WatchGuard presenta una serie de importantes actualizaciones en su plataforma de correlación y respuesta a amenazas, ThreatSync, con la incorporación de la última versión de Threat Detection and Response (TDR). Entre las mejoras ahora anunciadas se incluyen la detección acelerada de brechas de seguridad, la correlación de procesos de red y el análisis de amenazas impulsado por inteligencia artificial (IA), lo que permite tanto a proveedores de servicios gestionados (MSP) y a organizaciones reducir de meses a minutos la detección de infracciones y los plazos de contención, automatizar la reparación del malware de día cero y una mejor defensa contra amenazas dirigidas con capacidades de evasión tanto dentro como fuera del perímetro de la red.
«A medida que los ciberdelincuentes aprovechan cada vez más los ataques dirigidos y avanzados con características evasivas diseñadas para eludir las protecciones antimalware básicas, las organizaciones, especialmente las pymes, que carecen de la experiencia y los recursos de seguridad adecuados dependen en gran medida de los proveedores de soluciones de TI de confianza para responder de forma rápida y eficaz a los ataques», afirma Brendan Patterson, vicepresidente de gestión de producto de WatchGuard. «Estos nuevos recursos y funcionalidades de ThreatSync dotan a los MSP de las herramientas necesarias para proporcionar servicios de detección y respuesta contra el malware (MDR) mediante la detección de las infracciones en cuestión de minutos y la mitigación automática de los ataques avanzados perpetrados contra sus clientes, todo ello a través de sus despliegues TDR existentes».
De acuerdo con Ponemon Institute, el tiempo medio de identificación (MTTI) de una brecha de seguridad es de 197 días, mientras que el tiempo medio que transcurre hasta su contención (MTTC) es de otros 69 días después de la detección inicial. Solo en el primer trimestre de 2019, el malware de día cero capaz de escapar de las soluciones antivirus (AV) tradicionales representó el 36% de las amenazas, según el último Informe de Seguridad en Internet de WatchGuard. Con cada día que transcurre que una amenaza de seguridad pasa desapercibida, su potencial para provocar daños financieros y de reputación a una organización aumenta drásticamente.
La estrecha correlación entre los dispositivos Firebox, los sensores de host TDR en endpoints y la plataforma ThreatSync de WatchGuard permite a los MSP ofrecer una mitigación automatizada de los ataques de malware de día cero y la identificación automática de procesos desconocidos que se conectan a destinos maliciosos. Esto significa que los clientes pueden estar tranquilos sabiendo que su proveedor de soluciones TI de confianza puede detectar infracciones y remediar las amenazas en cuestión de minutos.
Las nuevas funcionalidades de ThreatSync ahora disponibles a través de TDR incluyen:
- Contención del host y respuesta automática – ThreatSync contiene rápidamente cualquier equipo host que haya sido comprometido y lo protege del resto de la red de la empresa. Tan pronto como una amenaza es identificada, Host Containment toma medidas automáticamente para controlar las infecciones antes de que se propaguen. Una vez contenido, ThreatSync elimina el malware deteniendo automáticamente los procesos, poniendo en cuarentena los archivos maliciosos y eliminando las claves de registro asociadas.
- Detección acelerada de infracciones de seguridad – ThreatSync identifica inmediatamente los archivos maliciosos en todos los endpoints protegidos e inicia automáticamente la reparación. Esto añade una correlación con la seguridad de los endpoints que no está presente en la mayoría de las soluciones de seguridad de red comparables. Cuando los usuarios descargan archivos desconocidos de la web, Firebox los envía primero a APT Blocker, el sandbox cloud de última generación de WatchGuard, para realizar un análisis avanzado, mientras que los sensores del host en los endpoints de las víctimas los supervisan activamente y los resultados se correlacionan con ThreatSync.
- Correlación de procesos de red – ThreatSync no solo identifica y bloquea las conexiones a destinos maliciosos, sino que también responde automáticamente a los procesos desconocidos responsables de los mismos. Con ThreatSync, las conexiones maliciosas de salida bloqueadas por los dispositivos Firebox de WatchGuard se correlacionan para revelar el endpoint y el proceso inicial, y el proceso se termina automáticamente. Esta función proporciona a los MSPs y administradores de red información contextual detallada sobre el destino de la red, el nombre del servicio, el nombre del host y el proceso, lo que permite responder con éxito y evitar futuras incidencias.
- Análisis de Inteligencia Artificial – ThreatSync utiliza nuevas capacidades de IA para analizar y clasificar automáticamente los archivos, identificando aquellos que poseen características sospechosas antes de dirigirlos a APT Blocker para su análisis posterior. Esto minimiza el tiempo que los administradores de TI dedican a la gestión de alertas y evita que los archivos realmente sospechosos pasen desapercibidos, lo que permite a los MSP y a las organizaciones identificar y bloquear amenazas reales con mayor rapidez y confianza.