动态预防是一种基于行为的安全引擎,预先应用动态控制来响应检测到的威胁,以减少攻击面并早期缓解威胁,防止任何影响的发生。
动态预防利用 Cato 的全网络流量可见性不断学习网络中的正常行为,而不是依赖静态规则或签名。 它为每个实体建立行为基线,代表典型使用模式和预期活动。
当检测到异常行为时,动态预防会自动应用临时动态控制。 这些自适应动态控制阻止对暴露服务、操作或访问路径的访问,以减少潜在攻击面。 这些控制根据 Cato 研究团队对众多漏洞场景进行深入分析和研究的结果,执行缓解措施。
动态预防持续随着时间的推移重新评估行为,并在行为变化时自动调整或取消施加的控制。 这能够早期中断攻击活动,减少暴露的攻击面,并最小化手动干预的需求,同时保持完全可见性和行政控制。
为了提供更全面的用户风险行为查看,动态防护的行为基础安全引擎触发的阻止事件被纳入用户的风险评分。 有关详细信息,请参阅了解用户风险等级。
动态防护需要高级威胁防护许可证。
ABC公司的一名员工遭遇钓鱼攻击,使其端点受到威胁。 在受到威胁后不久,攻击者使用合法工具进行信息搜集和网络映射尝试。 这种合法活动之前从未在此设备上观察到。 动态预防立即检测到这种行为,认为是对已建立基准的高风险偏离,并识别为恶意侦察。
作为应对措施,动态预防引擎应用了一种自适应安全控制,防止AnyDesk的下载和执行。 攻击者试图利用此文件进行远程访问和C2通信。 通过自动应用此控制,动态预防在早期阶段阻止了攻击。 它阻止了外部控制,停止了进一步的负载传送,并消除了横向移动的风险。
通过动态预防,ABC公司在不需要手动干预的情况下自动消灭钓鱼后的威胁,显著减少攻击面和影响,并加强整体安全态势。
动态预防通过以下四步过程,持续分析您的环境中的活动以识别和阻止可疑行为:
- 建立实体基准:动态预防通过监控网络活动,随时间建立每个实体的正常行为配置文件。 一个实体可以是主机,例如笔记本电脑或服务器。
- 检测偏离:动态预防收集来自多个安全引擎的实时信号,包括内联和带外服务,如反恶意软件、IPS和DLP。 它还分析Cato数据湖中的长期洞察,该数据湖聚合所有的安全事件。 这些信号与行为基准对比,以识别异常活动。 即使是看似良性的操作,如果明显偏离正常行为,也可能被标记。
- 动态控制:为了减少攻击面,当检测到可疑行为时,动态预防会自动应用合适的控制。
- 阻止恶意操作:如果采取了恶意操作,则会实时阻止以防止威胁。
- 适应动态控制:动态预防持续重新评估实体行为,并根据风险水平的变化动态调整或移除已应用的控制。
许多现代攻击由一系列低信号行动组成,这些行动单独看似合法,但在随着时间的推移相关联时显示出恶意意图。 传统安全引擎通常在攻击生命周期的特定阶段有效地执行策略并阻止已知威胁,但它们通常在短期评估上下文中操作。 检测这些威胁需要在扩展的时间窗口中关联流量、安全事件和实体行为,否则需要复杂的策略调整、人工基准和对组织内正常访问模式的深刻理解。
动态预防增加了一个自适应预防层,在扩展的时间框架和多个数据源中关联信号。 通过一起分析流量流、事件和行为模式,识别出只有在被视为更广泛序列的一部分时才会出现的高级威胁。
当动态预防检测到可疑行为时,它会自动应用分级的、上下文感知的执行,以实时阻止威胁进展。 这些自适应限制立即执行——无需自定义规则或人工干预——并根据更新的风险评估持续调整。
结合现有的安全引擎提供精确的事件级保护,同时动态预防提供长时间上下文检测和自动响应。 这种结合让您无需增加配置复杂性或操作开销,就可以防止躲避传统控制的复杂攻击。
0 条评论
文章评论已关闭。