WatchGuard voegt sandboxing toe aan Threat Detection and Response

WatchGuard Technologies voegt nieuwe functies toe voor Threat Detection and Response (TDR). Het gaat ondermeer om een sandboxingoplossing waarmee verdachte bestanden nader kunnen worden geïnspecteerd.

TDR is een cloudgebaseerde dienst die middelgrote en kleine bedrijven, gedistribueerde ondernemingen en Managed Security Service Providers (MSSP's) in staat stelt malware-aanvallen sneller detecteren en stoppen. TDR security-events correleert op het netwerk en endpoints met actuele dreigingsinformatie om dreigingen te herkennen. Versie 5.1 voegt hier integratie aan toe tussen de 'Host Sensors' op de endpoints en APT Blocker. Dit is WatchGuard's cloudgebaseerde sandboxingoplossing om verdachte bestanden binnen een gecontroleerde, geëmuleerde omgeving veilig aan een nadere inspectie te onderwerpen.

Sandboxing op endpoints

APT Blocker werkt al langer op netwerkniveau. Door de integratie met Host Sensors is sandboxing nu ook mogelijk op endpoints, ongeacht of die apparaten zijn verbonden met het bedrijfsnetwerk. Als de correlatie-engine ThreatSync data ontvangt van een Host Sensor die een bestand classificeert als potentieel kwaadaardig, wordt er eerst gekeken of een sample van de vermoedelijke malware overeenkomsten vertoont met bestaande en bekende dreigingen.

Is er geen match, dan uploadt TDR het bestand naar de cloudsandbox van WatchGuard. Daar kijkt de oplossing of er bijvoorbeeld sprake is van een Advanced Persistent Threat, zero day-aanval of ontwijkende malware. De resultaten van de analyse worden doorgegeven aan ThreatSync. Die 'scoort' de dreiging en blokkeert deze wanneer noodzakelijk.

‘Verdacht bestand onder de microscoop leggen’

TDR combineert Unified Threat Management met detectie- en responsemogelijkheden op de endpoints. Andrew Young, SVP Product Manager bij WatchGuard: "We gaan nu een stap verder door de sandboxingmogelijkheden van APT Blocker behalve op het netwerk ook op endpoints beschikbaar te stellen. Gebruikers kunnen automatisch een potentieel gevaarlijk endpointbestand onder de microscoop plaatsen om het gedrag te observeren en daarop te reageren."

TDR bestaat uit meerdere elementen voor het detecteren en onschadelijk maken van dreigingen op het netwerk en de endpoints:

• ThreatSync - Dit is WatchGuard's cloudgebaseerde correlatie-engine die in realtime data verzamelt van Firebox-appliances, Host Sensors en cloudgebaseerde intelligence-feeds. Op basis van deze gegevens genereert ThreatSync een uitgebreide dreigingsscore die met behulp van één muisklik of op basis van beleid direct is om te zetten in een actie.
• UTM Network Security - Hiervoor biedt WatchGuard de Firebox M Series, T Series, FireboxV en Firebox Cloud-appliances, evenals bestaande beveiligingsdiensten die beveiligingsgegevens van binnen het netwerk voor correlatie leveren aan ThreatSync.
• Host Sensors - Een lichtgewicht software-agent die wordt geladen op de endpoints en daarmee het zicht uitbreidt van de netwerkperimeter naar de individuele apparaten. Deze sensoren sturen data over mogelijke security-events naar ThreatSync en APT Blocker om te analyseren, scoren en aan te pakken.
• APT Blocker - Maakt gebruik van de nieuwste sandboxingtechnologie om bestanden binnen een geëmuleerde omgeving veilig uit te voeren voor nadere gedragsanalyse. Op basis van de bevindingen wordt de ThreatSync-score bijgewerkt en wordt de dreiging zonodig geblokkeerd.
• Host Ransomware Prevention (HRP) Module - Dit is een lichtgewicht software-agent binnen de Host Sensors op de endpoints. Deze module identificeert ransomware-specifieke kenmerken aan de hand van gedrag. Het schakelt ransomware-aanvallen automatisch uit voordat versleuteling van bestanden plaatsvindt. Aan de database waar HRP gebruik van maakt worden voortdurend nieuwe geavanceerde bedreigingen en kenmerken toegevoegd, zodat HRP ook nieuwe aanvallen kan blokkeren.

Cloudgebaseerd

TDR is volledig cloudgebaseerd. Via de centraal beheerde interface kunnen partners van WatchGuard eenvoudig nieuwe implementaties uitvoeren of problemen bij klanten oplossen zonder veel tijd op klantlocatie door te brengen. Met TDR kunnen MSSP's zich verder van de concurrentie onderscheiden, nieuwe business winnen en zorgen voor een continue inkomstenstroom. En dat allemaal met één SKU en één licentie.

Threat Detection and Response is nu beschikbaar als onderdeel van de WatchGuard Total Security Suite. De licenties voor hostsensoren variëren op basis van het Firebox-model en als aanvulling zijn er extra sensorpakketten beschikbaar.