Catoクラウドでは、既知の脅威については、マルウェア対策ソリューション Anti Malware（AM）で検出を行い、未知の脅威やゼロデイ攻撃からは、機械学習エンジンを活用した高度マルウェア対策ソリューション Next-Generation Anti Malware（NGAM）での検出を行います。さらに、IPSでサイバーキルチェーン（※）全体で使用される異常な動作を検出します。

※ サイバーキルチェーン（Cyber Kill Chain）･･･2009年にアメリカの宇宙船・航空機製造会社 ロッキード・マーチン社が作成したサイバー攻撃の行動段階を構造化して整理したもの。軍事用語で敵の攻撃構造を破壊するという考え方「キルチェーン」をサイバー攻撃（標的型攻撃）における攻撃者行動として、1.偵察、2.武器化、3.配送（デリバリー）、4.攻撃（エクスプロイト）、5.インストール、6.遠隔操作（C&C）、7.目的実行 の7つのステップに分解したもの。

IPSとAM/NGAMを使用して、一般的なランサムウェアグループが使用するMITREのテクニックを検出・防止し、インパクトフェーズの前に攻撃を見抜きます。
そして、この戦略の一環として、Catoのセキュリティ研究者が、ランサムウェアグループが使用するテクニックを追跡し、Catoの防御を更新し、既知の脆弱性の悪用から企業を記録的な速さで保護しています。

つまり、Catoクラウドでは、EmotetやWannaCry等のランサムウェアに対して、AM/NGAMによる検出以外に、マルウェアファイルのダウンロードや、ファイル暗号化を行うSMBトラフィックの検査・ブロックすることで、ランサムウェアの攻撃の検出と軽減を実現しています。
AMまたはNGAMでのランサムウェアの未検出は問題ではありません。

・ランサムウェアの配送（デリバリー）をブロック
・C&Cトラフィックを検出し、遠隔操作をブロック
・リモートドライブ/フォルダへのアクセス試行を特定する
・秒単位でのドライブ/フォルダの暗号化を監視する

一方で、Catoクラウド（PoP）を経由しない通信（例. 拠点内/LAN通信、Off-Cloud通信）については、Catoクラウドでの検査を行うことはできませんので、エンドポイントの防御については、必要に応じて検討が必要となります。

Cato SASE Cloud Becomes First SASE Platform with Network-based Ransomware Protection
https://www.catonetworks.com/news/cato-sase-cloud-becomes-first-sase-platform-with-network-based-ransomware-protection/
SASE Approach to Enterprise Ransomware Protection
https://www.catonetworks.com/blog/a-sase-approach-to-enterprise-ransomware-protection/