Vom Endpunkt gehen Bedrohungen aus, das weiß jeder Netzwerkadministrator. Aber was tun, wenn Daten verdächtig erscheinen? Watchguard hat als Antwort seinen Cloud-basierten Sicherheitsdienst TDR (Threat Detection and Response) erweitert: Mit Version 5.1 von TDR können IT-Verantwortliche verdächtige Daten direkt am Endpunkt über die Cloud-Sandbox auf Herz und Nieren prüfen. Dieses Vorgehen ist auch gewährleistet, wenn sich der jeweilige Endpunkt außerhalb des eigentlichen Unternehmensnetzwerks befindet. Watchguard erhöht zusätzlich die Sicherheit durch die Integration von Software-Agenten als Host-Sensoren.

 

„Seit der Einführung von TDR koppeln wir UTM-Netzwerksicherheitsservices mit der Endpunkt-Erkennung und entsprechenden Handlungsoptionen“, erklärt Watchguard-Manager Andrew Young. „Jetzt gehen wir noch einen Schritt weiter, indem wir die Sandboxing-Technologie von APT Blocker für externe Endgeräte nutzen. Anwender können nun auch potenziell gefährliche Daten, die vom Endpunkt ausgehen, hinsichtlich Verhaltensauffälligkeiten genau und automatisiert unter die Lupe nehmen und gemäß dieser Analyse passgenau reagieren“.

TDR umfasst fünf Kernkomponenten, die IT-Sicherheitsverantwortliche in die Lage versetzen, schwer fassbare Gefahren aufzudecken und abzuwehren – sowohl innerhalb des Netzes als auch am Endpunkt:

  • Threatsync: Das Cloud-basierte Korrelationswerkzeug sammelt die Echtzeit-Ereignisdaten der Firebox-Appliances und Host Sensoren und führt diese mit Threat-Intelligence-Feeds zusammen. Durch die Analyse ergibt sich ein ausführlicher Bedrohungsindex, anhand dessen entweder per Mausklick oder entsprechend vordefinierter Policies Gegenmaßnahmen (automatisiert) eingeleitet werden können.
  • UTM Network Security: Neben den Firebox-Modellen der Serien M und T sowie der FireboxV und den Cloud-Appliances von Watchguard steuern auch die eingesetzten UTM-Services spezifische Sicherheitsinformationen aus dem Netzwerk für die Threatsync-Korrelation bei.
  • Host-Sensoren: Die schlanken Software-Agenten werden auf das Endgerät geladen und liefern zusätzliche sicherheitsrelevante Einblicke hinsichtlich individueller Endgeräte jenseits des Netzwerks. Gleichzeitig senden die Sensoren Informationen zu potenziell gefährlichen Aktivitäten am Endpunkt an Threatsync und APT Blocker, die die jeweiligen Bedrohungen analysieren, bewerten und adressieren.
  • APT Blocker: Stellt eine moderne Sandbox bereit, die reale Netzwerkumgebungen nachahmt und daher die gefahrlose Ausführung und gleichzeitige Analyse verdächtiger Datenpakete aus dem Netzwerk und vom Endpunkt ermöglicht. Basierend auf der Rückmeldung von APT Blocker wird der Threatsync-Bedrohungsindex zeitnah aktualisiert, um umgehend spezifische Gegenmaßnahmen zur Eliminierung der Gefahr anzustoßen.
  • HRP-Modul (Host Ransomware Prevention): Das Modul übernimmt als Software-Agent innerhalb der Endpunkt-Host-Sensoren die Verhaltensanalyse zur Identifizierung Ransomware-spezifischer Eigenschaften. Eine mit Ransomware-Angriffen einhergehende Vorverschlüsselung wird automatisch unterbunden. Informationen zu neu entdeckten Eigenschaften und Verhaltensweisen werden umgehend in die weitere Betrachtung einbezogen, so dass TDR auch neuen Entwicklungen gegenüber die Oberhand behält.

Der erweiterte TDR-Service ist jetzt im Rahmen der Watchguard Total Security Suite erhältlich. Host-Sensor-Lizenzen variieren je nach Firebox-Modell, zusätzliche Sensorpakete sind gegen Aufpreis erhältlich.

Hier geht’s zu Watchguard