本文解释了Cato Cloud安全堆栈中的IPS安全服务如何保护您的网络免受勒索软件试图恶意加密您网络中的资源的攻击。
当您启用入侵防护系统来阻止WAN流量时,这有助于防止勒索软件尝试横向移动并在WAN上传播。
勒索软件仍然是对组织最危险的威胁之一,这些攻击可以锁定和加密受害者的数据。 然后会有解锁和解密数据的付款要求。 Cato利用安全堆栈引擎尽快破坏攻击链。
-
IPS – Cato的IPS包括来自众多威胁情报来源的数据,能够阻止潜在的勒索软件,包括:
-
访问可疑网站,这些网站可能与不同的威胁有关(例如恶意软件C&C、勒索软件、钓鱼等)
-
尝试传播勒索软件的可疑恶意主机
-
在广域网上横向移动的流量,将利用威胁参与者为勒索软件服务
-
-
互联网防火墙 – 保护用户免于访问恶意网站(如恶意软件类别),这些网站可能造成意外下载恶意负载,其中可能包含勒索软件。
-
反恶意软件和下一代反恶意软件 – 提供额外的保护层,并为Cato ZTNA(零信任网络访问)作出贡献。 这些引擎阻止任何恶意下载尝试,并在在用户设备上执行之前阻止相关勒索软件。
注意
注意: 当操作设置为阻止时,这些Cato保护功能有效。
您可以在主页 > 事件中查看安全事件,并查找您账户中被阻止的疑似勒索软件攻击事件。 对于这些被IPS和防火墙阻止的攻击,有不同的事件子类型。 对于IPS事件,可以将威胁类型分类为勒索软件。
这是一个被IPS阻止的疑似勒索软件攻击事件的示例:
此入侵防护系统保护的逻辑基于计数器,它计算短时间范围内(几小时)的SMB活动以识别勒索软件攻击。 在这段时间内,如果入侵防护系统引擎确定某个主机可能是勒索软件的来源,那么它会阻止该主机发出的所有SMB WAN流量(端口445)。
当IPS识别勒索软件攻击时,它可能基于被识别为勒索软件的行为模式匹配的流量。 事件可能是误报,实际上是合法流量。
如果您发现IPS阻止了一次勒索软件攻击,很可能您的某些内部资源已经被勒索软件打击。 Cato的IPS保护机制致力于防止勒索软件在WAN上传播,而您的EPP解决方案将最小化相关站点在LAN中的损害。
此列表包含针对被勒索软件攻击击中的内部资源的建议后续步骤:
-
从网络中隔离感染的主机(在WAN和互联网防火墙中)。
-
识别您组织中的哪些资产成为勒索软件攻击的目标。
-
您可以在这里查看CISA关于勒索软件事件的建议。 例如:
-
识别攻击损坏或影响的文件。
-
确认恶意软件家族或作者的身份。
-
确保所有企业设备安装终端保护软件,并更新能够识别本次攻击负责的恶意软件的签名。
-
0 条评论
请登录写评论。