Cato Cloud 如何保护您的帐户免受可疑 Chrome 扩展的影响

本文解释了入侵防御系统如何保护您的网络免受可疑和恶意的 Chrome 浏览器扩展的影响。

Cato 的入侵防御系统如何识别可疑的 Chrome 扩展

Chrome 扩展为用户提供了许多功能,但企业面临着保护自己免受攻击者利用通常被信任的 Chrome 扩展通过各种攻击向量进行攻击的挑战。 反恶意软件服务无法区分良性和恶意扩展,从而使组织容易受到攻击。 Cato 的入侵防御系统通过高级技术提供网络漏洞保护,识别潜在的恶意扩展,为您的组织提供独特而有价值的保护。

先决条件

  • Chrome 扩展的保护包括在入侵防御系统许可证中。 有关购买入侵防御系统许可证的更多信息,请联系您的 Cato 代表。

  • 入侵防御系统服务必须启用并设置为 阻止 操作以实现 Chrome 扩展保护功能。

威胁情报源的微调

恶意的 Chrome 扩展可能滥用其在感染主机上的权限级别来丢弃恶意软件并危害主机。 这使整个网络暴露在勒索软件、数据泄漏、资源耗尽等威胁之下。 入侵防御系统服务利用创新技术来维护、开发和微调威胁情报源,从而能够识别与 Chrome 扩展相关的可疑活动。

阻止 Chrome 扩展威胁

一旦入侵防御系统服务检测到主机已连接到 Cato 云并使用可疑的 Chrome 扩展,服务会阻止该网络流中的 HTTP/S 连接。 这阻止了主机使用可疑扩展,并阻止与扩展的连接以防止其获取更新、发送数据等。

注意

注意:仅根据入侵防御系统的 保护范围 设置阻止可疑和恶意扩展。 例如,如果 WAN 流量 范围设置为 监控允许,则该范围不会受到恶意 Chrome 扩展的保护。

审查被阻止的 Chrome 扩展事件

您可以在 主页 > 事件 中审查安全事件,并找到与 Chrome 扩展相关的入侵防御系统阻止事件。

这是一个关于被阻止的 Chrome 扩展的事件示例:

Chrome_Extension_Event.png

这些是与可疑的 Chrome 扩展事件相关的入侵防御系统事件字段:

  • 事件类型 - 安全性

  • 事件子类型 - 入侵防御系统

  • MITRE ATT&CK® Techniques - Command and Scripting Interpreter (T1059)

  • 威胁类型 - PuP

  • 威胁名称 - 低信誉度的 Chrome 扩展

以下是 Chrome 扩展事件的签名 ID 示例:

  • feed_suspicous_chrome_ext_low_popu

  • feed_suspicous_chrome_ext_high_popu

  • feed_risky_chrome_ext_in_webstore

  • feed_risky_chrome_ext_in_webstore_no_intersect

For more information about event logs, see Analyzing Events in Your Network.

Cato 阻止了 Chrome 扩展 - 接下来该怎么办?

在 Cato 阻止 Chrome 扩展后,我们建议 IT 经理检查所有使用中的 Chrome 扩展,并删除任何不熟悉的。 此外,由于恶意的 Chrome 扩展可能感染合法的扩展以利用其权限,最佳做法是移除所有现有的浏览器扩展并将 Chrome 重置为默认设置。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论