли для веб-сайта
- Произведите полное отключение от всех сервисов, связанных с веб-сайтом
Проверьте, представляет ли какая-либо из переданных (или потенциально переданных) данных какой-либо риск.