WatchGuard breidt Threat Detection and Response uit met sandboxing
September 25, 2017 Leave a comment
APT Blocker stopt onbekende dreigingen nu ook op endpoints
Voor een snelle detectie correleert TDR security-events op het netwerk en endpoints met actuele dreigingsinformatie. Versie 5.1 voegt hier integratie aan toe tussen de ‘Host Sensors’ op de endpoints en APT Blocker. Dit is WatchGuard’s cloudgebaseerde sandboxingoplossing om verdachte bestanden binnen een gecontroleerde, geëmuleerde omgeving veilig aan een nadere inspectie te onderwerpen.
Sandboxing op endpoints
Is er geen match, dan uploadt TDR het bestand naar de cloudsandbox van WatchGuard. Daar kijkt de oplossing of er bijvoorbeeld sprake is van een Advanced Persistent Threat, zero day-aanval of ontwijkende malware. De resultaten van de analyse worden doorgegeven aan ThreatSync. Die ‘scoort’ de dreiging en blokkeert deze wanneer noodzakelijk.
“TDR is de enige oplossing die de kracht van een complete Unified Threat Management (UTM)-netwerkbeveiligingsdienst combineert met detectie- en responsmogelijkheden op de endpoints”, zegt Andrew Young, SVP Product Manager bij WatchGuard. “We gaan nu een stap verder door de sandboxingmogelijkheden van APT Blocker behalve op het netwerk ook op endpoints beschikbaar te stellen. Gebruikers kunnen automatisch een potentieel gevaarlijk endpointbestand onder de microscoop plaatsen om het gedrag te observeren en daarop te reageren.”
Meerdere elementen
- ThreatSync – Dit is WatchGuard’s cloudgebaseerde correlatie-engine die in realtime data verzamelt van Firebox-appliances, Host Sensors en cloudgebaseerde intelligence-feeds. Op basis van deze gegevens genereert ThreatSync een uitgebreide dreigingsscore die met behulp van één muisklik of op basis van beleid direct is om te zetten in een actie.
- UTM Network Security – Hiervoor biedt WatchGuard de Firebox M Series, T Series, FireboxV en Firebox Cloud-appliances, evenals bestaande toonaangevende beveiligingsdiensten die beveiligingsgegevens van binnen het netwerk voor correlatie leveren aan ThreatSync.
- Host Sensors – Een lichtgewicht software-agent die wordt geladen op de endpoints en daarmee het zicht uitbreidt van de netwerkperimeter naar de individuele apparaten. Deze sensoren sturen data over mogelijke security-events naar ThreatSync en APT Blocker om te analyseren, scoren en aan te pakken.
- APT Blocker – Maakt gebruik van de nieuwste sandboxingtechnologie om bestanden binnen een geëmuleerde omgeving veilig uit te voeren voor nadere gedragsanalyse. Op basis van de bevindingen wordt de ThreatSync-score bijgewerkt en wordt de dreiging zonodig geblokkeerd.
- Host Ransomware Prevention (HRP) Module – Dit is een lichtgewicht software-agent binnen de Host Sensors op de endpoints. Deze module identificeert ransomware-specifieke kenmerken aan de hand van gedrag. Het schakelt ransomware-aanvallen automatisch uit voordat versleuteling van bestanden plaatsvindt. Er worden voortdurend nieuwe geavanceerde bedreigingen en kenmerken toegevoegd, zodat HRP nieuwe aanvallen kan blokkeren.
Threat Detection and Response is nu beschikbaar als onderdeel van de WatchGuard Total Security Suite. De licenties voor hostsensoren variëren op basis van het Firebox-model en als aanvulling zijn er extra sensorpakketten beschikbaar. Ga voor meer informatie naar www.watchguard.com/TDR.
Extra informatie:
- TDR Datasheet
- TDR Tech Brief
- Host Sensor Data Sheet
- ThreatSync Feature Brief
- eBook: Achieving Security Bliss through Correlation
- Whitepaper: Defending against known, unknown, and evasive threats with WatchGuard Threat Detection and Response
Recent Comments