了解用户风险级别

本文提供有关Cato用户风险级别的信息,包括其计算方法以及如何实施以提升安全姿态。

概览

作为 Cato 采用通用 ZTNA 和持续评估与验证的一部分,Cato 会为您组织中的每个用户计算动态用户风险等级,以确定他们构成的风险。

用户风险级别帮助您提高安全姿态和自适应访问功能。 您可以在各种政策中创建规则,以根据该级别确定对资源的访问。 例如,创建一个规则,阻止高风险或以上的用户访问敏感公司资源的流量。

无论是否拥有SDP许可证,您都可以查看组织中所有用户的风险级别。 这让您能够指示整体安全姿态。 此外,您可以查看与特定用户相关的所有安全事件,并确定其风险等级。

注意: 要查看用户风险等级,您必须拥有在访问管理员角色中的必要权限。

用例 - SaaS

ABC公司使用SaaS应用程序,并根据最佳实践希望确保只有必要的人才能访问这些应用程序。 此外,他们希望确保授权群组中风险级别为高或更高的人无法访问这些应用程序。

公司在其互联网防火墙中创建规则,以阻止任何流量到达其SaaS应用程序。

当John Doe无法访问Saas应用程序时,他联系IT部门,发现他的风险级别为高。 然而,在审查了决定等级的事件后,IT 部门决定他不构成风险,并重置了该等级,使他能够访问他需要的应用程序。

用例 - 私有应用程序

ABC公司有个数据库服务器,需要从其各个办公室访问。 他们希望确保开发人员能够访问它,但也需要确保它的安全性,因为它提供访问敏感和专有数据的权限。

该公司在WAN防火墙中创建规则,仅允许风险级别低于高风险的授权用户访问。

Cato如何计算风险等级

每个用户活动都会在Cato共享环境的帮助下进行监控和记录,用户依据一项专有算法基于多个不同数据点动态分配风险等级。 然后可以在互联网和WAN策略中使用风险等级,以便仅允许风险最低的用户访问。

用户属性纳入风险评分

Cato收集以下属性。

标记为策略的用户属性可以用于策略中。 有关详细信息,请参阅客户端连接策略

项目

属性

示例

1

木马活动

Dridex,Peacomm,PeacommBanking

2

银行恶意软件

Bancos,Banload,Banker

3

信息窃取者

Zeus/Zbot,Agent,Symmi

4

后门活动

与MITRE ATT&CK技术映射的各种签名

5

僵尸网络流量

Mirai,各种C2签名

6

DNS隧道

多次DNS隧道检测

7

信标活动

常规命令与控制签到

8

多域通讯

多个威胁域然后是低声誉服务器

9

勒索软件通讯

SMB活动及外部通讯

10

加密行为

文件系统加密活动

11

勒索信件发送

勒索信放置或发送

12

矿池通讯

CryptInject,Cryptomineext,Groupfabric Bitcoinminer

13

资源利用率

用于挖矿的异常系统使用

14

数据转移到可疑目的地

系统信息泄露,RaiDrive泄露

15

凭证盗窃

凭证盗窃活动和数据泄露

16

大型数据传输

异常的大型出站传输

17

CVE 利用

CVE-2018-0101,CVE-2017-0199,CVE-2021-44228 (Log4Shell)

18

零日漏洞利用

新兴威胁的签名

19

命令注入

检测到命令注入尝试

20

目录遍历

路径遍历行为

21

文件上传尝试

可疑文件上传至Web应用

22

SQL注入

SQLi攻击尝试

23

跨站脚本和CSRF

XSS和CSRF检测

24

混淆的钓鱼

检测到隐藏的钓鱼策略

25

凭证钓鱼

在钓鱼页面中插入敏感数据

26

品牌冒充

与DHL相关的钓鱼

27

自动扫描工具

Nikto,Nessus,OpenVAS

28

针对性的漏洞探测

CVE集中的扫描

29

网络枚举

端口扫描和网络发现

30

已知恶意IP/域名通讯

低声誉域访问,TOR/代理

31

用户电子邮件

(策略 - 参见下方)

32

用户组

(策略 - 参见下方)

33

用户置信等级

(策略 - 参见下方)

34

平台

(策略 - 参见下方)

35

国家

(策略 - 参见下方)

36

连接来源

(策略 - 见下)

