Cato 反钓鱼保护措施有哪些?

概述

即使在部署了高级电子邮件和浏览器保护的组织中,钓鱼依然是凭证盗窃和恶意软件传播的主要原因之一。 攻击者不断改进其技术来绕过安全控制并利用用户信任。

Cato 提供了全面的安全服务层,包括网络、云和零信任网络访问(ZTNA)保护,以检测和阻止钓鱼尝试,减少用户的风险,并帮助您快速识别和修复攻击。

您可以在 Cato 管理应用程序 (CMA) 中管理和查看所有与钓鱼相关的检测、策略和事件。 统一接口关联来自服务的数据,如互联网防火墙、IPS、DNS 保护、远程浏览器隔离(RBI)、云访问安全代理(CASB)和 ZTNA。 此整合视图简化了钓鱼调查和响应,使您能够查看事件,分析活动,并更新策略,无需在工具之间切换。

例如,如果 IPS 或 DNS 保护阻止了钓鱼域,XOps 会立即显示关联事件作为钓鱼故事的一部分。 您可以随后追踪跨服务的攻击并应用更新的策略,全部操作都在 CMA 内完成。

钓鱼攻击是什么?

钓鱼攻击是用于危害用户和侵入组织的最有效方法之一。 攻击者利用欺骗性域名、假登录页面和社会工程来获取凭证或传播恶意软件,通常冒充可信品牌或云服务。 这些活动通常包含设计得像微软、AWS 或苹果等合法公司的假电子邮件或虚假网站,诱骗用户输入登录信息或批准恶意请求。

现代钓鱼活动越来越多地利用基于云和协作平台,使传统安全工具更难以检测和阻止恶意活动。 威胁行为者迅速适应,使用自动化和加密来躲避检测并伪装与命令和控制基础设施的通信。

检测钓鱼的挑战

钓鱼活动继续演变,利用可信品牌和云服务。 常见检测挑战包括:

  • 新注册域名 (NRDs):攻击者快速注册和丢弃域名以回避信誉系统

  • SaaS 滥用:在合法协作或存储服务上托管恶意内容

  • TLS 加密:在加密流量中隐藏钓鱼负载和网址

  • 碎片化可见性:分离的点产品使得难以关联检测并理解完整攻击流程

检测和预防钓鱼

Cato 在每个 PoP 内在线检查所有 WAN、互联网和远程访问流量。 钓鱼检测和阻止通过并行运行于统一堆栈内的融合安全服务实现。

核心保护包含在常规 Cato 服务中。 威胁防护、高级威胁防护、CASB 和 XOps 都需要独立的许可证。

核心保护

  • 互联网防火墙: 使用基于类别和声誉的URL过滤,持续由多个威胁情报源更新,以阻止访问已知或疑似钓鱼域名。 您可以定义和导入自定义妥协指标(IoCs)以增强对目标或新兴钓鱼活动的检测覆盖范围。

  • Zerotrust网络访问(ZTNA): 通过身份验证控制强制最小特权访问内部和云应用程序。 ZTNA 功能包括身份验证、设备合规性检查,以及确保所有会话均实时认证和检查的始终在线连接。

  • TLS检查: 在 PoP 处解密和重新加密 HTTPS 会话,支持对加密 URL、表单和脚本的检查,以识别和阻止隐藏于TLS流量内的钓鱼页面

相关文章: 

威胁防护

  • IPS 和 DNS 保护: 使用 IoCs、启发分析和 AI/ML 模型检测和阻止钓鱼活动,识别有风险或欺骗性域名和克隆登录页面。 DNS 保护在与恶意服务器建立连接之前阻止 DNS 请求——防止任何 TCP 或 UDP 握手

相关文章: 

示例:Cybersquatting 和钓鱼工具包

高级威胁防护(ATP)

  • RBI (远程浏览器隔离): 在安全的云容器中执行不受信任或未知网站的浏览会话。 阻止凭证提交和脚本执行,保护访问通过其他检测层躲避的不信任网站的用户

相关文章: 

CASB - 应用控制

Cato 的云访问安全经纪人(CASB)提供对 SaaS 和云应用的可视性和控制,帮助您识别钓鱼风险并防止账户被盗。

  • 应用控制: 使用内联控制对已批准的 SaaS 应用实施策略,通过 API 集成监控未经批准的应用活动。 CASB 帮助检测与钓鱼相关的风险,如假文件共享、恶意链接或未经授权的 OAuth 权限在云协作工具中的出现

  • 通过 API 的应用控制: 为带外流量提供可视性和治理,监控经过许可的 SaaS 应用中的用户活动,即使流量并未通过 Cato 云

相关文章: 

示例:生活在云端

Cato 的 CASB 有助于防止由于钓鱼活动导致恶意软件与托管在合法云平台上的命令和控制 (C2) 服务器进行通信,这种技术被称为“生活在云端”。 这些服务通常在许多组织中默认允许,可以规避依赖于网址过滤或IP声誉的传统钓鱼防御措施。

