WatchGuard breidt Threat Detection and Response uit met sandboxing

APT Blocker stopt onbekende dreigingen nu ook op endpoints

Den Haag, 25 september 2017WatchGuard Technologies stelt nieuwe functies beschikbaar voor Threat Detection and Response (TDR). Met deze cloudgebaseerde dienst kunnen middelgrote en kleine bedrijven, gedistribueerde ondernemingen en Managed Security Service Providers (MSSP’s) malware-aanvallen sneller detecteren en stoppen.

Voor een snelle detectie correleert TDR security-events op het netwerk en endpoints met actuele dreigingsinformatie. Versie 5.1 voegt hier integratie aan toe tussen de ‘Host Sensors’ op de endpoints en APT Blocker. Dit is WatchGuard’s cloudgebaseerde sandboxingoplossing om verdachte bestanden binnen een gecontroleerde, geëmuleerde omgeving veilig aan een nadere inspectie te onderwerpen.

Sandboxing op endpoints

APT Blocker werkte al op netwerkniveau. Door de integratie met Host Sensors is sandboxing nu ook mogelijk op endpoints, ongeacht of die apparaten zijn verbonden met het bedrijfsnetwerk. Als de correlatie-engine ThreatSync data ontvangt van een Host Sensor die een bestand classificeert als potentieel kwaadaardig, wordt er eerst gekeken of een sample van de vermoedelijke malware overeenkomsten vertoont met bestaande en bekende dreigingen.

Is er geen match, dan uploadt TDR het bestand naar de cloudsandbox van WatchGuard. Daar kijkt de oplossing of er bijvoorbeeld sprake is van een Advanced Persistent Threat, zero day-aanval of ontwijkende malware. De resultaten van de analyse worden doorgegeven aan ThreatSync. Die ‘scoort’ de dreiging en blokkeert deze wanneer noodzakelijk.

“TDR is de enige oplossing die de kracht van een complete Unified Threat Management (UTM)-netwerkbeveiligingsdienst combineert met detectie- en responsmogelijkheden op de endpoints”, zegt Andrew Young, SVP Product Manager bij WatchGuard. “We gaan nu een stap verder door de sandboxingmogelijkheden van APT Blocker behalve op het netwerk ook op endpoints beschikbaar te stellen. Gebruikers kunnen automatisch een potentieel gevaarlijk endpointbestand onder de microscoop plaatsen om het gedrag te observeren en daarop te reageren.”

Meerdere elementen

TDR biedt meerdere elementen voor het detecteren en onschadelijk maken van dreigingen op het netwerk en de endpoints:
  • ThreatSync – Dit is WatchGuard’s cloudgebaseerde correlatie-engine die in realtime data verzamelt van Firebox-appliances, Host Sensors en cloudgebaseerde intelligence-feeds. Op basis van deze gegevens genereert ThreatSync een uitgebreide dreigingsscore die met behulp van één muisklik of op basis van beleid direct is om te zetten in een actie.
  • UTM Network Security – Hiervoor biedt WatchGuard de Firebox M Series, T Series, FireboxV en Firebox Cloud-appliances, evenals bestaande toonaangevende beveiligingsdiensten die beveiligingsgegevens van binnen het netwerk voor correlatie leveren aan ThreatSync.
  • Host Sensors – Een lichtgewicht software-agent die wordt geladen op de endpoints en daarmee het zicht uitbreidt van de netwerkperimeter naar de individuele apparaten. Deze sensoren sturen data over mogelijke security-events naar ThreatSync en APT Blocker om te analyseren, scoren en aan te pakken.
  • APT Blocker – Maakt gebruik van de nieuwste sandboxingtechnologie om bestanden binnen een geëmuleerde omgeving veilig uit te voeren voor nadere gedragsanalyse. Op basis van de bevindingen wordt de ThreatSync-score bijgewerkt en wordt de dreiging zonodig geblokkeerd.
  • Host Ransomware Prevention (HRP) Module – Dit is een lichtgewicht software-agent binnen de Host Sensors op de endpoints. Deze module identificeert ransomware-specifieke kenmerken aan de hand van gedrag. Het schakelt ransomware-aanvallen automatisch uit voordat versleuteling van bestanden plaatsvindt. Er worden voortdurend nieuwe geavanceerde bedreigingen en kenmerken toegevoegd, zodat HRP nieuwe aanvallen kan blokkeren.
Onderscheidend voor partners
TDR is volledig cloudgebaseerd. Via de centraal beheerde, intuïtieve interface kunnen partners van WatchGuard eenvoudig nieuwe implementaties uitvoeren of problemen bij klanten oplossen zonder veel tijd op klantlocatie door te brengen. Met TDR kunnen MSSP’s zich verder van de concurrentie onderscheiden, nieuwe business winnen en zorgen voor een continue inkomstenstroom. En dat allemaal met één SKU en één licentie.

Threat Detection and Response is nu beschikbaar als onderdeel van de WatchGuard Total Security Suite. De licenties voor hostsensoren variëren op basis van het Firebox-model en als aanvulling zijn er extra sensorpakketten beschikbaar. Ga voor meer informatie naar www.watchguard.com/TDR.

Extra informatie:

Over WatchGuard Technologies
WatchGuard Technologies is wereldwijd leider in netwerkbeveiliging en levert Unified Threat Management (UTM)-oplossingen, next-generation firewalls, veilige wifiverbindingen en network intelligence-dienstverlening van topkwaliteit aan meer dan 75.000 klanten over de hele wereld. De bedrijfsmissie is security van enterpriseniveau mogelijk maken voor alle soorten organisaties, ongeacht hun grootte. Dit doet WatchGuard met eenvoud als uitgangspunt, waardoor het diensten- en productenportfolio uitermate geschikt is voor zowel grote ondernemingen als het MKB. Het hoofdkantoor is gevestigd in Seattle. Daarnaast heeft WatchGuard vestigingen in Noord-Amerika, Europa, Azië en Latijns-Amerika. Het Europese hoofdkantoor is gevestigd in Den Haag. Voor meer informatie kunt u terecht op: www.watchguard.com

Voor extra informatie, promoties en updates, volg WatchGuard op Twitter (@WatchGuard), Facebook of via de LinkedIn-bedrijfspagina. Of bezoek onze InfoSec-blog, Secplicity, voor meer realtime updates over de laatste dreigingen en hoe daarmee om te gaan: www.secplicity.org