IPS如何防御网络钓鱼攻击

本文介绍了Cato Cloud安全堆栈中的IPS和互联网防火墙如何保护您的网络免受钓鱼攻击。

Cato 安全性堆栈如何识别钓鱼攻击

钓鱼仍然是对组织最危险的威胁之一,钓鱼攻击可以成为渗透公司网络或窃取凭据和其他私人数据的初始媒介。 安全堆栈中的Cato IPS服务和互联网防火墙采用不同的技术识别流量为钓鱼攻击,并在攻击进入您的网络之前阻止它。

基于威胁情报源的 IOC

Cato的安全团队基于妥协指标 (IOCs) 创建针对钓鱼攻击的入侵防御系统和防火墙保护。 IOCs是从各种私有和开源威胁情报源中积累的,这些源包含已知钓鱼活动的信息,如域名、网址和其他数据。 任何匹配已知钓鱼活动IOC的流量会被IPS引擎自动阻止。

基于流量分析的启发式和算法

安全堆栈中的另一层保护利用基于钓鱼网站特征的启发式和算法。 安全团队分析所有这些网络数据,然后创建可以识别钓鱼攻击来源网站的保护措施。 例如,钓鱼活动可以使用伪造的Office 网址来欺骗用户相信该链接是合法的。 如果用户误点击恶意的Office 链接,入侵防御系统或防火墙可以阻断流量以阻止钓鱼攻击。

此外,IPS包含利用先进机器学习算法和图像处理模型来防护最新钓鱼攻击技术的保护措施。 例如:

  • IPS 机器学习算法可以检测和阻止使用 DGA 和网络钓鱼等技术创建的新域名攻击
  • IPS 图像处理模型可以识别使用伪造图标的恶意站点,以及使用与合法站点相同图标、图形和其他元素的站点

安全团队不断分析Cato Cloud中的网络流量,以改进启发式和算法,提高检测新钓鱼攻击的能力。

检测和缓解措施

IPS钓鱼保护使用多种策略来检测和缓解攻击,这有助于在不同阶段阻止钓鱼攻击以最大化保护。 这些是保护策略的类型:

  • 阻止访问 - 这些保护措施识别浏览目的地为钓鱼站点并阻止进入。 使用此策略的示例包括基于以下的保护:

    • 威胁情报源
    • 识别潜在钓鱼站点的机器学习模型
    • 新注册域名的识别
    • 识别可疑顶级域名的启发式方法
    • 检测在未知资源中渲染的合法 HTML 标题标签的启发式方法
  • 阻止凭证提交——高级钓鱼页面元素检测 - 这些保护可以在用户已经访问恶意站点并在浏览器中完全渲染网页后仍然阻止钓鱼攻击。 该引擎使用高级启发式方法检测页面上非 Microsoft 拥有或运营的合法 Office 365 视觉和功能元素。 攻击者越来越多地克隆真实资产,当检测到受信任品牌资产和不受信任域名之间存在这种不一致时,IPS 服务会在关键时刻通过阻止凭证提交进行干预。 重要的是,用户不会看到阻止页面。 相反,系统会静默防止凭证离开设备或浏览器会话。 相应的安全事件在 CMA 中生成,威胁名称:尝试将敏感信息插入钓鱼站点。
  • 后妥协检测——识别高风险网页表单中的凭证提交 - 在某些情况下,用户可能会访问无法明确分类为恶意的可疑域,因此不会立即被阻止。 在这些情况下,可疑活动监控 (SAM) 服务提供了关键的次要保护层。 SAM 通过持续监控用户与高风险或不受信任的网页表单的交互,检测指示凭证窃取的行为。 如果用户在这样的站点上输入或提交公司凭证,SAM 会生成详细事件以通知管理员可能的妥协,以便他们能够立即采取行动。
    要启用这些检测,必须启用 TLS 检查,允许检查加密流量以识别恶意页面中使用的合法 Microsoft 资产。还必须为以下 Microsoft 域名启用 TLS 检查:
    • windows.net​
    • windows.com
    • ​msauthimages.net
    • msauth.net
    • msftauthimages.net
       

审查阻止的钓鱼攻击事件

您可以在主页 > 事件中查看安全事件,并找到您账户中已阻止的钓鱼攻击。 对于被IPS和防火墙阻止的钓鱼攻击,事件的子类型有所不同。 对于IPS事件,威胁类型可以被分类为声誉钓鱼

这是一个IPS阻止钓鱼攻击的事件示例:

PhishingEvent.png

  • 针对钓鱼攻击的IPS事件字段:

    • 事件类型 - 安全性
    • 事件子类型 - IPS

    • 威胁类型 - 声誉

      • 威胁名称 - 基于域名声誉的签名 – 钓鱼

    • 威胁类型 - 钓鱼

      • 威胁名称 - 安全团队为这次钓鱼攻击命名的名称

    • 针对钓鱼攻击的互联网防火墙事件字段:

      • 事件类型 - 安全性
      • 事件子类型 – 互联网防火墙
      • 类别 - 钓鱼

  • 入侵防御系统 缓解措施策略 可通过事件中的 签名 ID 的格式来确定,如下所示:

    • 阻止访问的签名前缀为:cid_heur_ba_phishing_detection_
    • 阻止凭据提交的签名前缀为:cid_heur_bs_phishing_detection_
    • 检测在风险性网络表单提交凭据的签名前缀为:cid_sam_cs_phishing_detection_cid_sam_suspected_phishing_submission_to_risky_web_form

详情请参阅 根据威胁声誉分析安全事件

审查钓鱼攻击的XDR事件

XDR 发现事件 生成可能的恶意软件攻击,包括网络钓鱼,并提供调查攻击的工具。 以下是一个使用入侵防护系统阻止的网络钓鱼攻击事件示例。 该事件通过提供攻击描述、相关域名和网址等信息来帮助调查攻击。

XDR_Phishing_Story.png

Cato 已阻止网络钓鱼攻击 - 接下来该怎么办?

如果您发现入侵防护系统或互联网防火墙已为您的账户阻止了网络钓鱼攻击,本部分包含建议的后续步骤。

  1. 识别贵组织中哪些终端用户是网络钓鱼攻击的目标。
  2. 与终端用户交谈,并确定他们与该网站共享了哪种类型的信息。

  3. 告诉终端用户采取以下操作:

    • 更改他们在该网站的密码
    • 从与该网站相关的所有服务中发起完整注销
  4. 检查所共享(或可能共享的)数据是否代表任何风险。

这篇文章有帮助吗?

3 人中有 3 人觉得有帮助

0 条评论