Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Avec WatchGuard, la détection des attaques Zero Day passe de plusieurs mois à quelques minutes

août 2019 par Marc Jacob

WatchGuard® Technologies annonce une série de mises à jour majeures de sa plate-forme dédiée à la corrélation et à la réponse aux menaces, ThreatSync - grâce à la dernière version de sa solution Threat Detection and Response (TDR). Ces améliorations comprennent la détection accélérée des attaques, la corrélation des processus réseau et l’analyse des menaces basée sur l’IA, permettant aux fournisseurs de services managés (Managed Service Providers - MSP) et aux entreprises qu’ils accompagnent, de réduire considérablement les délais de détection et de confinement des attaques - passant de plusieurs mois à seulement quelques minutes. Ces mises à jour permettent également d’automatiser la remédiation des attaques Zero Day et d’améliorer la défense contre les menaces ciblées et évasives, au sein et en dehors du périmètre réseau.

Selon le Ponemon Institute, le temps moyen d’identification (Mean Time To Identification - MTTI) d’une atteinte à la sécurité est de 197 jours, tandis que le temps moyen de confinement (Mean Time To Containment - MTTC) est de 69 jours après la détection initiale. Au cours du seul 1er semestre 2019, la part des malwares Zero Day capables d’échapper aux solutions antivirus (AV) traditionnelles représentaient 36 % des menaces, selon le dernier Internet Security Report de WatchGuard. Chaque fois qu’une menace passe inaperçue, son degré d’atteinte potentielle à la réputation et à l’activité d’une entreprise augmente considérablement.

L’étroite corrélation entre les appliances Firebox, les sondes hôtes TDR sur les terminaux et la plate-forme ThreatSync de WatchGuard, donne les moyens aux MSP, d’offrir des fonctions de neutralisation automatisée des attaques de logiciels malveillants Zero Day et une identification automatisée des processus inconnus, se connectant aux logiciels malveillants. Les entreprises ont ainsi l’esprit plus tranquille, en sachant que leur fournisseur de services managés, peut détecter des attaques et les contrer en quelques minutes.

Principales fonctionnalités de ThreatSync disponibles via TDR :

Confinement de l’hôte et réponse automatisée

ThreatSync retient rapidement tout type de machine hôte compromise, en l’isolant du reste du réseau de l’entreprise. Dès qu’une menace est identifiée, le module Host Containment intervient automatiquement pour maîtriser les attaques avant qu’elles ne se répandent. Après cette phase de confinement, ThreatSync élimine le malware en mettant automatiquement fin aux processus, en mettant les fichiers malveillants en quarantaine et en supprimant les clés de registre associées.

Détection accélérée des attaques

ThreatSync identifie immédiatement les fichiers malveillants sur tous les endpoints protégés et commence automatiquement la remédiation. Elle assure ainsi la corrélation avec la sécurité au niveau du endpoint, une fonctionnalité indisponible dans les solutions de sécurité réseau les plus comparables. Lorsque des utilisateurs téléchargent des fichiers inconnus sur Internet, Firebox les soumet en premier lieu au module APT Blocker, la sandbox cloud de nouvelle génération de WatchGuard, pour une analyse avancée, tandis que les sondes hôtes des endpoints victimes, les surveillent activement. Les résultats sont ensuite corrélés avec ThreatSync.

Corrélation des processus réseau

ThreatSync identifie et bloque les logiciels malveillants, tout en réagissant automatiquement aux processus inconnus associés. Avec ThreatSync, les connexions sortantes et malveillantes bloquées par les appliances Firebox de WatchGuard, sont corrélées pour identifier l’endpoint et le processus à l’origine du problème. À ce moment-là, le processus est automatiquement interrompu. Cette fonction fournit aux MSP et aux administrateurs réseau des informations contextuelles détaillées sur la destination réseau, le nom du service, le nom de l’hôte et le processus concerné, en leur permettant de réagir avec succès et d’éviter que le cas ne se reproduise.

Analyse basée sur l’intelligence artificielle

ThreatSync s’appuie sur de nouvelles fonctions IA pour analyser et trier automatiquement les fichiers, en identifiant ceux qui présentent des caractéristiques suspectes avant de les confier à APT Blocker pour une analyse plus approfondie. Cela réduit au minimum le temps que les administrateurs IT consacrent à la gestion des alertes et évite que des fichiers véritablement suspicieux passent entre les mailles du filet. Les MSP et les moyennes entreprises ont ainsi les moyens d’identifier et de bloquer des menaces réelles plus rapidement en toute confiance.


Voir les articles précédents

    

Voir les articles suivants