Síťová bezpečnost - rozšíření síťové bezpečnosti o klientské senzory, výborná ochrana nejen proti ransomware

Threat Detection & Response

Nová funkce v rámci systému FireWare - služba Threat Detection and Response (TDR) je cloudová služba rozšiřující funkcionalitu hardwarových a virtuálních boxů WatchGuard Firebox T/M/XTMv. Služba vychází z nedávné akvizice části společnosti Hexis (produkt HawkEye-G).

Jak to funguje?

Služba je navržena jako nástroj minimalizující následky narušení či průniků do sítě (pomocí stanic) včasnou detekcí a automatizací souvisejících kroků celkové ochrany. Služba TDR sbírá forenzní data z koncových stanic a UTM boxů Firebox za účelem proaktivní detekce a reakce na bezpečnostní hrozby pocházející právě z činnosti koncových stanic v rámci sítě (uživatelské soubory, přílohy, stav OS, obsah paměti a schránky, systémové procesy, obsah systémového registru, stahování).

TDR následně boduje jednotlivé hrozby pocházející ze sítě a z koncových stanic v síti a poskytuje jejich přehledné hodnocení a souhrn povah hrozeb pro možnost okamžité reakce proti novým či skrytým hrozbám včetně možnosti nastavení automatizovaných akcí systému.

Pomocí TDR účtu a s ním související služby systém sbírá a analyzuje forenzní data přijímaná od UTM a klientských senzorů ve vaší síti. Správce se přihlašuje prostřednictvím tohoto účtu na WatchGuard portál (shodný s účtem registrace UTM zařízení) a zde je možno spravovat nastavení účtu včetně klientských senzorů a samozřejmě i monitorovat a spravovat reakce na hrozby v síti.

TDR služba využívá ke sběru informací i UTM v síti. V rámci konfigurace Fireboxu je nutno nastavit zasílání forenzních dat do cloudového účtu TDR, následně můžete konfigurovat politiky, služby a klientské senzory, které zasílají data do TDR. Konfigurace samotná pak probíhá pomocí TDR účtu, který je dostupný přes support center.

Klientské senzory (Host Sensor) se instalují na stanice běžící v síti, jedná se o službu běžící na pozadí systému, běžný uživatel nemá k dispozici žádné grafické rozhraní, je tedy zaručeno, že klienta např. nepozastaví, nebo nevytvoří vlastní výjimky. Výhodou cloudové koncepce TDR je, že i když je stanice mimo dosah „domovského“ UTM, služba stále sbírá data a stanici ochraňuje. Klientský senzor lze konfigurovat ve dvou variantách – buď jen k možnosti sbírání forenzních dat, nebo k možnosti klienta dělat okamžité změny v systému za účelem ochrany před útoky. Klient např. může zašifrovat soubory, které byly ve výsledku heuristické analýzy či z jiných zdrojů označeny za škodlivé či potenciálně škodlivé a uchránit stanici před spuštěním nevědomostí uživatele.

Kam se TDR nejvíce hodí?

TDR však nenahrazuje antivirovou ochranu stanice, ta chrání přímo stanice před spustitelnými soubory. Kdežto TDR klient je aplikace chránící stanici a především celou síť před hrozbami, které již např. prošly UTM či AV ochranou. Např. dnes velmi diskutovaný ransomware se často (i několikrát za den) objeví v mnoha modifikacích a pro běžnou AV ochranu je tedy ještě nezalistovaný v jejích signaturách. My tedy pro absolutní ochranu doporučujeme kombinovat UTM na perimetru sítě s AV+TDR klienty na stanicích.

 

Jak je TDR licencováno?

TDR licence je součástí TotalSecurity (i zpětně pro ty, kteří již TotalSecurity mají zakoupenou), případně se dá dokoupit jako separátní položka. Každý box má v základu maximální počet klientských senzorů (např. T10 má 5, T30 20, T50 35, M200 60), ale i tento počet lze následně rozšiřovat. K TDR účtu se pak sčítá počet klientských senzorů za všechny registrované UTM (se službou TDR nebo TotalSecurity). Takto vzniklý pool TDR licencí je poté možné distribuovat na vaše zákazníky dle potřeby.

description: Threat Detection & Response - WatchGuard; keywords: ransomware; viry; vyděračské viry; ochrana koncových stanic; endpoint protection;