WatchGuard Accroît les Capacités de son Service TDR (Threat Detection and Response) sur les Postes de Travail avec APT Blocker
octobre 2017 par Marc Jacob
WatchGuard® Technologies annonce un accroissement des fonctionnalités de son service de sécurité TDR (Threat Detection and Response) en mode cloud, destiné aux PME, aux entreprises distribuées et aux fournisseurs de services managés de sécurité. Ce service met en corrélation les événements de sécurité mesurés sur le réseau et les postes de travail avec des ressources de renseignement sur les menaces pour détecter, prioriser et déclencher des actions immédiates pour stopper les attaques de malwares.
TDR Version 5.1 introduit une intégration directe entre les agents installés sur les postes de travail et APT Blocker, la solution ‘sandbox’ dans le cloud de nouvelle génération de WatchGuard. La nouvelle version étend le rayon d’action d’APT Blocker jusqu’aux postes de travail, qu’ils soient connectés ou non au réseau d’entreprise. Ceci permet aux administrateurs réseau et aux fournisseurs de services managés d’analyser automatiquement les fichiers suspects sur les postes de travail au sein du ‘sandbox’ dans le cloud pour identifier des comportements associés aux menaces persistantes, aux attaques ‘zero day’ et aux malwares évasifs, pour une élimination rapide et efficace des menaces sur les postes de travail.
TDR combine plusieurs composants clés pour permettre aux utilisateurs de mieux détecter et éliminer des menaces évasives à la fois sur les réseaux et sur les postes de travail :
• ThreatSync – Le moteur de corrélation dans le cloud de WatchGuard, qui collecte les données sur les événements en temps réel à partir des boîtiers FireBox, des agents sur les postes de travail et des ressources de renseignement sur les menaces. ThreatSync analyse ces données pour générer un score complet des menaces qui déclenche soit une action immédiate par simple clic soit des réponses automatisées basées sur une politique de sécurité.
• Sécurité Réseau UTM – Les boîtiers WatchGuard Firebox M Series, T Series, FireboxV, et Firebox Cloud, ainsi que des services de sécurité existants qui générent des données de sécurité provenant de l’intérieur du réseau, et sont corrélées par ThreatSync.
• Host Sensors – un petit agent logiciel téléchargé sur les ‘endpoints’ qui étend la visibilité de la solution au delà du périmètre du réseau jusqu’aux postes de travail et terminaux individuels. Ces agents envoient les données sur les événements potentiellement malicieux intervenant sur les postes de travail à ThreatSync et APT Blocker pour analyse, évaluation et réponse.
• APT Blocker – exploite une technologie ‘sandbox’ de nouvelle génération pour émuler des environnements cibles et exécuter en toute sécurité des fichiers potentiellement malicieux provenant à la fois du réseau et des postes de travail afin d’analyser leur comportement. Sur la base des réponses d’APT Blocker, le score de ThreatSync est mis à jour, autorisant une intervention automatique pour éliminer la menace.
• Module Host Ransomware Prevention (HRP) – un petit agent logiciel au sein des Host Sensors sur les postes de travail qui exploite les analyses de comportement pour identifier des caractéristiques spécifiques aux ransomwares et désactiver automatiquement ses commandes de cryptage. De nouveaux comportements et caractéristiques de menaces sont constamment ajoutés afin que le module HRP puisse bloquer même les attaques émergentes.
Auparavant, TDR utilisait APT Blocker pour analyser uniquement les menaces provenant de l’intérieur du périmètre du réseau. Avec cette nouvelle version, APT Blocker étend ses puissantes capacités de ‘sandboxing’ à des terminaux individuels en dehors du réseau, en exploitant des données suspectes directement à partir du terminal ‘endpoint’ pour analyse. Désormais, dès que ThreatSync reçoit des données provenant d’un agent qui classent un fichier sur un poste de travail comme potentiellement malicieux, il analyse un échantillon du malware, et le compare à une large bibliothèque de menaces existantes. Si aucune correspondance n’est détectée, TDR transmet le fichier suspect et APT Blocker réalise automatiquement une analyse approfondie en l’exécutant dans une ‘sandbox’ contrôlée dans le cloud qui émule un poste de travail physique afin d’analyser son comportement et ses caractéristiques spécifiques. Une fois qu’APT Blocker a terminé son analyse, il transmet les résultats à ThreatSync, qui alors met à jour le score de menaces et déclenche une réponse automatisée.
Solution entièrement hébergée dans le cloud, l’interface intuitive et en gestion centralisée de TDR permet aux partenaires de WatchGuard de mettre en oeuvre un grand nombre d’abonnements de services sans avoir à passer un temps précieux sur le site des clients. Avec TDR, inclus dans la Total Security Suite de WatchGuard, les fournisseurs de services managés de sécurité peuvent mieux se différencier de leurs concurrents, gagner plus de nouveaux contrats et construire un flux supplémentaire de revenus récurrents en monétisant des services avancés de détection et de réponse aux menaces en continu ; tout ceci avec un seul SKU et une seule licence.
La nouvelle version du service Threat Detection and Response est disponible immédiatement au sein de la Total Security Suite de WatchGuard. Les licences pour les Host Sensors varient en fonction du modèle de FireBox.