A WatchGuard anuncia uma série de atualizações importantes para sua plataforma de correlação e resposta para ameaças, ThreatSync, com a última versão do Threat Detection and Response (TDR). Esses aprimoramentos incluem detecção acelerada de violações, correlação de processos de rede e análise de ameaças com Inteligência Artificial, permitindo aos Provedores de Serviços Gerenciados (MSPs) e as organizações que eles apoiam reduzir a detecção de violações e os prazos de contenção de meses para minutos, automatizar a remediação de malware zero day e melhorar a proteção contra ameaças diretas e evasivas dentro e fora do perímetro da rede.
“À medida que os cibercriminosos aproveitam cada vez mais os ataques direcionados e avançados com características evasivas projetadas para contornar as proteções anti malware básicas, as organizações de médio porte sem conhecimento e recursos de segurança adequados dependem muito de fornecedores confiáveis de soluções de TI para responder de forma rápida e eficaz aos ataques,” diz Brendan Patterson, vice president of product management da WatchGuard. “Esses novos recursos do ThreatSync equipam os MSPs com as ferramentas necessárias para fornecer serviços de detecção e resposta a malware (MDR), detectando violações em minutos e mitigando ataques avançados automaticamente para seus clientes, tudo isso por meio dos TDR implementados existentes.”
De acordo com o Instituto Ponemon, o tempo médio de identificação (MTTI) para uma violação de segurança é de 197 dias, enquanto o tempo médio de contenção (MTTC) são outros 69 dias após a detecção inicial. Somente no primeiro trimestre de 2019, malware zero day capaz de escapar de soluções antivírus tradicionais (AV) representaram um montante de 36% de ameaças, segundo o último Internet Security Report da WatchGuard. A cada dia que uma ameaça de segurança passa despercebida, o seu potencial para infligir danos financeiros e de reputação em uma organização aumenta drasticamente.
A estreita correlação entre os appliances Firebox, sensores de host do TDR nos endpoints, e a plataforma ThreatSync da WatchGuard ermite que os MSPs ofereçam mitigação automatizada para ataques de malware zero day e identificação automatizada de processos desconhecidos conectados a destinos mal-intencionados. Isso significa que os clientes podem ficar tranqüilos sabendo que o seu provedor de soluções de TI confiável pode detectar violações e remediar ameaças em apenas alguns minutos.
Os principais recursos do ThreatSync agora disponíveis via TDR incluem:
- Contenção de Host e Resposta Automatizada – O ThreatSync contém rapidamente qualquer máquina host que foi comprometida, protegendo-a do resto da rede comercial. Assim que uma ameaça é identificada, a Contenção de Host automaticamente toma medidas para controlar as infecções antes que elas se espalhem. Uma vez contido, o ThreatSync elimina o malware matando automaticamente os processos, colocando em quarentena os arquivos maliciosos e excluindo as chaves de registro associadas.
- Detecção de Violação Acelerada – O ThreatSync identifica imediatamente arquivos maliciosos em todos os endpoints protegidos e inicia automaticamente a correção. Isso adiciona correlação com segurança endpoint que não está presente na maioria das soluções de segurança de rede comparáveis. Quando os usuários baixam arquivos desconhecidos da Web, o Firebox primeiro submete-os ao APT Blocker, sandbox de nuvem da próxima geração da WatchGuard, para análise avançada, enquanto os sensores do host nos endpoints da vítima os monitoram ativamente e os resultados são correlacionados com o ThreatSync.
- Correlação de Processos em Rede – O ThreatSync não apenas identifica e bloqueia conexões para destinos mal-intencionados, mas também responde automaticamente a processos desconhecidos responsáveis por eles. Com o ThreatSync, conexões outbound maliciosas bloqueadas pelos appliances Firebox da WatchGuard são correlacionadas para revelar o endpoint e o processo iniciais, onde o processo é automaticamente encerrado. Esse recurso fornece aos MSPs e administradores de rede informações contextuais detalhadas sobre o destino da rede, nome do serviço, nome do host e processo, permitindo que eles respondam com êxito e evitem instâncias futuras.
- Análise de Inteligência Artificial – O ThreatSync usa novos recursos de Inteligência Artificial para analisar e triar arquivos automaticamente, identificando aqueles que possuem características suspeitas antes de direcioná-los ao APT Blocker para análise mais aprofundada. Isso minimiza o tempo que os administradores de TI gastam gerenciando alertas e impede que arquivos realmente suspeitos não sejam detectados, o que permite que os MSPs e as organizações de médio porte identifiquem e bloqueiem ameaças reais com mais rapidez e confiança.