Cato Networks把动态预防功能整合进了自家的SASE平台,这玩意儿就是个自适应威胁预防引擎。它专门盯梢那种在造成损失前就被堵死的多阶段攻击。要知道,威胁者往往用合法的工具和凭据搞事,还知道大多数防御系统只会盯着孤立的事件看,非要靠人工去把复杂的攻击链条给接上。 Cato的新引擎不一样,它不搞什么死板的规则和时点检查,而是去分析长期的行为模式,把各个安全控制发出来的信号给关联起来,这样就能在攻击刚冒头的时候就给它扼杀在摇篮里。Cato Networks的副总裁Lior Cohen说得直白:“以往大家都在抱怨怎么抓不到坏人,其实是因为大多数人只知道看那几个死板的指标。现在有了这个动态预防,系统自己就能理解上下文、预测坏人下一步要干嘛,然后只把保护措施用到真正的威胁上,这样就能在漏洞形成之前就把潜在的威胁给拦住。” 这款功能平时就在云端的SASE架构里跑着,还能利用自己平台上的入侵防护、反恶意软件、安全Web网关这些服务产生的遥测数据。Cato说这种统一的视角能提供更深的上下文和更准确的关联。产品营销经理Makiko Yamada也在博客里吐槽过传统工具:“老一套工具就盯着那些明显的攻击特征看,要么就是知名的恶意IP。” 但现在的坏人造的反花样可多了:他们用着合法的管理工具,动作慢吞吞的一点不显眼,还把入侵拆分成了好多小步骤。结果就是一大堆虚惊一场的警报出来了,等到安全团队反应过来的时候,坏人早就动手了。 因为Cato的SASE是架在私有全球骨干网上的(上面有90多个接入点PoP),所以它的响应速度特别快。这就好比在高速公路上跑得飞快一样。 至于具体怎么干活?动态预防会长期盯着跨用户、设备和站点的网络活动看。一旦它发现了那种跟恶意行为很像的模式,就会自动调整控制措施把高风险的行为给拦下来或者限制住。不用IT或者安全团队再去动手点鼠标操作了。 这套体系专门用来对付那些用合法凭据和工具搞破坏的人。这种人往往把活动分散在好几天甚至好几个星期里。如果单独看这些动作的话,根本就不会触发警报。 如果是在以前那种把不同的安全产品拼起来的环境里搞关联分析?那可真是又慢又费劲儿。等到真正搞出来的时候往往已经晚了。 所以现在有了这套系统,Yamada说关键就在于关联起来看:“一次内部扫描可能是IT的活儿;一次远程命令可能是标准操作;一次异常登录可能是用户出差去了。但如果这几个事件在多个主机和网络里以一种可疑的顺序发生了?” 那时候组合出来的模式就变得很难忽视了。 好消息是这个动态预防现在已经作为Cato SASE云平台的一部分全面可用了。至于咱们平时关心的问题?来看看问答时间吧。 AQ1:Cato动态预防功能到底是个啥?它解决什么问题? 答:这就是个自适应威胁预防引擎,专门用来对付那种分步骤搞破坏的攻击。它解决了以前工具只能看单点事件、连不上复杂链条的问题,靠看长期行为和多个控制信号来提前发现危险。 AQ2:为啥以前的老安全工具防不住现在的坏家伙? 答:因为现在的攻击看着都挺正常:用的是合法工具,动作慢吞吞的也不显眼,还把入侵拆成了好多个小步骤。以前的工具只认那些明显的特征或者孤立的异常点,根本连不上这种分散的可疑行为。 AQ3:这个动态预防怎么做到自动防护的? 答:它长期监控跨用户、设备和站点的网络活动。一旦发现恶意模式就会自动阻断或限制高风险行为。不用IT或者安全团队手动去管了,这就能在漏洞形成前就把威胁给拦住。