Как Cato Cloud защищает ваш Аккаунт от фишинговых атак

Эта статья объясняет, как Система предотвращения вторжений (IPS) и Межсетевой экран для Интернета в Cato Cloud защищает вашу сеть от фишинговых атак.

Как Cato Security Stack идентифицирует фишинговые атаки

Фишинг продолжает оставаться одной из самых опасных угроз для организаций, и фишинговые атаки могут служить начальным вектором внедрения в корпоративную сеть или кражи учетных данных и других частных данных. Сервис IPS и Межсетевой экран для Интернета в Cato Security Stack имеют различные техники для идентификации трафика как фишинговой атаки и блокируют атаку до того, как она попадет в вашу сеть.

IOCs на основе потоков разведывательной информации о угрозах

Команда безопасности Cato создает защиты IPS и файервола от фишинговых атак на основе Индикаторов компромиссов (IOCs). IOCs накапливаются из различных частных и открытых потоков разведывательной информации о угрозах, содержащих домены, URL и другие данные о известных фишинговых кампаниях. Любой трафик, совпадающий с IOC известной фишинговой кампании, автоматически блокируется движком IPS.

Эвристики и алгоритмы на основе анализа трафика

Еще один уровень защиты в Cato Security Stack использует эвристики и алгоритмы, основанные на характеристиках фишинговых сайтов. Команда безопасности анализирует все эти данные сети и затем создает защиты, которые могут идентифицировать сайты, являющиеся источниками фишинговых атак. Например, фишинговая кампания может использовать поддельный URL Office365 для обман пользователей в вере в подлинность ссылки. Если пользователь случайно нажмет на вредоносную ссылку Office365, IPS или файервол может заблокировать трафик и предотвратить фишинговую атаку.

Кроме того, IPS включает защиты, которые используют передовые алгоритмы машинного обучения и модели обработки изображений для защиты от последних техник фишинговых атак. Например:

  • Алгоритмы машинного обучения IPS могут обнаружить и заблокировать атаки, использующие новые домены, созданные с помощью таких техник, как DGA и киберсквоттинг

  • Модели обработки изображений IPS могут идентифицировать вредоносные сайты, использующие поддельные значки, а также сайты, использующие значки, графику и другие элементы, идентичные элементам легитимных сайтов

Команда безопасности постоянно анализирует сетевой трафик в Cato Cloud для улучшения эвристик и алгоритмов и повышения способности обнаружения новых фишинговых атак.

Стратегии обнаружения и смягчения последствий

Защита IPS от фишинга использует различные стратегии для обнаружения и смягчения атак, что помогает максимально защититься с возможностью блокирования фишинговых атак на разных стадиях. Вот виды стратегий защиты:

  • Блокирование доступа - Эти защиты идентифицируют место назначения как фишинговый сайт и блокируют доступ к сайту. Примеры, использующие эту стратегию, включают защиту на основе:

    • Потоки разведывательной информации об угрозах

    • Модели машинного обучения, которые идентифицируют потенциальные фишинговые сайты

    • Идентификация недавно зарегистрированных доменов

    • Эвристики, которые идентифицируют подозрительные домены верхнего уровня

    • Эвристики, которые обнаруживают легитимные HTML-теги заголовков, отображаемые в неизвестном ресурсе

  • Блокирование отправки учетных данных - Эти защиты могут блокировать фишинговую атаку даже после того, как пользователь перешел на сайт и сайт отобразился в браузере. Защиты используют эвристики для обнаружения легитимных элементов веб-страницы, отображаемых на вредоносном сайте. Например, легитимный логотип Office365 на сайте, который не принадлежит Microsoft. Сервис IPS саботирует фишинговую атаку путем блокировки возможности пользователя отправить учетные данные.

  • Пост-компромиссное обнаружение: Идентификация отправки учетных данных в рискованных веб-формах - Иногда пользователь может зайти на подозрительные сайты, которые не блокируются, так как они не являются определенно вредоносными. Сервис Мониторинг подозрительной активности (SAM) может идентифицировать, когда пользователь отправляет учетные данные на таких рискованных сайтах, и создавать события, которые предупреждают администратора о потенциальной угрозе.

Просмотр событий для заблокированных фишинговых атак

Вы можете просмотреть События Безопасности в разделе Главная > События и найти в учетной записи фишинговые атаки, которые были заблокированы. Существуют различные подтипы событий для фишинговых атак, заблокированных IPS и файерволом. Для событий IPS тип угрозы может быть классифицирован как Репутация, или как Фишинг.

Это пример события для фишинговой атаки, заблокированной IPS:

PhishingEvent.png

  • Поля события для IPS-фишинговой атаки:

    • Тип события - Безопасность

    • Подтип события - IPS

    • Тип угрозы - Репутация

      • Название угрозы - Сигнатура на основе репутации домена – Фишинг

    • Тип угрозы - Фишинг

      • Название угрозы - Имя, которое команда безопасности дает для этой фишинговой атаки

    • Поля события для межсетевого экрана для фишинговой атаки:

      • Тип события - Безопасность

      • Подтип события – Межсетевой экран для Интернета

      • Категории - Фишинг

  • Стратегия смягчения последствий для IPS-фишинга может быть идентифицирована по формату ID подписи в событии, как показано ниже:

    • Сигнатуры, блокирующие доступ, имеют префикс: cid_heur_ba_phishing_detection_

    • Сигнатуры, блокирующие отправку учетных данных, имеют префикс: cid_heur_bs_phishing_detection_

    • Сигнатуры, обнаруживающие отправку учетных данных на рискованные веб-формы, имеют префикс: cid_sam_cs_phishing_detection_ или cid_sam_suspected_phishing_submission_to_risky_web_form

Для получения дополнительной информации, смотрите Анализирование событий безопасности в соответствии с репутацией угроз.

Рассмотрение Историй XDR для фишинговых атак

Рабочая область Историй XDR генерирует истории для потенциальных атак вредоносного ПО, включая фишинг, и предоставляет инструменты для расследования атаки. Ниже приводится пример истории для фишинговой атаки, заблокированной системой предотвращения вторжений. История помогает расследовать атаку, предоставляя такую информацию, как описание атаки, домен и URL, связанные с атакой, и многое другое.

XDR_Phishing_Story.png

Cato заблокировал фишинговую атаку - что теперь?

Этот раздел содержит предлагаемые дальнейшие шаги, если вы обнаружите, что система предотвращения вторжений или межсетевой экран заблокировали фишинговые атаки для вашего аккаунта.

  1. Определите, какие конечные пользователи в вашей организации стали целью фишинговой атаки.

  2. Поговорите с конечными пользователями и определите, какой тип информации они делились с этим веб-сайтом.

  3. Сообщите конечным пользователям о необходимости выполнить следующие действия:

    • Измените их пароли для веб-сайта

    • Произведите полное отключение от всех сервисов, связанных с веб-сайтом

  4. Проверьте, представляет ли какая-либо из переданных (или потенциально переданных) данных какой-либо риск.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

0 комментариев