Как облако Cato защищает вашу учетную запись от подозрительных расширений Chrome

Эта статья объясняет, как служба безопасности IPS защищает вашу сеть от подозрительных и злонамеренных расширений для браузера Chrome.

Как служба IPS Cato идентифицирует подозрительные расширения Chrome

Расширения Chrome предоставляют пользователям множество функций и возможностей, однако организации сталкиваются с задачей защиты от атакующих, которые используют обычно доверенные расширения Chrome через различные векторы атак. Антивирусная защита не может отличить безвредные расширения от вредоносных, оставляя организации уязвимыми для атак. Система предотвращения вторжений Cato предоставляет покрытие для этих уязвимостей сети с помощью передовых техник, которые идентифицируют потенциально вредоносные расширения, и предлагают уникальную и ценную защиту для вашей организации.

Предварительные условия

Защита для расширений Chrome включена в лицензию IPS. Для получения информации о приобретении лицензии IPS, пожалуйста, свяжитесь с вашим представителем Cato
Сервис IPS должен быть включен и настроен на действие Блокировать для функциональности защиты расширений Chrome

Тонкая настройка каналов с разведданными об угрозах

Вредоносные расширения Chrome могут злоупотреблять уровнем разрешений на инфицированном хосте, чтобы загружать вредоносное ПО и компрометировать хост Это подвергает всю сеть угрозам, таким как вымогательское ПО, утечки данных, истощение ресурсов и так далее Служба IPS использует инновационные техники для поддержания, разработки и тонкой регулировки каналов с разведданными об угрозах, чтобы идентифицировать подозрительную активность, связанную с расширениями Chrome.

Блокировка угроз от расширений Chrome

Когда служба IPS обнаруживает, что хост подключен к облаку Cato и использует подозрительное расширение Chrome, служба блокирует HTTP/S соединение в этом сетевом потоке. Это останавливает хост от использования подозрительного расширения и блокирует подключение к расширению, чтобы предотвратить его обновление, отправку данных и так далее.

Примечание

Примечание: Подозрительные и вредоносные расширения блокируются только в соответствии с настройками области защиты системы предотвращения вторжений. Например, если область Трафик WAN установлена на Мониторинг или Разрешить, то эта область не будет защищена от вредоносных расширений Chrome.

Обзор событий для заблокированных расширений Chrome

Вы можете просмотреть события безопасности в Домашняя > События и найти события блокировки IPS, связанные с расширениями Chrome.

Это пример события для заблокированного расширения Chrome:

Это поля событий IPS для события подозрительного расширения Chrome:

Тип события - Безопасность
Подтип события - система предотвращения вторжений
MITRE ATT&CK® Техники - Интерпретатор команд и сценариев (T1059)
Тип угрозы - PuP
Имя угрозы - Расширение Chrome с низким уровнем доверия

Это примеры ID подписи для события расширения Chrome:

feed_suspicous_chrome_ext_low_popu
feed_suspicous_chrome_ext_high_popu
feed_risky_chrome_ext_in_webstore
feed_risky_chrome_ext_in_webstore_no_intersect

Для получения дополнительной информации о журналах событий, смотрите Analyzing Events in Your Network

Cato заблокировал расширение Chrome - что теперь делать?

После блокировки расширения Chrome компанией Cato мы рекомендуем IT-менеджеру проверить все используемые расширения Chrome и удалить те, которые незнакомы. Кроме того, поскольку вредоносные расширения Chrome могут заражать легитимные расширения для использования их разрешений, лучший способ — это удалить все существующие расширения браузера и сбросить настройки Chrome до стандартных.