Zero-day-aanvallen vormen een groot probleem voor securityprofessionals en IT-managers bij middelgrote organisaties. Juist omdat hierbij sprake is van aanvalsmethoden die nog niet ontdekt, geanalyseerd en gedocumenteerd zijn. Het kon tot nu toe vele maanden duren voordat securityleveranciers na ontdekking van een nieuwe zero-day-aanvalsmethode een aanpak hadden ontwikkeld die deze aanval kan afweren.
Met een reeks updates voor het ThreatSync-platform is WatchGuard Technologies erin geslaagd om de tijd die nodig is voor het ontdekken en analyseren van dit soort aanvallen drastisch te verkorten: van maanden naar minuten.
Nieuwe versie van TDR
ThreatSync is het platform van WatchGuard voor ‘threat correlation and response’. Onderdeel van dit platform is Threat Detection Response (TDR). De nieuwste versie van TDR maakt gebruik van artificial intelligence (AI)-technieken om het ontdekken van nieuwe dreigingen drastisch te versnellen. Dat geldt ook voor het analyseren van de potentiële impact op het netwerk.
Managed Service Providers (MSP’s) zijn hierdoor in staat om de periode waarin hun klanten bloot staan aan nog niet ontdekte aanvalsmethoden aanzienlijk te verkleinen. Ook kunnen zij op basis van deze oplossing hun reactie op zero-day-malware grotendeels automatiseren.
Afweren duurt te lang
Volgens het Ponemon Institute is de gemiddelde tijd tot identificatie (MTTI of mean time to identification) van een beveiligingsinbreuk 197 dagen. Vervolgens hebben securityprofessionals nog eens gemiddeld 69 dagen nodig voordat zij deze aanvalsmethode daadwerkelijk goed kunnen afweren (mean time to containment of MTTC).
Uit het laatste Internet Security Report van WatchGuard blijkt dat zero-day-malware die traditionele antivirusoplossingen kan omzeilen verantwoordelijk was voor maar liefst 36 procent van de bedreigingen in het eerste kwartaal van 2019. Met iedere dag dat een bedreiging onopgemerkt blijft, neemt de kans op financiële schade en reputatieschade voor een organisatie toe.
Kwestie van minuten
De nauwe integratie tussen de Firebox-appliances, TDR-hostsensoren en het ThreatSync-platform van WatchGuard stelt MSP’s in staat om geautomatiseerde mitigatie te bieden voor aanvallen met zero-day-malware. Ook beschikken zij daarmee over automatische identificatie van onbekende processen die verbinding maken met externe locaties die schadelijk kunnen zijn vanwege de mogelijke aanwezigheid van malware. MSP’s kunnen hiermee dus in enkele minuten reageren op iedere nieuwe aanvalsdreiging.
Dit zijn de belangrijkste nieuwe ThreatSync-functies die nu beschikbaar zijn via TDR:
- Host Containment and Automated Response – ThreatSync schermt zeer snel iedere hostmachine af die gecompromitteerd is. Hierdoor is deze afgeschermd van de rest van het bedrijfsnetwerk. Zodra een bedreiging is geïdentificeerd, onderneemt Host Containment automatisch actie om infecties onder controle te houden voordat ze zich verspreiden. Eenmaal ingesloten, elimineert ThreatSync de malware door automatisch processen te stoppen, schadelijke bestanden in quarantaine te plaatsen en de bijbehorende registersleutels te verwijderen.
- Versnelde detectie van inbreuken – ThreatSync identificeert onmiddellijk schadelijke bestanden op alle beschermde endpoints en begint automatisch met herstel. Dit voegt een correlatie toe met endpointbeveiliging die niet aanwezig is in de meeste vergelijkbare netwerkbeveiligingsoplossingen. Wanneer gebruikers onbekende bestanden van het web downloaden, stuurt de Firebox deze eerst naar APT Blocker, de next-generation cloudsandbox van WatchGuard. Hier vindt geavanceerde analyse plaats, terwijl hostsensoren de betrokken endpoints actief monitoren. De resultaten daarvan worden automatisch gecorreleerd aan de gegevens die ThreatSync genereert.
- Correlatie met netwerkprocessen – ThreatSync identificeert en blokkeert niet alleen verbindingen naar kwaadaardige bestemmingen. Het reageert ook automatisch op de processen die hiervoor verantwoordelijk zijn. Met ThreatSync worden schadelijke uitgaande verbindingen die worden geblokkeerd door WatchGuard’s Firebox-apparaten gecorreleerd om te achterhalen op welk endpointsysteem het proces is gestart. Hierna wordt dit proces automatisch beëindigd. Deze functie biedt MSP’s en netwerkbeheerders gedetailleerde contextuele informatie over de netwerkbestemming, de naam van de service, de hostnaam en het proces, zodat ze adequaat kunnen reageren en toekomstige gevallen kunnen voorkomen.
- Analyses op basis van kunstmatige intelligentie – ThreatSync maakt gebruik van nieuwe AI-mogelijkheden om automatisch bestanden te analyseren en te beoordelen. Bestanden met verdachte kenmerken worden hierbij geïdentificeerd nog voordat ze naar APT Blocker worden doorgestuurd voor verdere analyse. Dit minimaliseert de tijd die IT-beheerders besteden aan het beheer van waarschuwingen en voorkomt dat echt verdachte bestanden onopgemerkt blijven. MSP’s en middelgrote organisaties kunnen hierdoor echte bedreigingen sneller en met meer vertrouwen identificeren en blokkeren.
Beveiliging omzeilen
“Cybercriminelen gebruiken steeds meer geavanceerde en zeer gerichte aanvallen met ontwijkende eigenschappen”, zegt Brendan Patterson, vicepresident productmanagement bij WatchGuard. “Deze zijn ontworpen om de basisbescherming tegen malware te omzeilen. Voor middelgrote organisaties, die vaak maar over beperkte expertise en middelen beschikken, is dit een lastig probleem.”
“Met de nieuwe ThreatSync-mogelijkheden hebben MSP’s de benodigde tools om malwaredetectie en -respons (MDR)-diensten te bieden, door eventuele inbreuken in slechts enkele minuten op te sporen”, vervolgt Patterson. “Bovendien kunnen zij na ontdekking de impact van die aanvallen voor hun klanten drastisch beperken, en dit alles via hun bestaande TDR-implementaties.”