2019-7-29
A WatchGuard anunciou um conjunto de atualizações à sua plataforma de correlação e resposta a ameaças, ThreatSync, com a introdução de Threat Detection and Response (TDR)
Entre as melhorias introduzidas pela WatchGuard na plataforma ThreatSync encontram-se capacidades de deteção acelerada de falhas de segurança, correlação de processos de rede e análise de ameaças através de IA, permitindo aos fornecedores de serviços geridos (MSPs) e às organizações que estes suportam uma redução nos tempos de deteção e contenção - de meses para apenas minutos -, bem como a automatização da mitigação de malware de dia zero e uma melhor defesa contra ameaças dirigidas e com capacidades de evasão, quer dentro, quer fora do perímetro da rede. “À medida que os cibercriminosos aproveitam cada vez mais os ataques direcionados e avançados com características evasivas concebidas para contornar as proteções básicas anti-malware, as pequenas e médias empresas sem conhecimentos e recursos de segurança adequados dependem muito de fornecedores de soluções de TI de confiança para responder de forma rápida e eficaz aos ataques”, afirma Brendan Patterson, vice-presidente de gestão de produtos da WatchGuard. “Estes novos recursos do ThreatSync dão aos MSPs as ferramentas de que necessitam para fornecer serviços de deteção e resposta a malware (MDR), permitindo detetar violações em apenas minutos e mitigando automaticamente ataques avançados perpetrados contra os seus clientes, e tudo isto através das suas implementações TDR já existentes.” De acordo com o Ponemon Institute, o tempo médio de identificação (MTTI) para uma violação de segurança é de 197 dias, enquanto o tempo médio de contenção (MTTC) é de 69 dias após a deteção inicial. Só no primeiro trimestre de 2019, o malware de dia zero capaz de escapar às soluções antivírus tradicionais (AV) representou 36% das ameaças, de acordo com o último Internet Security Report da WatchGuard. A estreita correlação entre as appliances Firebox, os sensores do host TDR nos endpoints e a plataforma ThreatSync da WatchGuard permite que os MSPs ofereçam mitigação automatizada para ataques de malware de dia zero e identificação automatizada de processos desconhecidos conectados a destinos maliciosos. Isto significa que os clientes podem ficar tranquilos sabendo que o seu fornecedor de soluções de TI de confiança consegue detetar violações e remediar ameaças em apenas alguns minutos.
Contenção do host e resposta automáticaO ThreatSync contém rapidamente qualquer máquina host que foi comprometida, protegendo-a do resto da rede da empresa. Assim que uma ameaça é identificada, a Contenção de Host toma medidas automaticamente para controlar as infeções antes que estas se espalhem. Uma vez contido, o ThreatSync elimina o malware interrompendo automaticamente os processos, colocando em quarentena os ficheiros maliciosos e excluindo as chaves de registo associadas.
Deteção de violação aceleradaO ThreatSync identifica imediatamente ficheiros maliciosos em todos os endpoints protegidos e inicia automaticamente a correção. Isto adiciona correlação com a segurança de endpoint que não está presente na maioria das soluções de segurança de rede comparáveis. Quando os utilizadores fazem o download de ficheiros desconhecidos da Web, o Firebox envia-os primeiro para o APT Blocker, a sandbox na cloud de última geração da WatchGuard, para análise avançada enquanto os sensores do host nos endpoints da vítima monitorizam-nos ativamente e os resultados são correlacionados com o ThreatSync.
Correlação dos processos de redeO ThreatSync não só identifica e bloqueia ligações para destinos maliciosos, como também responde automaticamente a processos desconhecidos responsáveis por essas ligações. Com o ThreatSync, as ligações de saída maliciosas bloqueadas pelas appliances Firebox da WatchGuard são correlacionadas para revelar o endpoint e o processo inicial, sendo o processo automaticamente encerrado. Este recurso dá aos MSPs e administradores de rede informações contextuais detalhadas sobre o destino da rede, nome do serviço, nome do host e processo, permitindo-lhes responder com êxito e evitar incidentes futuras.
Análise de Inteligência ArtificialO ThreatSync usa novos recursos de IA para automaticamente analisar e fazer a triagem a ficheiros, identificando os que possuem características suspeitas antes de os direcionar para o APT Blocker para análise posterior. Isto minimiza o tempo que os administradores de TI gastam a gerir alertas e impede que ficheiros realmente suspeitos não sejam detetados, o que permite que os MSPs e as empresas identifiquem e bloqueiem ameaças reais com mais rapidez e confiança.
Atualmente, o ThreatSync é licenciado como parte do serviço TDR da WatchGuard, padrão em todas as implementações da Total Security Suite.
|