WatchGuard ha aggiornato le capacità di rilevazione e rimedio automatico delle sue soluzioni con una sandbox che blocca attacchi sconosciuti ed evasivi
WatchGuard, produttore di soluzioni di sicurezza di rete, ha annunciato un aggiornamento delle funzionalità di Threat Detection and Response (TDR), un servizio cloud-based per piccole e medie imprese (PMI), aziende distribuite e fornitori di servizi di sicurezza gestita (MSSPs).
Il servizio permette di correlare gli eventi di sicurezza della rete e degli endpoint con l’intelligence delle minacce per rilevare, dare priorità e abilitare un’azione immediata per bloccare attacchi malware.
La versione 5.1 di TDR introduce una diretta integrazione degli Host Sensors sugli endpoint con APT Blocker, la soluzione sanbox su cloud di WatchGuard. In pratica, l’integrazione estende le capacità di APT Blocker anche agli endpoint, sia che si trovino sulla rete aziendale oppure no.
L’obiettivo è di permettere agli amministratori IT e ai MSSP di analizzare in modo automatizzato file sospetti di endpoint nella sandbox in cloud per identificare comportamenti associati con minacce persistenti, attacchi zero day e malware evasivo.
TDR, ha illustrato la società, combina svariati elementi chiave per permettere di rilevare meglio e porre rimedio a minacce evasive sia dentro le reti che a livello di endpoint. Tra questi:
- ThreatSync –motore di correlazione basato su cloud che raccoglie dati di eventi in tempo reale dalle appliance Firebox, dagli Host Sensor e dai feed della cloud intelligence sulle minacce di livello enterprise. ThreatSync analizza i dati con un algoritmo proprietario e assegna un punteggio generale, creando una classifica delle minacce per pericolosità, che attiva le risposte automatizzate basate su policy o gli interventi manuali suggeriti.
- Host Sensors – agenti software leggeri caricati nei client endpoint che estendono la visibilità di sicurezza oltre il perimetro di rete fino ai singoli dispositivi. I sensori inviano dati di eventi di sicurezza degli endpoint potenzialmente pericolosi al motore ThreatSync e a APT Blocker per essere analizzati, valutati con un punteggio e risolti.
- APT Blocker – si basa su una sandbox con emulazione dell’ambiente operativo al fine di eseguire in modo sicuro file potenzialmente pericolosi provenienti sia dalla rete che dagli endpoint per analizzare il loro comportamento.
- Host Ransomware Prevention (HRP) –agente software leggero inserito negli Host Sensors che si basa sull’analisi comportamentale per identificare caratteristiche specifiche del ransomware e disattivare automaticamente la pre-crittografia bloccandone il processo.
Va osservato, ha spiegato WatchGuard, che In precedenza TDR si basava su APT Blocker per analizzare minacce all’interno del perimetro della rete. Con l’aggiornamento di TDR, APT Blocker sta estendendo le sue capacità di sandboxing in cloud ai singoli dispositivi esterni alla rete, prendendo i dati delle minacce direttamente dall’endpoint per l’analisi.
Ogni volta che ThreatSync riceve dati dagli Host Sensor che classifica come file di un endpoint potenzialmente malevolo, analizza un hash del campione di malware e lo confronta con una libreria estesa di minacce esistenti.
Se non viene trovato nessun match, TDR carica il file sospetto e APT Blocker compie in modo automatico un’analisi profonda eseguendolo in una sandbox in cloud controllata che emula un endpoint fisico per analizzare il suo comportamento e le sue caratteristiche.
Una volta che l’analisi di APT Bocker è terminata, rilascia il risultato a ThreatSync, che poi aggiorna il punteggio di minaccia e abilita il rimedio automatico.