WatchGuard Technologies ha aggiornato le funzionalità di Threat Detection and Response (TDR), il servizio cloud-based per piccole e medie imprese, aziende distribuite e fornitori di servizi di sicurezza gestita, che correla gli eventi di sicurezza della rete e degli endpoint con l’intelligence delle minacce per rilevare e bloccare attacchi malware.
La versione 5.1 di TDR introduce una diretta integrazione degli Host Sensors sugli endpoint con APT Blocker, la soluzione sanbox di nuova generazione su cloud di WatchGuard. Questa integrazione estende le capacità di APT Blocker anche agli endpoint, sia che si trovino sulla rete aziendale oppure no. Ciò permette agli amministratori It e ai MSSP di analizzare in modo automatizzato file sospetti di endpoint nella sandbox in cloud per identificare comportamenti associati con minacce persistenti, attacchi zero day e malware evasivo, per un rimedio rapido e sicuro delle minacce su endpoint.
Le minacce passano al microscopio di WatchGuard
TDR combina molti elementi chiave per permettere agli utenti di rilevare meglio e porre rimedio a minacce evasive sia dentro le loro reti che sui loro endpoint:
• ThreatSync – il motore di correlazione basato su cloud di WatchGuard che raccoglie dati di eventi in tempo reale dalle appliance Firebox, dagli Host Sensor e dai feed della cloud intelligence sulle minacce di livello enterprise. ThreatSync analizza questi dati con un algoritmo proprietario e assegna un punteggio generale, creando una classifica delle minacce per pericolosità, che attiva le risposte automatizzate basate su policy o gli interventi manuali suggeriti.
• Sicurezza di rete UTM – le appliance WatchGuard Firebox M Series, T Series, FireboxV, Firebox Cloud, così come i servizi di sicurezza che contribuiscono alla correlazione trasmettendo a ThreatSync i dati della sicurezza della rete.
• Host Sensors – agenti software leggeri caricati nei client endpoint che estendono la visibilità di sicurezza oltre il perimetro di rete fino ai singoli dispositivi. Questi sensori inviano dati di eventi di sicurezza degli endpoint potenzialmente pericolosi al motore ThreatSync e a APT Blocker per essere analizzati, valutati con un punteggio e risolti.
• APT Blocker – si basa su una sandbox di nuova generazione con emulazione completa dell’ambiente operativo al fine di eseguire in modo sicuro file potenzialmente pericolosi provenienti sia dalla rete che dagli endpoint per analizzare il loro comportamento. In base alla risposta di APT Blocker, il punteggio di ThreatSync viene aggiornato, consentendo un rimedio automatizzato per eliminare la minaccia.
• Host Ransomware Prevention (HRP) – un agente software leggero inserito negli Host Sensors che si basa sull’analisi comportamentale per identificare caratteristiche specifiche del ransomware e disattivare automaticamente la pre-crittografia bloccandone il processo. Nuove caratteristiche e comportamenti di minacce avanzate vengono costantemente aggiunti per assicurare che HRP possa bloccare attacchi emergenti.
Con questo nuovo aggiornamento di TDR, APT Blocker sta estendendo le sue potenti capacità di sandboxing di nuova generazione in cloud ai singoli dispositivi esterni alla rete, prendendo i dati delle minacce direttamente dall’endpoint per l’analisi. Ora, ogni volta che ThreatSync riceve dati dagli Host Sensor che classifica come file di un endpoint potenzialmente malevolo, analizza un hash del campione di malware, e lo confronta con una libreria estesa di minacce esistenti. Se non viene trovato nessun match, TDR carica il file sospetto e APT Blocker compie in modo automatico un’analisi profonda eseguendolo in una sandbox in cloud controllata che emula un endpoint fisico per analizzare il suo comportamento e le sue caratteristiche. Una volta che l’analisi di APT Bocker è terminata, rilascia il risultato a ThreatSync, che poi aggiorna il punteggio di minaccia e abilita il rimedio automatico.
Un jolly nelle mani dei partner di canale
Soluzione interamente basata su cloud, l’interfaccia intuitiva completamente gestita a livello centrale di TDR permette ai partner di offrire numerosi abbonamenti senza spendere troppo tempo presso la sede del cliente per nuove implementazioni o per la risoluzione di problematiche. Con TDR, incluso in WatchGuard Total Security Suite, i MSSPs possono differenziare ulteriormente i loro servizi rispetto alla concorrenza, ottenendo maggiori opportuità di business, e costruirsi così un fatturato aggiuntivo ricorrente monetizzando servizi di rilevazione e risposta continui e più avanzati; tutto questo con un unico codice prodotto e un’unica licenza.
Il servizio Threat Detection and Response è disponibile in WatchGuard Total Security Suite. Le licenze di Host Sensors variano in base al modello di Firebox; sono disponibili pacchetti di sensori aggiuntivi come offerta add-on.