37

通过SMB远程执行 

PsExec、PAExec、RemCom、CSExec

38

WinRM远程执行

WinRS命令行、WinRM PowerShell

39

Impacket远程执行

Impacket PsExec、Impacket SMBExec、Impacket DCOMExec

40

WMI远程执行

通过DCOM进行WMI执行

41

远程服务操作

SVCCTL服务创建、SVCCTL服务启动、SVCCTL服务删除

42

远程计划任务

schtasks远程,AT通过atsvc任务执行

43

LDAP侦察

LDAP信任转储、人员、计算机、管理员用户、组查询

44

SAMR / LSARPC侦察

SAMR管理员查找,SAMR查询显示信息,SAMR本地管理员枚举,LSARPC内置管理员

45

多服务端口扫描

从单一来源IP扫描FTP、SSH、RDP服务

46

凭证工具传输 

Mimikatz SMB传输

47

通过SMB的攻击性工具传输

Netcat、Nmap、ADFind、TDSSKiller、PowerShell脚本、批处理脚本

48

通过SMB的文件传输工具传输

WinSCP、FileZilla、PuTTY、MobaXterm

49

Rclone数据泄露

Rclone SSH、Rclone HTTP、Rclone下载

50

云存储数据泄露

MEGA API非浏览器上传、低流行云服务上传

51

Pastebin机器人访问

非浏览器原始内容访问Pastebin

52

FTP到可疑目的地

FTP到低声誉IP、低声誉域、非标准端口

53

协议隧道 

通过Web端口的RDP隧道,在非标准端口上的RDP over TLS

54

RMM工具下载

TeamViewer、AnyDesk、ScreenConnect、Splashtop、SimpleHelp、Atera、Zoho Assist

55

RMM活跃连接 

TeamViewer WAN/入站会话,AnyDesk远程桌面,Splashtop中继,SimpleHelp横向/UDP

56

通过SMB的RMM工具传输

AnyDesk SMB传输,Splashtop SMB传输

57

可疑CLI工具使用

curl / wget 到低声誉站点,curl / wget二进制下载

58

PSTools套件下载

PSTools下载后进行大规模PsExec(15+主机在10分钟内)

Cato用于风险评分的指标

Cato 查看许多不同的指示器以确定风险行为,并将其分类为上述四个类别。 这些指示器包括:

  • 已被入侵系统的指示器 - 超过 2500 个签名,包括:

    • 恶意软件,例如特洛伊木马、基于金融的恶意软件和各种后门技术

    • 指令与控制通信,例如僵尸网络流量、DNS隧道和多个域名通信

    • 勒索软件活动,例如加密行为、勒索通知交付和勒索软件通信

    • 加密货币挖掘,如矿池通信和资源利用

    • 数据泄露活动,如数据传输到可疑目的地、凭证盗窃和大型数据传输

  • 可能导致感染的受阻尝试的指示器 - 超过 2300 个签名,包括:

    • 远程代码执行(RCE)尝试,如CVE漏洞利用、零日漏洞利用尝试和命令注入

    • Web应用攻击,例如目录遍历、文件上传尝试和XSS/CSRF

    • 钓鱼活动,例如凭证钓鱼和品牌冒充

    • 漏洞扫描,例如自动扫描工具的使用和网络枚举

  • 策略违规和可能导致入侵的风险活动 - 超过 1500 个签名,包括:

    • 横向移动尝试,例如使用psexec、WinRM和PowerShell远程控制

    • 信息泄露,例如敏感数据暴露、错误信息泄露和目录列表

    • 基于声誉的指示器,例如TOR或代理的使用、可疑域名访问和与已知坏IP地址的通信

    • 由动态防御的基于行为的安全引擎触发的阻止事件。 有关更多信息,请参阅什么是动态防御?

定义用户风险级别策略

用户风险级别是网络和安全团队的重要工具,能够启用零信任动态访问控制策略,以保护内部应用流量和互联网流量。 它提供了有关您的风险态势的宝贵见解,让您能够动态调整您的安全策略以应对不断变化的威胁。

您可以在互联网和WAN防火墙中创建基于风险的策略,以阻止对应用程序的访问。

User-Level-Attribute.png

在您的防火墙中定义基于风险的规则:

  1. 配置您的互联网WAN防火墙策略时,添加规则适用于的用户或用户组。

  2. 在规则的设备部分下,点击添加属性

  3. 输入风险等级标准以与规则匹配。

  4. 定义与规则匹配时要采取的操作并点击保存

查看所有用户的风险等级

访问 > 用户页面提供系统中所有用户及其风险等级的可见性。

Users-Directory.png

您可以根据风险级别筛选页面上的信息,以便轻松找到可能对组织造成最大威胁的用户。 风险级别值包括:

  • 严重

  • 中等

在此页面中,您可以根据风险级别执行特定操作,例如撤销用户会话或重置风险级别。

User-Score-Reset.png

调查和监控特定用户

为了更好地了解什么决定了用户的风险等级,您可以点击单个用户并导航到用户风险页面,随后呈现其风险评分仪表板。 使用用户风险评分仪表板调查特定用户的风险态势,并立即采取补救措施。 仪表板帮助您了解用户的风险如何随着时间变化、哪些因素导致了该风险,以及相关的安全事件,以便您能够快速从调查转向补救。 您可从用户目录访问仪表板。

要查看特定用户的信息,您必须在访问管理员角色中设置必要的权限:

  • 无 - 您无法访问特定用户的风险评分仪表板

  • 查看 - 您可以查看风险评分仪表板,但无法执行任何操作

  • 编辑 - 您拥有查看风险评分仪表板的全部权限,并执行诸如撤销会话或重置风险评分等操作

risk-score-dashboard.png

使用仪表板视图调查用户的风险评分为何变化以及什么因素导致。 审阅不同时期的风险以识别分数峰值和趋势,风险贡献者以查看驱动当前分数的因素,相关安全事件以查看与用户相关的事件,以及评分贡献事件以查看导致评分变化的特定事件,涉及以下每项:

  • IPS

  • 反恶意软件

  • 可疑活动

  • 防火墙

  • 动态防御

risk-score-dashboard-events.png

您可以点击给定部分中的任何链接,例如,查看全部 IPS 事件,导航到事件页面,然后根据用户和事件类型进行过滤。

这篇文章有帮助吗?

2 人中有 1 人觉得有帮助

0 条评论