Cato威胁防护如何保护您的网络

Cato的安全引擎在统一的云原生服务中协同工作，以提供更准确的检测、更一致的执行和更强的全生命周期威胁防护。 引擎不是单独做出决策，而是检查相同的流量，并基于多层保护共享分析。 此统一架构改进了安全控制之间的协调，并有助于在威胁蔓延或造成损害之前加以阻止。

Cato威胁防护还利用AI和机器学习作为服务基础设施的一部分，以提高威胁情报和加强检测质量。 这包括基于AI的IOC分类、流量元数据的机器学习分析、IPS中的威胁机器学习保护和动态防护中的主动行为分析。 这些功能共同在保护引擎中加强检测，帮助Cato更有效地识别已知和未知威胁。

威胁防护引擎在Cato Cloud的PoPs中运行，仅检查通过它们的流量。 例如MPLS流量或来自站点和客户端的直接外向互联网流量，而绕过Cato Cloud的流量不会由威胁防护或高级威胁防护服务进行检查。 此类流量不在Cato内联威胁检查的范围内。

Cato IPS检查入站、出站和WAN流量，以保护应用程序、设备和网络服务免受已知漏洞、机器人、恶意流量和其他基于网络的攻击。 该服务包括多重保护层，例如信誉分析、已知漏洞保护、反机器人检测、网络行为分析、协议验证、地理限制和隧道攻击检测。

IPS签名由Cato安全研究持续更新，IPS策略旨在平衡安全覆盖和运营稳定性。 IPS可以在阻止模式下执行保护操作，或在不阻止流量的情况下监控流量，并有助于防止跨越Cato Cloud的流量被已知漏洞利用。

IPS服务包括DNS保护，可以对您帐户中的流量执行DNS安全。 DNS保护在建立到目的地的连接之前阻止对恶意域的DNS请求，这有助于在攻击的早期阶段阻止钓鱼、恶意软件传输和指挥与控制通信。 通过在DNS层阻止恶意请求，DNS保护可在有效载荷传输之前阻止攻击，并提供支持更广泛威胁调查的可见性。

您可以启用或禁用特定的DNS保护，并为每个保护定义允许、阻止或黑洞等动作。 黑洞动作将对恶意域的DNS请求重定向到黑洞服务器，而不是原始目的地。 这也有助于识别请求来源端点，包括在使用内部DNS代理的环境中，并支持检测可能受感染的设备。

可疑活动监控扩展了IPS对标准IPS签名未监控的可疑网络活动的可视性。 SAM识别可能表示妥协或违规的活动，但由于流量并非明确恶意，因此它继续监控流量而不进行阻止。

通过随时间相关联系事件，SAM减少噪音，并赋予安全团队更好的可见性，了解初始阶段的攻击活动。 这有助于您识别IPS基于签名控制未检测到的威胁。 这为可能不会触发直接防护的活动提供调查上下文，并有助于识别基于签名的控制可能遗漏的威胁。

Cato反恶意软件和NG反恶意软件提供了两层防护，以防止恶意文件进入您的网络。 两层同时扫描来自广域网和互联网流量的文件。

反恶意软件使用已知文件签名和启发式分析来检测恶意文件。 NG反恶意软件使用机器学习和预测模型来将文件分类为良性、可疑或恶意，并检测未知和零日恶意软件。 这种分层方法阻止勒索软件、木马及其他商业软件而不影响用户体验。

RBI是互联网防火墙策略的一部分，保护用户免受网络和基于浏览器的威胁，而不阻止互联网访问。 RBI在Cato Cloud的一个隔离环境中运行浏览会话，并将安全视觉呈现流传送到浏览器，而不是在用户设备上渲染网页内容。 这有助于保护用户免受勒索软件、恶意软件、钓鱼、恶意广告和跨站脚本（XSS）的威胁，同时允许用户安全访问风险或未知网站。 RBI在不强迫用户绕过安全控制的情况下，将保护扩展到风险浏览活动。

动态防护是一种基于行为的安全引擎，可以通过检测到的威胁主动应用自适应控制，以缩小攻击面并在威胁影响您的环境之前提前减轻。 它分析活动随时间的变化，并在比传统点检测更广泛的上下文中帮助识别可能使用合法工具或其他在孤立中看似良性的可疑行为。 当检测到异常行为时，动态防护可以自动应用临时控制，并在行为改变时不断调整或删除这些控制。

沙盒环境是一个隔离的安全环境，可以在那里执行和分析可能的恶意或可疑文件，而不会对您的网络构成风险。 这为恶意软件调查添加了深入的分析，以检测未知和隐藏的威胁。 由反恶意软件策略标识为恶意或可疑的文件会自动在沙盒环境中扫描，您还可以上传特定的文件进行分析。

使用MITRE ATT&CK® 仪表板