Paris, le 30 juillet 2019 - WatchGuard® Technologies, leader mondial en matière de sécurité et d’intelligence réseau, de Wi-Fi sécurisé et d’authentification multifacteur, annonce aujourd’hui une série de mises à jour majeures de sa plate-forme dédiée à la corrélation et à la réponse aux menaces, ThreatSync - grâce à la dernière version de sa solution Threat Detection and Response (TDR). Comprenant la détection accélérée des attaques, la corrélation des processus réseau et l’analyse des menaces basée sur l’IA, ces améliorations permettent aux fournisseurs de services managés (Managed Service Providers - MSP) et aux entreprises qu’elles accompagnent, de réduire considérablement les délais de détection et de confinement des attaques - passant de plusieurs mois à seulement quelques minutes. Ces mises à jour permettent également d’automatiser la remédiation des attaques Zero Day et d’améliorer la protection contre les menaces ciblées et évasives, à l’intérieur comme à l’extérieur du périmètre réseau.
Brendan Patterson, Vice President of Product Management chez WatchGuard :
« Les cybercriminels mènent de plus en plus d’attaques ciblées et sophistiquées aux caractéristiques évasives, conçues pour contourner les protections anti-malware traditionnelles. Pour réagir rapidement et efficacement aux attaques, les entreprises de taille moyenne ne disposant ni des compétences, ni des ressources adéquates en matière de sécurité, s’en remettent aux éditeurs de solutions de sécurité sur lesquels elles s’appuient. »
« Les nouvelles fonctionnalités de ThreatSync dotent les MSP des outils dont ils ont besoin pour offrir à leurs clients des services de détection et de réponse aux malwares efficaces. En quelques minutes, les attaques sont identifiées et les attaques les plus sophistiquées sont neutralisées automatiquement, sur tous leurs déploiements TDR existants. »
Selon le Ponemon Institute, le temps moyen d’identification (Mean Time To Identification - MTTI) d’une brèche de sécurité est de 197 jours, tandis que le temps moyen de confinement (Mean Time To Containment - MTTC) est de 69 jours après la détection initiale. Au cours du seul 1er semestre 2019, la part des malwares Zero Day capables d’échapper aux solutions antivirus (AV) traditionnelles représentaient 36 % des menaces, selon le dernier Internet Security Report de WatchGuard. Chaque fois qu’une menace passe inaperçue, son degré d’atteinte potentielle à la réputation et à l’activité d’une entreprise augmente considérablement.
L’étroite corrélation entre les appliances Firebox, les sondes hôtes TDR sur les terminaux et la plate-forme ThreatSync de WatchGuard, donne les moyens aux MSP d’offrir des fonctions de neutralisation automatisée des attaques de logiciels malveillants Zero Day et une identification automatisée des processus inconnus se connectant aux logiciels malveillants. Les entreprises ont ainsi l’esprit plus tranquille, en sachant que leur fournisseur de services managés peut détecter et contrer des attaques en quelques minutes à peine.
Principales fonctionnalités de ThreatSync disponibles via TDR :
- Confinement de l’hôte et réponse automatisée
ThreatSync retient rapidement tout type de machine hôte compromise, en l’isolant du reste du réseau de l’entreprise. Dès qu’une menace est identifiée, le module Host Containment intervient automatiquement pour maîtriser les attaques avant qu’elles ne se répandent. Après cette phase de confinement, ThreatSync élimine le malware en mettant automatiquement fin aux processus, en plaçant les fichiers malveillants en quarantaine et en supprimant les clés de registre associées.
- Détection accélérée des attaques
ThreatSync identifie immédiatement les fichiers malveillants sur tous les endpoints protégés et commence automatiquement la remédiation, ce qui assure la corrélation avec la sécurité au niveau du endpoint, une fonctionnalité traditionnellement indisponible dans des solutions de sécurité réseau a priori comparables. Lorsque des utilisateurs téléchargent des fichiers inconnus sur Internet, Firebox les soumet en premier lieu au module APT Blocker, la sandbox Cloud de nouvelle génération de WatchGuard, pour une analyse avancée, tandis que les sondes hôtes des endpoints victimes les surveillent activement. Les résultats sont ensuite corrélés avec ThreatSync.
- Corrélation des processus réseau
ThreatSync ne se contente pas d’identifier et de bloquer les connexions à des destinations malicieuses, il réagit également automatiquement aux processus inconnus associés. Avec ThreatSync, les connexions sortantes et malveillantes bloquées par les appliances Firebox de WatchGuard sont corrélées pour identifier l’endpoint et le processus à l’origine du problème. À cet instant précis, le processus est automatiquement interrompu. Cette fonction fournit aux MSP et aux administrateurs réseau des informations contextuelles détaillées sur la destination réseau, le nom du service, le nom de l’hôte et le processus concerné, en leur permettant de réagir efficacement et d’éviter que le cas ne se reproduise.
- Analyse basée sur l’Intelligence Artificielle
ThreatSync s’appuie sur de nouvelles fonctions IA pour analyser et trier automatiquement les fichiers, en identifiant ceux qui présentent des caractéristiques suspectes avant de les confier à APT Blocker pour une analyse plus approfondie. Cela réduit au minimum le temps que les administrateurs IT consacrent à la gestion des alertes et évite que des fichiers véritablement suspicieux passent entre les mailles du filet. Les MSP et les moyennes entreprises ont ainsi les moyens d’identifier et de bloquer des menaces réelles plus rapidement et d’avancer plus sereinement.