Cato安全性服务

Cato FWaaS在无物理或虚拟防火墙约束下，在互联网、WAN和LAN流量之间提供云原生防火墙保护。 它检查所有流量，涵盖端口、协议和加密会话，消除遗留架构中常见的盲点和分散执行。

由于FWaaS是Cato平台的一部分，因此受益于共享上下文和统一策略。 规则可以使用丰富对象，如用户身份、设备、组织、主机、应用、协议、位置、网络和VLAN。 这支持企业中的细粒度分段和零信任执行。 Cato通过FWaaS的自主策略进一步扩展防火墙管理，使用AI驱动分析识别错误配置、优化规则集并支持持续的零信任执行。 结果是更强的控制、更少的人工错误，以及能够随企业复杂性扩展的策略管理。

其他优势包括完整的日志记录和监控、集中式审计追踪、云级性能、对微分段的支持、以及DPI基于应用和用户的可见性，从第一数据包开始。

Cato SWG保护用户免受风险和恶意网页目的地影响，同时根据内容类别和风险强制企业浏览策略。 它包括预定义的策略和超过80个内置网站类别，实现快速部署和最佳实践控制的即时执行。

Cato SWG通过保持恶意、受损、钓鱼和停放域名的当前情报，增强了对钓鱼和恶意软件发送站点的保护。 它通过支持安全搜索和YouTube限制控制来帮助防止策略规避，并通过可定制的阻止和提示页面改善用户体验。 所有活动都被记录在Cato数据湖中，使管理员在审计、报告和策略微调方面具有强大的可见性。

在更广泛的平台中，SWG是多层威胁预防模型的一层。 它与IPS、DNS安全、RBI、CASB和DLP共同工作，以降低暴露并提高整体弹性。

Cato IPS在互联网、WAN和云流量之间提供实时保护以阻止勒索软件、横向移动、恶意通信和利用活动。 它结合签名、威胁情报、启发式和内联AI/ML来防止已知和未知技术中的攻击。

Cato IPS通过动态预防来补充，这是一种基于行为的适应性预防功能，如下所述，有助于阻止随时间推移出现并规避传统事件控制的攻击。

Cato IPS还使用AI/ML支持钓鱼和恶意软件防护，虚拟补丁用于快速缓解新兴CVE，云规模TLS检查，地理围栏以减少攻击面，并且设计了一种启发式语言，以使用平台上下文，如应用ID、URL分类、用户身份、目标风险和设备指纹。 基于250多个馈送的自动化威胁情报管理帮助在客户几乎无努力的情况下保持保护措施最新。

Cato动态预防是一种基于行为的安全能力，为Cato的威胁预防架构增加了一个适应性预防层。 动态预防不仅仅依赖于静态签名、规则或时间点检查，而是持续分析活动，随着时间的推移为主机和设备等实体建立正常行为基线，并检测可能指示出现攻击的偏差。

一旦识别到可疑行为，动态预防会自动应用临时、上下文感知的控制措施，以减少暴露的攻击面，并在攻击进程早期中断攻击发展。 这些控制措施可以限制对暴露的服务、风险操作或访问路径的访问，即使在确认的恶意负载或签名匹配观察之前。 这对逐渐展开并使用合法工具或低信号动作的攻击特别有效，这些动作在孤立中看似良性。

动态预防通过呈现跨时间框架和多个数据源的信号，包括内联和带外遥测，为现有安全引擎提供补充，如IPS、反恶意软件和DLP。 它不断重新评估行为，并随着风险的变化自动调整或移除控制措施。 此功能能及早缓解复杂的威胁，减少手动调优，并在不增加操作复杂性的情况下增强保护。

Cato 恶意软件预防集成新一代反恶意软件与沙盒分析以提供分层恶意软件防护。 平台实时检测已知、未知、零日和多态恶意软件，同时可疑文件可以在沙盒环境中被引爆以生成行为分析和取证洞察。

由于它在 Cato 云中运行，恶意软件检查可以广泛应用，包括在 TLS 加密流量上，而不受设备尺寸限制。 策略易于管理，并可按来源、目的地、应用程序和流量类型进行调优。 对嵌套存档和加密文件的支持进一步减少常见规避路径。 结果是大规模的全面恶意软件防御，支持最新签名、启发式和深入行为分析。

Cato DNS 安全检查 DNS 流量来阻止钓鱼网站、恶意域名、命令与控制通信、DNS 隧道和加密挖矿活动在连接建立之前。 它作为重要的早期防护层，因为许多攻击始于 DNS 解析。

Cato 使用 AI 和 ML 来识别域名抢占、模拟尝试、可疑模式和隧道行为。 其优化的威胁情报帮助实时阻止恶意域名和 C2 站点，同时中央日志记录和可视性使安全团队能够通过相同的管理界面调查基于 DNS 的威胁。

