Sistema di prevenzione delle intrusioni (IPS) di Cato

Gli autori degli attacchi si avvalgono spesso e volentieri di tecniche come Domain Squatting e Domain Generation Algorithms (DGA) per aggirare gli strumenti di prevenzione basati sulla reputazione. L’IPS di Cato integra modelli AI/ML complessi nel suo motore di ispezione in tempo reale allo scopo di rilevare Domain Squatting e DGA. Le minacce vengono identificate attraverso dei modelli di deep learning e la correlazione di punti dati, come popolarità del dominio, età, modelli di lettere e altro ancora. La falsa impersonificazione del marchio viene rilevata mediante l’analisi dei componenti della pagina web come favicon, immagini e testo.
Lo spostamento di strumenti precedentemente disponibili solo nell’analisi post-mortem nella prevenzione in tempo reale migliora significativamente l’efficacia della prevenzione e il livello di sicurezza aziendale.

Un attacco ransomware che provochi il massimo impatto implica la consegna del ransomware, la comunicazione di comando e controllo (C&C) con l’aggressore e la propagazione attraverso la rete.
Oltre a disporre della piena visibilità sia sul traffico Internet sia su quello WAN, l’IPS di Cato impedisce la proliferazione di malware e la comunicazione C&C mediante l’arresto del download di file dannosi e l’accesso a domini e indirizzi IP associati a ransomware e attività dannose. La propagazione attraverso la WAN viene ostacolata dal rilevamento e dal blocco dei modelli e degli indicatori di movimento laterale.
La visibilità completa dell’IPS di Cato assicura non solo una riduzione dell’esposizione al ransomware, ma ne minimizza anche il potenziale impatto di attacco.

Spesso, le aziende hanno difficoltà con i processi, le risorse e il tempo necessario a proteggere le proprie reti dalle CVE emergenti. L’IPS di Cato mette a disposizione patch virtuali per proteggere tempestivamente le reti dei nostri clienti lì dove il tempo di mitigazione sia di vitale importanza. Il team dedicato di esperti di Cato crea, testa e impiega nuove regole IPS in tempi record per adattarsi rapidamente a nuove CVE, senza necessità di coinvolgere il cliente. Questo sistema virtuale garantisce alle aziende protezione dalle nuove minacce ad alto rischio, il tutto mentre le patch vengono aggiornate e applicate ai sistemi interessati.

Sfruttando la potenza dell’architettura nativa del cloud, Cato propone un IPS elastico e scalabile, dando così la possibilità alle aziende di ispezionare tutto il traffico, compreso il traffico crittografato TLS. Le vaste risorse di cloud computing eliminano la necessità di ottimizzare i set di firme o limitare il traffico trasmesso all’IPS. Tutte le posizioni e gli utenti, unitamente all’infrastruttura al cloud, alle filiali e agli utenti in remoto, sono protetti dall’IPS di Cato, eliminando in tal modo la necessità di ridimensionare e aggiornare le apparecchiature FW/IPS. Grazie a Cato, le organizzazioni non si ritrovano più con un IPS che ispeziona il traffico solo parzialmente o che impiega un set limitato di firme a causa dei vincoli che affliggono le risorse.

Uno dei metodi più semplici per ridurre la superficie di attacco della tua organizzazione è interdire i Paesi con cui la tua struttura non ha necessità di interagire. L’IPS di Cato ti permette di bloccare rapidamente il traffico da e/o verso determinate aree geografiche con un’unica policy globale che si applica a tutti gli utenti e a tutte le località.

L’IPS di Cato ricorre all’euristica per localizzare minacce e attacchi in tempo reale. Le euristiche abbracciano una serie di condizioni che vengono esaminate in armonia con il traffico di rete reale.
Parte di Single Pass Cloud Engine (SPACE) di Cato, l’IPS di Cato ha visibilità sui dati che le soluzioni IPS autonome non sono in grado di prendere in considerazione, tra cui la classificazione URL, l’ID dell’app, il punteggio di rischio target, la popolarità del target, l’impronta digitale del dispositivo, l’autenticazione dell’utente e altro ancora.
Attraverso un linguaggio euristico appositamente concepito per sfruttare la vera convergenza SASE, le aziende godono di una solida prevenzione delle minacce in tempo reale.

L’intelligence aggiornata sulle minacce è fondamentale per garantire l’efficacia dell’IPS contro malware, phishing e server di comando e controllo (C&C), nonché per ridurre l’attrito causato dai falsi positivi. L’IPS di Cato fa ricorso a un sistema di reputazione basato sull’intelligenza artificiale progettato a tale scopo che aggrega e assegna autonomamente un punteggio alle informazioni provenienti da oltre 250 feed di intelligence sulle minacce. Il sistema mappa ed elimina ininterrottamente le sovrapposizioni tra i feed, misura la qualità e la pertinenza dei record delle minacce e simula il potenziale impatto sul traffico reale. Una blacklist aggiornata e aggregata viene automaticamente pubblicata su tutti i PoP di Cato, assicurando una protezione aggiornata con quasi zero falsi positivi e nessun coinvolgimento del cliente.