本文描述了Cato的托管威胁情报服务,该服务包含在威胁防护许可证中。
有关购买威胁防护许可证的更多信息,请联系您的Cato代表。
Cato提供托管操作威胁情报服务,这是一个量身定制的网络安全解决方案,提供IP地址、域名和网址等IOC的威胁情报馈送。 我们的网络安全专家仔细分析和监控这些来源以确保其准确性,然后在Cato安全服务中部署它们,例如IPS和XDR。 例如,许多Cato IPS威胁签名旨在阻止与威胁情报馈送中的IOC匹配的流量。 Cato在威胁情报管理方面的丰富经验和资源提供了以下优势:
-
专业知识和资源
Cato拥有专业的安全专家和内部威胁情报系统,配备了高级机制,提供全面的威胁情报解决方案。 这使得组织可以利用Cato的专业知识和基础设施,而无需进行内部投资以建立和维护这些能力。
-
响应能力和及时性
Cato提供实时监控、缓解和分析功能,通过其威胁情报功能向客户提供即时通知,以检测到的活跃威胁。 这确保了组织能够及时了解新兴威胁,并能主动减轻风险。
-
所有权和控制
Cato承担客户威胁情报平台的责任和所有权。 这涉及通过各种情报来源保持对网络安全趋势、不同攻击者群组和IOC的了解。 此外,Cato持续维护现有平台,并定期全面审查数据。
-
成本和可扩展性
Cato的模型使组织能够受益于更广泛的威胁情报来源,并持续改进和增强Cato模块。 Cato不断添加新功能,这些功能作为套餐的一部分包含在内,无需额外费用。
截至2024年,Cato摄取大约250种不同的威胁情报来源,包含约2000万个IOC。 由于来自开源社区和商业供应商的流在质量上差异很大,它们经常包含误报。 误报太多会导致不必要的警报,使安全团队不堪重负,无法发现真实威胁。 误报还会干扰业务操作,阻止用户访问合法资源。 Cato的托管服务通过持续评估威胁情报馈送并消除误报来改善业务结果。 平均而言,Cato将10%的IOC识别为误报。 这意味着,经过评估和排除过程后,约有1800万个剩余的IOC被部署到Cato云中的安全服务中,以保护所有客户。 这些新的威胁情报内容的部署周期大约需要3小时。
下图总结了新威胁情报内容的部署周期:
本节描述了Cato评估和完善威胁情报馈送的不同方法。
Cato的推送评估过程遵循内部协议,以评估推送质量并促进无缝集成。 由安全分析师领导,这需要对每个推送进行手动检查,以确保高质量并减少误报发生率。 该过程涉及验证推送来源的可靠性,在内部威胁情报系统中进行配置,并细致检查IOC,同时使用定制过滤器以增加确实阳性并减少误报。
Cato利用从我们网络上的流量中收集的大量信息来改进威胁情报。 可以针对从Cato云中的流量流构建的元数据的Cato数据仓库运行机器学习算法。 这些是这些数据用于更好地进行威胁情报的方法:
-
以评估威胁频率和重要性的普及模型 - 这些模型帮助我们根据客户遭遇的频率来衡量威胁的相关性。 普及模型为威胁分配分数,指示其频率。 更高的分数表明实际威胁的可能性更高。 为了建立普及模型,我们收集互联网流量数据,并检查客户与网站和IP地址的互动。 普及分数反映了我们网络中对一个目标的兴趣水平。
-
IPS威胁签名的评估 - 我们不断根据从客户环境中检索的数据来衡量IPS签名的准确性。 这个反馈循环精炼了我们的监控并改进了IPS质量,无需客户输入。
一个复杂的AI模型对每个IOC进行评估并赋予其分类评分。 Cato将IOC存储在数据库中以收集相关声誉数据,并使用AI来持续更新分类评分。 这个风险分数决定了IPS是否会阻止一个IOC,以及它是否在XDR 事件中被标记为恶意。 这些数据库条目长期维护,并根据许多外部来源和我们自己的威胁情报馈送来增强数据。
0 条评论
文章评论已关闭。