尽管 DNS 安全是 Cato 广泛的威胁防护架构的一部分，并与 IPS 紧密结合，但由于其专有的 DNS 层控制、可视性和策略执行，在此呈现为独特的功能。

Cato RBI通过将浏览会话隔离在远程容器化环境中，启用对未分类或风险网站的安全访问。 RBI 不是在端点上执行网站代码，而是仅将视觉表示流传给用户的浏览器。 这减少了恶意软件传递、凭证盗窃和浏览器妥协的风险。

由于 RBI 从云中即时可用，组织可以快速部署它，而无需新的基础设施。 它提供了一个实际的中间地带，在允许和直接阻止风险站点之间保持生产效率，同时减少曝光。 集成的日志记录和策略控制帮助管理员了解使用模式并根据需要调整执行。

RBI 补充了 Cato 的 SWG 和更广泛的互联网安全控制，但在这里作为一个独特的能力呈现，因为它增加了一个专有的基于隔离的保护层以风险网页访问。

Cato 物联网/运营技术威胁防护扩展了对连接的操作和嵌入设备的可见性、访问控制和威胁防护。 基于 AI/ML 的本地发现和指纹识别根据类型、制造商和型号识别设备，赋予团队保护关键且通常未管理的攻击面的可见性。

详细的策略可以限制设备访问到内部或外部资源，同时更广泛的威胁防护堆栈保护物联网和运营技术设备免受已知和零日威胁。 由于该功能完全集成到 Cato 平台和管理界面中，它减少了扩散，并消除了通常与独立物联网/运营技术工具相关的集成负担。

Cato CASB为组织提供可见性和对云应用程序使用的控制，包括在线和基于 API 的渠道，包括认可的应用程序、影子 IT 和影子 AI。 它持续监控互联网流量以识别云应用使用情况，分类应用程序，评估风险，并帮助 IT 团队区分已批准与未批准的服务。

CASB 对于现代 SaaS 负载环境尤其重要。 Cato 使用基于 ML 的应用程序风险分析建立详细的云应用程序配置文件，提供相关的安全和合规上下文。 它还允许对如登录、查看、上传和下载等用户行为实施详细的内联和基于 API 的控制。 这使组织能够管理用户在云应用程序中执行的操作，而不仅仅是他们是否可以访问这些应用程序。

Cato CASB 还支持 SaaS 租户限制，以减少员工将敏感数据转移到个人账户中的风险，而这些账户位于正常批准的应用程序内。 这些功能支持基于用户风险、设备信任和应用程序姿态的适应性 SaaS 访问决策。

Cato CASB 还包含基于 API 的功能，提供带外的可见性到批准的 SaaS 应用程序，包括：

通过 App 活动集成，Cato 捕获连接的 SaaS 应用程序中的详细审计事件，并以统一视图显示，帮助安全团队监控如登录、下载、权限变更、共享活动、管理操作及其他敏感操作。

基于 API 的 CASB 还通过改善对应用程序生态系统的可见性强化治理，包括互连的 SaaS 应用程序、扩展和插件。 这帮助组织更好地理解受制裁的 SaaS 平台如何被使用，哪些第三方集成可能引入风险，以及在何处可疑或不符活动可能需要调查或策略响应。

结合起来，Cato 的内联和基于 API 的 CASB 能力为管理、未管理和直接访问场景提供更完整的 SaaS 安全覆盖。

Cato DLP在用户、位置、Web 流量、SaaS 应用程序和私有应用程序之间提供一致的数据保护。 它旨在帮助组织保护知识产权，减少意外和恶意数据泄漏，并支持 GDPR、PCI DSS 和 HIPAA 等监管要求。

它的一个主要优势是其广泛的分类能力。 Cato 包含超过 350 种预定义数据类型，并支持自定义数据类型、精确数据匹配、关键词、正则表达式和 Microsoft 信息保护等标签和基于图像的 OCR。 这使组织能够识别处于诸多实际商务格式和场景中的敏感数据。

Cato 通过内联和基于 API 的检查应用 DLP。 内联控制提供对流动中的数据在 Web、SaaS 和私有应用程序流量之间的实时治理。 基于 API 的数据保护扩展了这覆盖，还提供带外内容检查对于批准的云应用程序，使组织能够监控和反应于敏感数据曝光，即使流量未穿越 Cato 云。 这对 BYOD 场景、未管理设备、直接连接到 SaaS 应用程序的远程用户，以及在 Cato 客户端未始终开启模式中是特别有价值的。

基于 API 的 DLP 还提高了对难以内联检查的应用程序和会话的覆盖，包括未启用 TLS 检查或证书绑定限制内联检查的场景。 使用与内联 DLP 相同的基础数据分类引擎，Cato 在这两个渠道之间启用一致的检测，并增加对云内容、共享活动和错误配置的近乎实时的可见性。 结合起来，内联和基于 API 的 DLP 为敏感数据在管理和未管理访问场景提供了更广泛和更具弹性的保护。

