In questo articolo analizzeremo le funzionalità di Threat Detection & Response, il nuovo servizio di
Watchguard per la predizione delle minacce informatiche.
I criminali informatici sferrano attacchi sempre più complessi e sofisticati, utilizzando sistemi coordinati per accedere alla tua rete da ogni tipo di connessione. Le misure di sicurezza devono tenere il passo aggiungendo funzionalità di rilevamento su reti ed endpoint e correlando questa attività sugli eventi traducendola in azioni mirate. Il servizio Threat Detection and Response (TDR, rilevamento e risposta alle minacce) di WatchGuard correla gli eventi di sicurezza della rete e degli endpoint con intelligence sulle minacce per individuare, classificare e consentire un’azione immediata con cui fermare gli attacchi malware. TDR consente alle piccole e medie imprese e agli MSSP che le supportano di porre rimedio in tutta sicurezza agli attacchi con malware avanzato prima che i dati business-critical o la produttività organizzativa risultino compromessi.
Correlazione degli eventi della rete e degli endpoint
ThreatSync è il nuovo motore WatchGuard basato su cloud per la correlazione e la classificazione delle minacce; consente di migliorare la consapevolezza in merito alla sicurezza e la reazione in tutta la rete fino agli endpoint. ThreatSync acquisisce i dati sugli eventi provenienti da WatchGuard Firebox, da WatchGuard Host Sensor e dai feed di intelligence sulle minacce basati su cloud, e correla questi dati per generare un punteggio globale delle minacce su cui basare le azioni di correzione.
Estendere la visibilità agli endpoint
Il WatchGuard Host Sensor a basso impatto monitora e rileva le attività delle minacce sui dispositivi. L’Host Sensor invia continuamente questi eventi a ThreatSync per la correlazione e la classificazione, ricevendo ed eseguendo le istruzioni per la correzione tattica. Gli Host Sensor sono gestiti centralmente dal cloud, agevolando agli MSSP e agli amministratori IT le operazioni di implementazione, aggiornamento e gestione degli Host Sensor in tutto il mondo.
Intelligence sulle minacce di livello enterprise
In passato, l’intelligence sulle minacce raccolta da fornitori di terze parti era un privilegio riservato alle grandi aziende dotate di ampi budget e team di sicurezza molto estesi. Con Threat Detection and Response, WatchGuard utilizza e analizza l’intelligence sulle minacce, fornendo ai propri clienti i benefici in termini di sicurezza ed evitando la complessità e i costi associati.
Prevenzione avanzata dal ransomware
Host Ransomware Prevention (HRP) è un modulo specifico per il ransomware all’interno di WatchGuard Host Sensor. HRP sfrutta un motore di analisi comportamentale e un honeypot di directory esca per monitorare una vasta gamma di caratteristiche che determinano se una data azione è associata o meno a un attacco ransomware. Se la minaccia è potenzialmente dannosa, HRP può impedire automaticamente un attacco ransomware prima che venga effettuata la crittografia dei file sull’endpoint.
Sicurezza migliorata grazie alla correlazione
ThreatSync, il motore basato su cloud per la correlazione e la classificazione delle minacce di TDR, consente di migliorare la consapevolezza in merito alla
sicurezza e la reazione in tutta la rete fino agli endpoint. ThreatSync è in grado di raccogliere i dati degli eventi di rete da diversi
altri servizi di sicurezza presenti sul dispositivo Firebox, tra cui APT Blocker, Reputation Enabled Defense (RED), Gateway AntiVirus e WebBlocker.
Tali eventi vengono correlati alle attività di minaccia rilevate attraverso WatchGuard Host Sensor e l’intelligence sulle minacce di livello enterprise.
ThreatSync quindi analizza questi dati sulle minacce per assegnare un punteggio dettagliato alle minacce e classificarle in base alla
gravità complessiva. Vengono ritrasmesse a Host Sensor azioni di risposta specifiche, comprendenti l’inserimento di file in quarantena, la
terminazione di processi o l’eliminazione di valori del registro di sistema. Questa tecnologia proprietaria non solo diminuisce il tempo di
rilevamento migliorando la visibilità sulle minacce sia nella rete sia negli endpoint, ma in ultima analisi permette di approntare con sicurezza le
reazioni generando un punteggio globale delle minacce, così da migliorare i tempi di correzione.