  • 租户限制:应用租户限制以阻止访问未经批准或个人实例的云应用,确保只有经过公司批准的账户才可访问

  • 活动级控制:实施控制以阻止高风险操作,例如上传文件或通过未经授权的客户端访问云服务,防止攻击者利用受信任的云服务泄露数据或向受损系统发布远程命令

  • 想了解更多信息,请观看此视频

XOps 

XOps 是 Cato 的高级分析和事件关联服务。 它结合了所有安全引擎的数据以识别、优先排序和关联钓鱼相关事件。 通过将这些见解展示为关联的故事和行为分析,XOps 使您能够更有效地在 CMA 中检测、调查和缓解钓鱼活动。

  • 安全故事: 将钓鱼检测关联为统一的叙述以进行分析

    您还可以采取措施直接在故事内缓解钓鱼威胁,例如撤销远程用户的会话或将目标添加到容器中,该容器被防火墙规则阻止

  • UEBA: 检测钓鱼尝试后的异常登录模式或横向移动,帮助您识别受损账户并遏制攻击后的活动

相关文章: 

身份和行为保护

Cato 的身份和行为功能通过限制暴露并减少凭证盗窃造成的影响来增强抵抗钓鱼的能力。 这些功能通过实施用户验证、设备合规和最小特权访问来确保只有经过认证的安全用户可以连接到企业资源。

用户意识

Cato 的用户意识框架将平台上的所有活动与验证过的用户身份关联起来。 CMA 中基于身份的访问策略和可见性使您能够将与钓鱼相关的活动追踪到特定账户,并实施针对性分段以促使控制。

有关更多信息,请参阅 用户意识

认证和访问控制

钓鱼攻击通常依赖窃取的凭证。 Cato 通过与企业身份提供者的集成实现单点登录(SSO)和多因素认证(MFA),以降低此风险。 访问策略在 PoP 中动态强制实施,基于用户身份、设备状态和上下文,防止凭证重用和横向移动。

有关更多信息,请参阅 IdP 单点登录

设备合规性和设备姿态验证

Cato 验证只有符合合规性并经过管理的设备才能连接到企业资源。 授予访问权限之前,平台会检查设备姿态(安全软件、操作系统、配置),并阻止不合规端点,以确保潜在受损设备不会在钓鱼活动中被利用。

有关更多信息,请参见客户端连接策略(设备姿态)

调查钓鱼活动

CMA 通过汇总来自所有 Cato 安全引擎的检测,包括互联网防火墙、IPS、DNS 保护、RBI、远程访问和可疑活动监控 (SAM),为钓鱼相关活动提供统一的可见性。 CMA 利用 Cato 的云级别智能不断提高钓鱼检测准确性并识别新出现的攻击行为。

事件调查

您可以使用上下文过滤器,如用户、应用程序和站点,在 CMA 中调查与钓鱼相关的事件,以识别相关检测。 自然语言搜索和深入报告提供钓鱼事件的快速访问。

关键仪表板和报告包括安全性仪表板、应用程序仪表板、用户活动报告和威胁报告,这些内容强调钓鱼域名、重复凭证提交和风险用户活动。

XOps一起调查

XOps 提供高级关联和事件分析,简化钓鱼调查。 它汇总来自多个安全引擎的检测,包括 IPS、DNS 保护、RBI 和 SAM,并将其关联为统一的安全事件,展示完整的钓鱼序列。 相似事件突出显示相关攻击,AI 生成的摘要加速分类。 与工具集成,如 SentinelOne、Microsoft Defender 和 CrowdStrike,将上下文扩展到端点以实现统一调查。 有关更多信息,请参见XOps 安全剧本 - 钓鱼网站攻击

可疑活动监控 (SAM)

SAM 通过识别可能表明新兴威胁或与钓鱼活动相关的误用的网络行为来增强钓鱼检测和调查。 它检测到由 Cato 安全研究团队创建的签名匹配的流量模式,识别偏离预期用户或应用程序行为的活动。 例如,SAM 可以标记向未知域重复提交凭证、钓鱼尝试后的可疑出站请求或与命令和控制通信一致的流量。

有关更多信息,请参见使用 IPS (SAM) 监控可疑活动

跨攻击生命周期缓解钓鱼攻击

Cato 通过跨其安全引擎的检测关联,在攻击生命周期的每个阶段缓解钓鱼攻击——从初始访问尝试到事故后活动。 这种生命周期方法确保对威胁实时阻止并通过 CMA 和 XOps 的集成可见性和自动化进行跟踪、情境化和遏制。