Cato 统一 ZTNA 允许组织定义单一基于风险的访问策略，并一致地对办公室、家庭、远程和混合用户执行。 Cato 在身份识别、设备姿态、地理位置、应用程序敏感性和其他上下文风险信号的基础上，对每个用户和每个应用程序做出决定，而不是授予广泛的网络访问。

持续姿态评估是这个模型的核心。 Cato 在连接时和整个会话过程中检查设备合规性，并在姿态下降时阻止或终止访问。 这减少了被破坏或不合规设备成为敏感应用程序或数据路径的可能性。

通过浏览器访问和 Cato 浏览器扩展，Cato 将此模型扩展到未管理设备和第三方。 它还通过利用 Cato 全球私有骨干和优化能力来改善用户体验，减少代前远程访问和回程检查经常相关的性能问题。

所有会话流量都由 Cato 安全堆栈持续检查，这意味着 ZTNA 不与平台的其他部分隔离。 访问、威胁防护和数据保护在一个策略和架构中协同工作。

Cato 企业浏览器提供不需要安装 Cato 客户端的设备却能安全访问的策略控制的检查到公共 SaaS 和私有 WAN 应用程序。 它被设计用于合同方、合作伙伴、访客用户和 BYOD 场景，组织需要延展安全访问而不依赖于完整的端点管理。

由于它完整集成于 Cato 平台，企业浏览器流量通过 Cato 全球分布的 PoP 路由并由相同的单通道云引擎（SPACE）检查。 这使组织能够应用用于管理设备的相同的互联网防火墙、CASB 和数据保护策略，确保不同用户类型和访问方法之间的一致执行。

Cato 企业浏览器还启用浏览器级控制，如限制复制和粘贴、文件下载、打印及未经授权的浏览器扩展。 这帮助减少数据泄漏和基于浏览器的威胁，同时保持一个受控和高效的用户体验。

Cato 浏览器扩展扩展安全的基于浏览器的访问到未管理和 BYOD 用户，比如承包商、合作伙伴和临时工。 这使得组织有一个实际的方法来应用零信任访问和全栈检查给不能或不应安装完整客户端的用户。

由于扩展是同一平台的一部分，它应用相同的集中管理策略和检查逻辑用于客户端和站点访问。 这在没有单独的产品或控制台的情况下提供操作一致性。 它还通过允许从现有浏览器安全访问来改善入职速度和用户体验，流量仍然受益于 Cato 骨干和安全检查堆栈。

Cato XOps是一个 AI 层，帮助客户快速检测和解决安全和网络问题，通过将数百万原始事件转化为相关的、可消费的事件故事。 它涵盖了安全和网络运营，自动处理来自已授权的 Cato 功能、附加组件和连接的第三方工具的事件。

其价值来自关联和共享上下文。 而不是迫使分析师手动把来自不同产品的数据缝合在一起，XOps 在用户、设备、应用程序和位置之间呈现事件，提供相关上下文和基于风险的优先级。 这帮助 NOC 和 SOC 团队更有效地协作，减少提醒疲劳，并更快地响应。

Cato Detection & Response, 作为 XOps 的组成部分，是一个基于 SASE 的检测和响应能力，使用平台的本地传感器和庞大的数据湖来改善检测、调查和修复。 它将防护事件汇聚成有意义的事件，帮助团队在警报量中看清并专注于可能的妥协。

由 AI/ML 模型创建的威胁狩猎事件会扫描绕过防护层的异常威胁指标。 Cato 还应用行为分析来识别可疑的用户和实体活动，使用风险评分来帮助团队优先调查。

为了加速分拣，Cato 使用 GenAI 来生成可读的人类事件叙述并将活动映射到 MITRE ATT&CK 技术。 这帮助团队理解发生了什么，攻击进行了多远，以及需要哪些响应步骤。 由于 XDR 是平台本地的，像隔离防火墙规则或端点扫描等修复动作可以在同一界面中触发。

一个额外优势是本地传感器数据的广度。 Cato XDR 从 FWaaS、SWG、IPS、NGAM、DNS 安全、CASB、DLP、RBI、端点遥测等获取数据，所有这些都收集到单一数据湖。 这比依赖于减少或断开遥测的工具产生更丰富的事件和更精确的分析。 外部数据从第三方 EDR 工具也可以被整合，支持开放架构。

Cato 在 CMA 中支持完整事件生命周期从检测到调查、响应和后续跟进。 分析师可以审查事件故事、检查时间线、围绕发现进行协作，并在无需跨不同提供商的多个控制台切换的情况下采取补救步骤。

这种统一的操作模型对于钓鱼调查和其他跨域威胁特别有价值。 来自互联网安全、DNS 保护、RBI、CASB 和 ZTNA 的事件可以关联成一个故事，使分析师能够跟踪跨服务的攻击并从同一控制台调整策略。

对于希望获得专家支持的组织，Cato 及其合作伙伴提供 MDR 服务。 这些服务包括及时的威胁检测、补救指导以及可选的预防措施。 MDR 有助于减少停留时间，降低内部团队的负担，并延长平台检测和响应功能的价值。