WatchGuard aggiorna le funzionalità di Threat Detection and Response (TDR), il suo servizio cloud-based che correla gli eventi di sicurezza della rete e degli endpoint con l’intelligence delle minacce per bloccare attacchi malware.
Con il rilascio della versione 5.1 di TDR, viene introdotta l’integrazione diretta dei sensori memorizzati sugli endpoint con APT Blocker, la soluzione sandbox su cloud di WatchGuard.
Il servizio TDR è disponibile in WatchGuard Total Security Suite e si avvale di una serie di componenti che comprendono:
- ThreatSync, il motore di correlazione basato su cloud che raccoglie e analizza in tempo reale i dati di eventi legati a possibili minacce, provenienti dalle appliance Firebox, da sensori distribuiti e dai feed della cloud intelligence;
- le appliance UTM WatchGuard Firebox che trasmettendo a ThreatSync i dati della sicurezza della rete;
- una serie di agenti software memorizzati nei client endpoint che inviano dati legati a eventi di sicurezza al motore ThreatSync e ad APT Blocker;
- APT Blocker, la sandbox in cloud che emula l’ambiente operativo al fine di analizzare il comportamento di file sospetti all’interno di un ambiente sicuro;
- l’agente software Host Ransomware Prevention che viene inserito nei sensori host, che utilizza l’analisi comportamentale per identificare caratteristiche specifiche dei ransomware e disattivare automaticamente la pre-crittografia bloccandone il processo.
Il nuovo livello di integrazione estende le capacità di APT Blocker anche agli endpoint e permette di analizzare in modo automatizzato i file sospetti all’interno di una sandbox in cloud per identificare possibili comportamenti nocivi, acquisendo i dati da analizzare direttamente dall’endpoint.
Quando ThreatSync riceve dati su potenziali minacce da un endpoint, prima effettua un confronto con una libreria estesa di minacce note, quindi li analizza tramite APT Blocker all’interno di una sandbox in cloud che emula un endpoint fisico.
Una volta che l’analisi di APT Blocker è terminata, il risultato viene rilasciato a ThreatSync, che aggiorna il punteggio di minaccia ed eventualmente abilita il rimedio automatico.
“Dal suo lancio, TDR è stata l’unica soluzione sul mercato a combinare la capacità completa dei servizi di sicurezza di rete UTM (Unified Threat Management) con le capacità di rilevazione e risposta degli endpoint – dichiara Andrew Young, SVP of product management in WatchGuard -. Con i nostri ultimi aggiornamenti di TDR abbiamo compiuto un ulteriore passo in avanti, grazie all’estensione delle capacità avanzate di sandboxing di APT Blocker dalla rete all’endpoint. Ora, gli utenti possono mettere un file di un endpoint potenzialmente pericoloso sotto un microscopio in modo automatizzato per osservarne le caratteristiche e gli obiettivi del suo comportamento e rispondere in modo adeguato.”