Cato Networks為SASE平臺增加自適應(yīng)威脅防護(hù)功能

Cato Networks推出了一款名為自適應(yīng)威脅預(yù)防引擎的新功能，旨在阻止多階段攻擊在造成損害或中斷之前得手。

Cato動態(tài)預(yù)防功能已集成到該廠商的安全訪問服務(wù)邊緣（SASE）平臺中。該功能專門應(yīng)對那些逐步展開、單獨(dú)查看時看起來無害的攻擊。該引擎不再僅僅依賴時點(diǎn)檢查或靜態(tài)規(guī)則，而是分析長期行為模式，并關(guān)聯(lián)多個安全控制的信號，以便在攻擊鏈的早期階段檢測可疑活動。

Cato Networks安全與管理產(chǎn)品管理副總裁Lior Cohen表示："威脅行為者濫用可信工具和有效憑據(jù)，他們知道大多數(shù)防御措施仍在分析孤立事件，依靠人工為更復(fù)雜的攻擊鏈連接線索。Cato動態(tài)預(yù)防通過持續(xù)理解上下文中的行為、預(yù)測威脅行為者的下一步行動，并自動執(zhí)行只會影響真正威脅的保護(hù)措施來改變游戲規(guī)則。因此，這可以在漏洞形成之前阻止?jié)撛谕{。"

Cato動態(tài)預(yù)防在較長時間內(nèi)監(jiān)控跨用戶、設(shè)備和站點(diǎn)的網(wǎng)絡(luò)和安全活動。當(dāng)它識別出與惡意行為一致的模式時，會自動應(yīng)用自適應(yīng)控制來阻止或限制高風(fēng)險行為，無需IT或安全團(tuán)隊(duì)的手動干預(yù)。

據(jù)該公司介紹，這種方法針對那些使用合法憑據(jù)和可信工具、將活動分散在數(shù)天或數(shù)周內(nèi)的威脅行為者。單獨(dú)來看，這些行為可能不會觸發(fā)警報。在基于斷開連接的點(diǎn)產(chǎn)品構(gòu)建的環(huán)境中，關(guān)聯(lián)這些信號可能既緩慢又耗費(fèi)資源，通常會延遲響應(yīng)直到攻擊的后期階段。

Cato Networks產(chǎn)品營銷經(jīng)理Makiko Yamada在公司博客中寫道："傳統(tǒng)安全工具旨在發(fā)現(xiàn)明顯的時點(diǎn)指標(biāo)、簽名、已知惡意IP或孤立異常。但現(xiàn)代攻擊被設(shè)計得看起來很常規(guī)：它們使用合法的管理工具，'低調(diào)緩慢'地分散活動，并將入侵分解為單獨(dú)看起來無害的小步驟。結(jié)果是大量弱警報和延遲行動，讓團(tuán)隊(duì)在攻擊者已經(jīng)行動后手動連接線索。"

由于該功能在Cato的云原生SASE架構(gòu)內(nèi)運(yùn)行，它還可以利用內(nèi)置服務(wù)生成的遙測數(shù)據(jù)，如入侵防護(hù)、反惡意軟件、安全Web網(wǎng)關(guān)和數(shù)據(jù)丟失防護(hù)。該公司表示，這種統(tǒng)一的可見性能夠提供更深層次的上下文和更準(zhǔn)確的關(guān)聯(lián)。

Yamada解釋說："關(guān)鍵是關(guān)聯(lián)：一次內(nèi)部掃描可能是IT任務(wù)；一次遠(yuǎn)程執(zhí)行命令可能是標(biāo)準(zhǔn)操作；一次異常認(rèn)證可能是用戶旅行。然而，當(dāng)這些事件在多個主機(jī)和網(wǎng)絡(luò)中以可疑序列發(fā)生時，組合模式就變得更難忽視。"

動態(tài)預(yù)防功能現(xiàn)已作為Cato SASE云平臺的一部分全面可用，該平臺運(yùn)行在由90多個接入點(diǎn)（PoP）組成的私有全球骨干網(wǎng)上，通過多個SLA支持的網(wǎng)絡(luò)提供商連接。

Q&A

Q1：Cato動態(tài)預(yù)防功能是什么？它解決什么問題？

A：Cato動態(tài)預(yù)防是一種自適應(yīng)威脅預(yù)防引擎，專門應(yīng)對多階段攻擊。它解決了傳統(tǒng)安全工具只能分析孤立事件、無法有效關(guān)聯(lián)復(fù)雜攻擊鏈的問題，通過分析長期行為模式和關(guān)聯(lián)多個安全控制信號來早期檢測威脅。

Q2：為什么傳統(tǒng)安全工具難以防護(hù)現(xiàn)代攻擊？

A：現(xiàn)代攻擊被設(shè)計得看起來很常規(guī)，使用合法管理工具，采用"低調(diào)緩慢"的方式分散活動，將入侵分解為單獨(dú)看起來無害的小步驟。傳統(tǒng)工具只關(guān)注時點(diǎn)指標(biāo)和孤立異常，難以關(guān)聯(lián)這些分散的可疑行為。

Q3：Cato動態(tài)預(yù)防如何實(shí)現(xiàn)自動化防護(hù)？

A：該功能在較長時間內(nèi)監(jiān)控跨用戶、設(shè)備和站點(diǎn)的網(wǎng)絡(luò)活動，識別出與惡意行為一致的模式后，會自動應(yīng)用自適應(yīng)控制來阻止或限制高風(fēng)險行為，無需IT或安全團(tuán)隊(duì)手動干預(yù)，從而在威脅形成前就將其阻止。