阻止访问

Cato 的内联检测引擎主动防止用户连接到钓鱼基础设施,在会话建立之前减少风险暴露。

  • 互联网防火墙和 DNS 保护:阻止访问有风险或可疑的域名

  • IPS:阻止访问已知钓鱼网站和凭证收集基础设施

阻止凭证提交

Cato 防止用户向绕过域或 URL 声誉过滤器的钓鱼网站提交凭证。

  • IPS:实时检测凭证输入模式和钓鱼页面结构

  • RBI:将网络会话隔离在安全容器中,防止数据输入或与钓鱼表单和脚本交互

检测事故后活动

Cato 提供对可能表明成功钓鱼或凭证误用的异常活动的可见性,帮助您快速识别和遏制潜在的事故。

  • 当观察到重复的凭证提交、异常的出站连接或与命令和控制通信一致的行为时,SAM 会生成事件。

    例如,如果复杂的钓鱼攻击避开了其他保护,监控 SAM 事件可以帮助识别受感染的主机。

XOps关联钓鱼事件

XOps 服务将多个安全引擎中的钓鱼相关数据统一为单一调查视图。

  • 安全事件: 将 IPS、DNS 保护、RBI 和 SAM 事件连接为逻辑攻击叙事。

  • AI 驱动分析: 突出根本原因、受影响用户和后续行动。

  • 相似事件: 识别针对同一组织或用户的重复活动。

管理钓鱼响应和运营

Cato 通过在 CMA 和 XOps 中集中调查、控制和协调安全引擎,简化钓鱼响应和运营工作流程。 这种统一的方法可以让您有效管理事件,加速补救,并减少钓鱼攻击的总体影响。

响应操作

您可以直接从 CMA 中遏制钓鱼事件,以减少响应时间并最大限度地减少凭证误用或账户受损的影响。

  • 用户和会话控制: 隔离受影响用户并阻止进一步访问。

    • 远程用户: 撤销通过 Cato 客户端连接的用户的凭证,以防止受损账户的持续访问。

    • 站点下的用户: 禁用受影响用户,并创建 WAN 和互联网防火墙规则,阻止特定用户作为流量来源(需要用户意识)。

  • 策略强制执行: 实时更新 WAN 和互联网防火墙策略,以阻止与新识别的钓鱼域名或 IP 地址的通信。

  • 跨平台集成: 与端点保护工具集成,如 SentinelOne、Microsoft Defender、CrowdStrike 和 Cato 端点保护 (EPP)

    • 这些 EPP 工具的数据包含在 CMA 事件上下文中,让您可以查看端点检测以及 Cato 网络安全事件

  • XOps 关联: XOps 安全事件包括端点检测和响应 (EDR) 数据,提供跨网络和端点层的关联可见性

相关文章: 

操作工作流

CMA 通过自动警报管理、调查和报告任务简化了安全运营。

  • 集中警报: 查看、过滤和优先处理所有安全引擎中的钓鱼相关警报。

  • 通知集成: 发送自动警报到协作平台,如 Slack,ServiceNow 或电子邮件,以加速升级和跟踪。

  • 事件评审: 评审钓鱼事件,包括 SAM 和 IPS 检测,以识别趋势并提高准确性。

  • 包括钓鱼数据的报告: 生成概括钓鱼相关活动的报告,如安全事件报告、XOps调查报告和XOps检测报告,以支持操作可见性和管理层报告。

相关文章: 

补充保护

Cato 的补充保护与钓鱼防御一起工作,以提供跨数据、端点和连接设备的完整安全。 这些服务保护数据丢失、恶意软件感染和物联网设备利用,这些可能发生在钓鱼攻击期间或之后。 每项保护都需要单独的许可证。

  • DLP: 帮助防止在钓鱼攻击后可能进行的数据泄露尝试

  • Cato EPP: 检测并阻止通过钓鱼媒介传递的恶意软件或其他负载

  • 物联网安全: 保护管理的物联网资产并识别可能在钓鱼攻击后被利用的未管理设备

DLP

Cato 的 DLP 引擎保护敏感信息在钓鱼尝试后不被泄露。 有关更多信息,请参见什么是 Cato DLP 服务?.

  • 内联 DLP 执行: 检查所有流量是否包含敏感信息,并阻止未经授权传输到组织外部

  • 带外监控: 使用基于 API 的连接器监控经过批准的 SaaS 应用内部的数据活动和共享,即使流量未通过 Cato 云

  • 可见性: 在 CMA 中提供事件数据,用于审阅和审计数据处理政策违规

卡托端点保护程序 (Cato EPP)

Cato 端点保护 (EPP) 通过检测和阻止恶意软件和钓鱼传递的负载来保护端点,而无需依赖 PoP 流量检测。 这确保持续保护,即使设备在 Cato 云外部运行时。 有关 Cato 的 EPP 解决方案的更多信息,请参阅入门指南 Cato 的端点保护 (EPP)

  • 本地威胁防护: 在恶意文件、脚本和负载执行之前检测并阻止它们

  • 行为分析: 识别可疑进程和类似勒索软件的活动,其源自钓鱼攻击

  • CMA 集成: 将端点警报和遥测发送到 CMA 以实现集中可见性,使您能够调查与网络和身份数据相关的钓鱼恶意软件

物联网设备和运营技术安全

  • 设备发现: 自动识别连接到网络的所有物联网设备和运营技术设备

  • 行为监控: 检测异常通信模式,如设备尝试接触钓鱼控制或命令与控制域名

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论