Cato Dynamic Prevention

Der Netzwerksicherheitsanbieter Cato Networks adressiert diese Lücke nun mit Cato Dynamic Prevention, einer neuen Komponente seiner SASE-Plattform (Secure Access Service Edge). Die Engine korreliert Netzwerk- und Sicherheitssignale kontinuierlich über einen Zeitraum von mehreren Monaten, erkennt verhaltensbasierte Angriffsmuster und leitet automatisch Gegenmaßnahmen ein – auch dann, wenn einzelne Ereignisse für sich genommen unaufällig wirken.

Angriffe entwickeln sich unbemerkt – klassische Abwehr greift zu spät

Das grundlegende Problem liegt in der Architektur herkömmlicher Sicherheitsprodukte: Sie analysieren Ereignisse einzeln und in Echtzeit, ohne Aktivitäten über längere Zeiträume, verschiedene Hosts oder Netzwerksegmente hinweg miteinander zu verknüpfen. Angreifer haben sich darauf eingestellt. Sie führen eine Reihe von Aktionen mit niedriger Auffälligkeit aus, die erst in der Gesamtschau als Angriffskette erkennbar sind.

Laut einer Erhebung des Marktforschungsunternehmens Gartner fehlen 61 Prozent der Unternehmen spezialisierte Fachkräfte für die aktive Bedrohungssuche. Sicherheitsanalysten agieren dadurch häufig reaktiv – und verlieren wertvolle Zeit, in der sich Angreifer bereits im Netzwerk festgesetzt haben.

Swissport International, ein Dienstleister für Bodenabfertigung und Luftfracht mit mehr als 360 Standorten weltweit, setzt die Cato SASE-Plattform für über 26.000 Nutzer ein. Für den CISO des Unternehmens ist verzögerte Erkennung kein abstraktes Risiko: Im Flughafenbetrieb kann jede Störung unmittelbare operative Konsequenzen haben.

Verhaltensbasierte Korrelation statt punktueller Überprüfung

Cato Dynamic Prevention ist nativ in die bestehende SASE-Plattform integriert und greift auf Signale aller Inline-Sensoren zu – darunter Data Loss Prevention (DLP), Intrusion Prevention System (IPS) und Next-Generation Anti-Malware (NGAM). Ergänzt werden diese durch Out-of-Band-Analyseverfahren. Die Engine bewertet Aktivitäten nicht isoliert, sondern im Gesamtkontext: Sie korreliert Ereignisse über Monate und baut dabei ein kontinuierlich aktualisiertes Verhaltensprofil auf.

Identifiziert das System böswilliges Verhalten, passt die Plattform ihre Sicherheitsrichtlinien automatisch an und blockiert risikobehaftete Aktionen in Echtzeit – einschließlich aller damit verbundenen Aktivitäten des Bedrohungsakteurs. Ein manueller Eingriff durch IT- oder SOC-Personal ist dafür nicht erforderlich.

KI-gestützte Angriffe erhöhen den Handlungsdruck

Die Einführung von Cato Dynamic Prevention fällt in eine Phase, in der Angriffe durch den Einsatz von KI-Werkzeugen und autonomen Agenten deutlich komplexer werden. Angreifer automatisieren Angriffsketten, missbrauchen legitime Anmeldedaten und bewegen sich gezielt unterhalb der Erkennungsschwellen herkömmlicher Sicherheitssysteme.

Durch die kontinuierliche Kontextauswertung soll die Engine in der Lage sein, die nächsten Schritte eines Angreifers vorherzusagen und präventiv einzugreifen – bevor eine Sicherheitsverletzung eingetreten ist. Gleichzeitig soll die Zahl von Fehlalarmen sinken, da Aktionen nur dann blockiert werden, wenn das Verhaltensmuster eindeutig auf eine Bedrohung hindeutet.

Einordnung: SASE als Konsolidierungsansatz

Das SASE-Konzept vereint Netzwerk- und Sicherheitsfunktionen in einer einzigen cloudbasierten Plattform. Cato Networks verfolgt dabei den Ansatz, alle Sicherheitssignale zentral zu bündeln, um die Kontexttiefe zu schaffen, die für verhaltensbasierte Erkennung notwendig ist. Cato Dynamic Prevention zeigt, wohin sich dieser Ansatz entwickelt: weg von der manuellen Analyse einzelner Ereignisse, hin zu automatisierter, kontextbewusster Prävention.

Für Sicherheitsteams in ressourcenarmen Umgebungen könnte das relevant sein: Wenn adaptive Regeln automatisch greifen, sinkt der operative Aufwand für Routine-Untersuchungen. Ob die Engine in der Praxis hält, was die Ankündigung verspricht, wird sich im produktiven Einsatz zeigen.

Network security provider Cato Networks is now addressing this gap with Cato Dynamic Prevention, a new component of its SASE (Secure Access Service Edge) platform. The engine continuously correlates network and security signals over a period of several months, detects behavior-based attack patterns, and automatically initiates countermeasures – even if individual events appear inconspicuous on their own.

Attacks develop unnoticed – classic defenses react too late

The fundamental problem lies in the architecture of conventional security products: they analyze events individually and in real time without linking activities across longer periods of time, different hosts, or network segments. Attackers have adapted to this. They carry out a series of low-visibility actions that are only recognizable as a chain of attacks when viewed as a whole.

According to a survey by market research company Gartner, 61 percent of companies lack specialized personnel for active threat hunting. As a result, security analysts often act reactively – and lose valuable time in which attackers have already established themselves in the network.

Swissport International, a ground handling and air freight service provider with more than 360 locations worldwide, uses the Cato SASE platform for over 26,000 users. For the company’s CISO, delayed detection is not an abstract risk: in airport operations, any disruption can have immediate operational consequences.

Behavior-based correlation instead of selective checks

Cato Dynamic Prevention is natively integrated into the existing SASE platform and accesses signals from all inline sensors, including data loss prevention (DLP), intrusion prevention system (IPS), and next-generation anti-malware (NGAM). These are supplemented by out-of-band analysis methods. The engine evaluates activities not in isolation, but in their overall context: It correlates events over months, building a continuously updated behavioral profile.

If the system identifies malicious behavior, the platform automatically adjusts its security policies and blocks risky actions in real time—including all related activities of the threat actor. No manual intervention by IT or SOC personnel is required.

AI-powered attacks increase the pressure to act

The introduction of Cato Dynamic Prevention comes at a time when attacks are becoming significantly more complex due to the use of AI tools and autonomous agents. Attackers automate attack chains, misuse legitimate login credentials, and deliberately operate below the detection thresholds of conventional security systems.

Through continuous context analysis, the engine should be able to predict an attacker’s next steps and intervene preventively—before a security breach has occurred. At the same time, the number of false alarms should decrease, as actions are only blocked if the behavior pattern clearly indicates a threat.

Classification: SASE as a consolidation approach

The SASE concept combines network and security functions in a single cloud-based platform. Cato Networks takes the approach of centrally bundling all security signals to create the depth of context necessary for behavior-based detection. Cato Dynamic Prevention shows where this approach is heading: away from manual analysis of individual events and toward automated, context-aware prevention.

This could be relevant for security teams in resource-poor environments: when adaptive rules take effect automatically, the operational effort required for routine investigations is reduced. Whether the engine delivers what it promises in practice will become clear in productive use.