本文介绍了Cato Cloud安全堆栈中的IPS和互联网防火墙如何保护您的网络免受钓鱼攻击。
钓鱼仍然是对组织最危险的威胁之一,钓鱼攻击可以成为渗透公司网络或窃取凭据和其他私人数据的初始媒介。 安全堆栈中的Cato IPS服务和互联网防火墙采用不同的技术识别流量为钓鱼攻击,并在攻击进入您的网络之前阻止它。
Cato的安全团队基于妥协指标 (IOCs) 创建针对钓鱼攻击的入侵防御系统和防火墙保护。 IOCs是从各种私有和开源威胁情报源中积累的,这些源包含已知钓鱼活动的信息,如域名、网址和其他数据。 任何匹配已知钓鱼活动IOC的流量会被IPS引擎自动阻止。
安全堆栈中的另一层保护利用基于钓鱼网站特征的启发式和算法。 安全团队分析所有这些网络数据,然后创建可以识别钓鱼攻击来源网站的保护措施。 例如,钓鱼活动可以使用伪造的Office 网址来欺骗用户相信该链接是合法的。 如果用户误点击恶意的Office 链接,入侵防御系统或防火墙可以阻断流量以阻止钓鱼攻击。
此外,IPS包含利用先进机器学习算法和图像处理模型来防护最新钓鱼攻击技术的保护措施。 例如:
-
IPS的机器学习算法可以检测并阻止使用DGA和域名抢注等技术创建的新域名的攻击。
-
IPS图像处理模型可以识别使用假图标的恶意网站,以及使用与合法网站相同图标、图形和其他元素的网站。
安全团队不断分析Cato Cloud中的网络流量,以改进启发式和算法,提高检测新钓鱼攻击的能力。
IPS钓鱼保护使用多种策略来检测和缓解攻击,这有助于在不同阶段阻止钓鱼攻击以最大化保护。 这些是保护策略的类型:
-
阻止访问 - 这些保护措施识别浏览目的地为钓鱼站点并阻止进入。 使用此策略的示例包括基于以下的保护:
-
威胁情报源
-
识别潜在钓鱼站点的机器学习模型
-
新注册域名的识别
-
识别可疑顶级域名的启发式方法
-
检测在未知资源中渲染的合法HTML标题标签的启发式方法
-
-
阻止凭据提交 - 即使用户访问了站点并在浏览器中渲染后,这些保护措施仍然可以阻止钓鱼攻击。 这些保护措施使用启发式方法来检测在恶意站点中渲染的合法网页元素。 例如,在不属于Microsoft 的站点上显示合法Office 徽标。 IPS服务通过阻止用户提交凭据来破坏钓鱼攻击。
-
后妥协检测: 识别在风险性网络表单中提交凭据 - 有时用户可能访问可疑站点,这些站点未被阻止因为它们并非完全恶意。 可疑活动监控 服务可以识别用户在此类风险站点中提交凭据时,并创建事件以警告管理员潜在的入侵。
您可以在主页 > 事件中查看安全事件,并找到您账户中已阻止的钓鱼攻击。 对于被IPS和防火墙阻止的钓鱼攻击,事件的子类型有所不同。 对于IPS事件,威胁类型可以被分类为声誉或钓鱼。
这是一个IPS阻止钓鱼攻击的事件示例:
-
针对钓鱼攻击的IPS事件字段:
-
事件类型 - 安全性
-
事件子类型 - IPS
-
威胁类型 - 声誉
-
威胁名称 - 基于域名声誉的签名 – 钓鱼
-
-
威胁类型 - 钓鱼
-
威胁名称 - 安全团队为这次钓鱼攻击命名的名称
-
-
针对钓鱼攻击的互联网防火墙事件字段:
-
事件类型 - 安全性
-
事件子类型 – 互联网防火墙
-
类别 - 钓鱼
-
-
-
入侵防御系统 缓解措施策略 可通过事件中的 签名 ID 的格式来确定,如下所示:
-
阻止访问的签名前缀为:cid_heur_ba_phishing_detection_
-
阻止凭据提交的签名前缀为:cid_heur_bs_phishing_detection_
-
检测在风险性网络表单提交凭据的签名前缀为:cid_sam_cs_phishing_detection_ 或 cid_sam_suspected_phishing_submission_to_risky_web_form
-
详情请参阅 根据威胁声誉分析安全事件。
XDR 发现事件 生成可能的恶意软件攻击,包括网络钓鱼,并提供调查攻击的工具。 以下是一个使用入侵防护系统阻止的网络钓鱼攻击事件示例。 该事件通过提供攻击描述、相关域名和网址等信息来帮助调查攻击。
0 条评论
请登录写评论。