Erkennungsdauer von Zero-Day-Threats und Evasive Malware auf wenige Minuten verkürzt

30. Juli 2019

Mit dem Release 5.7 des Sicherheitsdienstes TDR (Threat Detection and Response) optimiert WatchGuard die Leistungsfähigkeit seiner Korrelations- und Analyseplattform „ThreatSync“: Anstelle von Monaten werden Zero-Day-Threats und ausgefeilte Bedrohungen wie Evasive Malware nun innerhalb weniger Minuten erkannt und anschließend automatisiert beseitigt.

Die Gefahr für Unternehmen, Opfer einer solchen Attacke zu werden, ist durchaus real: Laut dem neuesten Internet Security Report von WatchGuard belief sich alleine im ersten Quartal 2019 der Anteil von Zero-Day-Malware, die von traditionellen Antiviren-(AV)-Lösungen übersehen wird, auf 36 Prozent. Demgegenüber beträgt nach Angaben des Ponemon Institute die ‚Mean Time To Identify‘ (MTTI) für eine Sicherheitsverletzung 197 Tage, während es im Schnitt 69 Tage ab dieser ersten Erkennung dauert, die Gefahr zu beseitigen (‚Mean Time To Contain‘ – MTTC). Dadurch steigt mit jedem Tag, an dem eine Attacke unbemerkt bleibt, auf Unternehmensseite das Risiko von finanziellen Einbußen und Imageschäden.

Für eine adäquate Einschätzung und Bewertung der Bedrohungssituation werden die Informationen der Firebox-Appliances sowie der TDR-Hostsensoren an den Endpunkten mithilfe von TDR korreliert und über die ThreatSync-Plattform analysiert. Das erlaubt es nicht zuletzt Managed Service Providern (MSP), ihren Kunden hochwirksame Security-Services anzubieten: Auf Basis der Daten lassen sich mit TDR sowohl Zero-Day-Malware-Angriffe automatisiert abwehren als auch unbekannte Prozesse identifizieren, die mit bösartigen Zielen verbunden sind. Anwender können darauf vertrauen, dass auf Basis der Sicherheitsservices von WatchGuard Bedrohungen entsprechend erkannt und in wenigen Minuten beseitigt werden.

Zu den wichtigsten ThreatSync-Funktionen, die jetzt im Rahmen von TDR verfügbar sind, gehören:

  • Host Containment und Automated Response – Sobald ThreatSync einen gefährdeten Host-Computer erkennt, wird dieser automatisch vom Rest des internen Netzwerks isoliert. Host Containment ergreift anschließend Maßnahmen, die eine weitere Ausbreitung der Infektion verhindern: Die Malware wird automatisiert beseitigt, indem Prozesse beendet, bösartige Dateien unter Quarantäne gestellt und zugehörige Registrierungsschlüssel gelöscht werden.
  • Accelerated Breach Detection – ThreatSync erkennt sofort, ob sich auf geschützten Endpunkten bösartige Dateien befinden und beseitigt diese anschließend automatisiert. Im Gegensatz zu den meisten vergleichbaren Netzwerksicherheitslösungen erfolgt dies im engen Dialog mit der Endpoint Security: Sobald ein Benutzer unbekannte Dateien aus dem Internet herunterlädt, übergibt sie die Firebox zunächst zur erweiterten Analyse an APT Blocker, die Next-Gen Cloud-Sandbox von WatchGuard. Währenddessen werden sie von den Host-Sensoren der Endpoint Security aktiv überwacht. Stellt sich die Datei als bösartig heraus, identifiziert ThreatSync die Datei sofort an allen geschützten Endpunkten und beginnt mit der Problembehebung.
  • Network Process Correlation – TDR erkennt und blockiert nicht nur Verbindungen zu bösartigen Zielen, sondern reagiert auch automatisch auf die bisher unbekannten Prozesse, die der Bedrohung zugrunde liegen. Mit ThreatSync werden die von der Firebox geblockten, bösartigen Verbindungen zudem korreliert. Dadurch lässt sich zurückverfolgen, von welchem Endpunkt die Bedrohung ausging und wie sich der Prozess ursprünglich gestaltete. Entsprechende Vorgänge werden automatisch abgebrochen. Dank dieser Funktion erhalten Managed Service Provider und Netzwerkadministratoren detaillierte Kontextinformationen zu Netzwerkziel, Name des Dienstes sowie zum Hostnamen und -prozess, um erfolgreiche Abwehr- und Vorbeugemaßnahmen einzuleiten.
  • Artificial Intelligence Analysis – Bei ThreatSync kommen neue KI-Funktionen zum Einsatz, mit denen Dateien automatisch analysiert und getestet werden, um diejenigen zu identifizieren, die verdächtige Merkmale aufweisen. Erst dann werden sie zur weiteren Analyse an APT Blocker weitergeleitet. Das verringert den Zeitaufwand für die Verwaltung von Warnmeldungen und verhindert, dass wirklich verdächtige Dateien unentdeckt bleiben. MSP und mittelständischen Unternehmen wird es dadurch ermöglicht, echte Bedrohungen schneller und sicherer zu identifizieren und zu blockieren.

ThreatSync steht als Teil des TDR-Sicherheitsmoduls allen Unternehmen mit einer Lizenz für die Total Security Suite zur Verfügung. (rhh)

Watchguard

Lesen Sie auch