Cato Networks推出了一款名为自适应威胁预防引擎的新功能，旨在阻止多阶段攻击在造成损害或中断之前得手。

Cato动态预防功能已集成到该厂商的安全访问服务边缘（SASE）平台中。该功能专门应对那些逐步展开、单独查看时看起来无害的攻击。该引擎不再仅仅依赖时点检查或静态规则，而是分析长期行为模式，并关联多个安全控制的信号，以便在攻击链的早期阶段检测可疑活动。

Cato Networks安全与管理产品管理副总裁Lior Cohen表示："威胁行为者滥用可信工具和有效凭据，他们知道大多数防御措施仍在分析孤立事件，依靠人工为更复杂的攻击链连接线索。Cato动态预防通过持续理解上下文中的行为、预测威胁行为者的下一步行动，并自动执行只会影响真正威胁的保护措施来改变游戏规则。因此，这可以在漏洞形成之前阻止潜在威胁。"

Cato动态预防在较长时间内监控跨用户、设备和站点的网络和安全活动。当它识别出与恶意行为一致的模式时，会自动应用自适应控制来阻止或限制高风险行为，无需IT或安全团队的手动干预。

据该公司介绍，这种方法针对那些使用合法凭据和可信工具、将活动分散在数天或数周内的威胁行为者。单独来看，这些行为可能不会触发警报。在基于断开连接的点产品构建的环境中，关联这些信号可能既缓慢又耗费资源，通常会延迟响应直到攻击的后期阶段。

Cato Networks产品营销经理Makiko Yamada在公司博客中写道："传统安全工具旨在发现明显的时点指标、签名、已知恶意IP或孤立异常。但现代攻击被设计得看起来很常规：它们使用合法的管理工具，'低调缓慢'地分散活动，并将入侵分解为单独看起来无害的小步骤。结果是大量弱警报和延迟行动，让团队在攻击者已经行动后手动连接线索。"

由于该功能在Cato的云原生SASE架构内运行，它还可以利用内置服务生成的遥测数据，如入侵防护、反恶意软件、安全Web网关和数据丢失防护。该公司表示，这种统一的可见性能够提供更深层次的上下文和更准确的关联。

Yamada解释说："关键是关联：一次内部扫描可能是IT任务；一次远程执行命令可能是标准操作；一次异常认证可能是用户旅行。然而，当这些事件在多个主机和网络中以可疑序列发生时，组合模式就变得更难忽视。"

动态预防功能现已作为Cato SASE云平台的一部分全面可用，该平台运行在由90多个接入点（PoP）组成的私有全球骨干网上，通过多个SLA支持的网络提供商连接。

Q&A

Q1：Cato动态预防功能是什么？它解决什么问题？

A：Cato动态预防是一种自适应威胁预防引擎，专门应对多阶段攻击。它解决了传统安全工具只能分析孤立事件、无法有效关联复杂攻击链的问题，通过分析长期行为模式和关联多个安全控制信号来早期检测威胁。

Q2：为什么传统安全工具难以防护现代攻击？

A：现代攻击被设计得看起来很常规，使用合法管理工具，采用"低调缓慢"的方式分散活动，将入侵分解为单独看起来无害的小步骤。传统工具只关注时点指标和孤立异常，难以关联这些分散的可疑行为。

Q3：Cato动态预防如何实现自动化防护？

A：该功能在较长时间内监控跨用户、设备和站点的网络活动，识别出与恶意行为一致的模式后，会自动应用自适应控制来阻止或限制高风险行为，无需IT或安全团队手动干预，从而在威胁形成前就将其阻止。