Integration von Host-Sensoren und APT Blocker in den Cloud-Dienst TDR
Watchguard erweitert Endpoint-Schutz
Der Netzwerksicherheitsspezialist Watchguard hat seinen Cloud-basierten Sicherheits-Service TDR (Threat Detection and Response) um weitere Schutzmechanismen für den Endpunkt erweitert. Der Cloud-Dienst verknüpfe aktuelle Informationen zur Bedrohungslage und sicherheitsrelevante Echtzeit-Daten aus dem Netzwerk und vom Endpunkt zur Gefahrenerkennung und -abwehr. Durch die Integration von Host-Sensoren und der Sandbox-Technik des herstellereigenen Security-Dienstes APT Blocker hat WatchGuard nach eigenen Angaben den Schutz vor Bedrohungen nochmal erhöht.
IT-Verantwortliche und MSSPs (Managed Seecurity Service Provider) sollen mit der TDR-Version 5.1 in der Lage sein, sofort verdächtige Daten direkt am Endpunkt über die Cloud-Sandbox zu analysieren - selbst wenn sich der jeweilige Endpunkt außerhalb des eigentlichen Unternehmensnetzwerks befindet. Persistent Threats, Zero-Day-Risiken und Verhaltensweisen, die auf komplexe Malware hindeuten, lassen sich nach Bekunden des Herstellers auf diese Weise aufdecken und die dadurch entstehenden Gefahren gezielt und automatisiert abwenden.
Zu den Kernkomponenten des Cloud-Dienstes TDR zum Endpoint-Schutz gehören laut Watchguard:
- ThreatSync: Das Cloud-basierte Korrelationswerkzeug des Security-Anbieters sammele die Echtzeit-Ereignisdaten der Firebox-Appliances und Host-Sensoren und führt diese mit Threat Intelligence Feeds zusammen. Durch die Analyse ergebe sich ein ausführlicher Bedrohungsindex, anhand dessen IT-Verantwortliche entweder per Mausklick oder entsprechend vordefinierter Policies Gegenmaßnahmen (automatisiert) einleiten können.
- UTM Network Security: Neben den Firebox-Modellen der Serien M und T sowie der FireboxV und den Cloud-Appliances von WatchGuard steuern auch die eingesetzten UTM-Services spezifische Sicherheitsinformationen aus dem Netzwerk für die ThreatSync-Korrelation bei.
- Host-Sensoren: Nach der Installation der Softwareagenten auf dem Endgerät sollen diese zusätzliche sicherheitsrelevante Einblicke hinsichtlich individueller Endgeräte jenseits des Netzwerks garantieren. Gleichzeitig senden die Sensoren Informationen zu potenziell gefährlichen Aktivitäten am Endpunkt an ThreatSync und APT Blocker, die die jeweiligen Bedrohungen analysieren, bewerten und adressieren.
- APT Blocker: Stellt laut Hersteller eine moderne Sandbox bereit, die reale Netzwerkumgebungen nachahmt und daher die gefahrlose Ausführung und gleichzeitige Analyse verdächtiger Datenpakete aus dem Netzwerk und vom Endpunkt ermöglicht. Basierend auf der Rückmeldung von APT Blocker wird der ThreatSync-Bedrohungsindex zeitnah aktualisiert, um umgehend spezifische Gegenmaßnahmen zur Eliminierung der Gefahr anzustoßen.
- Host Ransomware Prevention (HRP)-Modul: Als weiterer Softwareagent innerhalb der Endpunkt-Host-Sensoren übernimmt das HRP-Modul die Verhaltensanalyse zur Identifizierung Ransomware-spezifischer Eigenschaften. Eine mit Ransomware-Angriffen einhergehende Vorverschlüsselung wird nach Bekunden des Herstellers automatisch unterbunden. Informationen zu neu entdeckten Eigenschaften und Verhaltensweisen beziehe das HRP-Modul umgehend in die weitere Betrachtung ein. Dadurch soll TDR auch neuen Entwicklungen gegenüber die Oberhand behalten.
Der erweiterte TDR-Service ist ab sofort im Rahmen der Watchguard Total Security Suite erhältlich. Host-Sensor-Lizenzen variieren je nach Firebox-Modell, zusätzliche Sensorpakete sind gegen Aufpreis erhältlich. Weitere Informationen stehen unter www.watchguard.com zur Verfügung.
Lesen Sie mehr zum Thema
