Przedsiębiorstwa należące do segmentu MŚP narażone są w Internecie na podobne, czy wręcz te same niebezpieczeństwa, jak firmy duże. Narzędzia ataku, dostępne do niedawna wyłącznie dla nielicznych, zostały umieszczone w sieci i obecnie mogą być zakupione lub wydzierżawione na określony czas za niedużą opłatą, praktycznie dla każdego.

Dodatkowym czynnikiem wpływającym na zwiększanie się liczby ataków na małe i średnie przedsiębiorstwa jest fakt, że tego rodzaju przestępstwa nie są przedmiotem nadmiernego zainteresowania organów ścigania. Dzieje się tak z uwagi na relatywnie nieduży rozmiar strat, nawet jeśli dla poszkodowanego będą niebywale dotkliwe. Co więcej, czasem atak na małą firmę jest tylko częścią przygotowań do kolejnej fazy ataku na znacznie większy podmiot, który jest jej partnerem biznesowym.

Tymczasem poziom ochrony w małych i średnich przedsiębiorstwach najczęściej jest nieadekwatny do skali współczesnych zagrożeń. Nawet w firmach średniej wielkości najczęściej zabezpieczenia ograniczają się do systemu antywirusowego bazującego na sygnaturach. A to w czasach malware’u metamorficznego i oprogramowania typu zero-day, wykorzystujących nieznane podatności, jest absolutnie niewystarczające. Najlepszą miarą tego, jak słabo są chronione te przedsiębiorstwa, jest zalew skutecznych ataków typu ransomware.

Komponenty oprogramowania Host Sensor

• Rdzeń (core) – odpowiedzialny za monitorowanie systemu oraz komunikację z pozostałymi elementami TDR i podejmowanymi działaniami.

• Moduł analizy behawioralnej – służy do bieżącej analizy stanu systemów, procesów itp., zapewniającej wychwycenie zachowań wskazujących na działanie niepożądane i niebezpieczne.

• Moduł analizy heurystycznej – wskazuje obiekty zachowujące się w podejrzany sposób.

• Monitor sieciowy – analizuje zdarzenia dotyczące komunikacji sieciowej.

 

Cztery poziomy ochrony

Aby ułatwić partnerom kompleksowe zabezpieczanie firm z sektora MŚP, WatchGuard Technologies, producent rozwiązań klasy UTM, wprowadził na rynek nowy system ochronny ThreatDetection&Response. Jest to spójne i kompletne rozwiązanie zapewniające cztery modele ochrony:

– zabezpieczenia prewencyjne, przeciwdziałające dostaniu się zagrożenia do wnętrza infrastruktury IT firmy,

– mechanizmy detekcyjne, wykrywające niebezpieczeństwa, które dostały się do wewnątrz, zanim rozpoczną one swoją szkodliwą działalność,

– narzędzia do korelacji zdarzeń, łączące informacje pochodzące z różnych źródeł (urządzenia sieciowe, stanowiska robocze, serwery), co daje kompletny opis zdarzeń, ułatwiając ich analizę i reakcję na nie,

– skuteczne reakcje, czyli zautomatyzowane działania podejmowane w razie wykrycia niebezpieczeństwa: blokowanie tego, co może zostać zatrzymane, uruchamianie procedury alarmowej w razie niemożności zablokowania ataku oraz przedstawianie wszystkich informacji dotyczących danego zdarzenia w czytelnej i przejrzystej formie, w celu usprawnienia procesu decyzyjnego.

>>> Trzy pytania do…

Jerzego Trzepli, dyrektora sprzedaży WatchGuard Technologies w Polsce

CRN Czy system ThreatDetection&Response  stanowi zamiennik dla sygnaturowych systemów antywirusowych?

Jerzy Trzepla Nie, przeznaczenie TDR jest inne. Systemy antymalware i TDR wzajemnie się uzupełniają, gdyż oferują różne mechanizmy ochronne. Stosując obie te metody ochrony, bazujące na innych technologiach, podnosimy ogólny poziom zabezpieczeń w porównaniu z pojedynczym systemem.

 

CRN W jaki sposób TDR ochroni użytkownika przed atakami  typu  ransomware?

Jerzy Trzepla Agent Host Sensor wykorzystuje mechanizmy ochrony behawioralnej oraz metody heurystyczne. Dzięki temu blokuje oprogramowanie ransomware, zanim rozpocznie ono proces szyfrowania plików.

 

CRN Jakie warunki musi spełnić reseller chcący sprzedawać rozwiązania TDR?

Jerzy Trzepla WatchGuard nie stawia specjalnych wymagań firmom sprzedającym i wdrażającym rozwiązania TDR. Konieczna jest jedynie rejestracja w portalu partnerskim oraz akceptacja ogólnych warunków współpracy. WatchGuard zapewnia resellerom darmowe szkolenia w postaci prezentacji i webinariów oraz w trybie VILT, co pomaga partnerom handlowym podnosić kompetencje oraz wspiera sprzedaż oferowanych rozwiązań.

 

TDR bazuje na modelu scoringowym, przeprowadzającym analizę zdarzeń zarejestrowanych w bramach bezpieczeństwa Firebox oraz w agentach zainstalowanych w urządzeniach końcowych (stanowiska robocze, serwery). Jest zasilany z różnorodnych źródeł wiedzy o zagrożeniach o zasięgu ogólnoświatowym (threat intelligence feeds). Analiza i korelacja informacji dokonywana jest w usłudze chmurowej ThreatSync.

 

Analiza behawioralna i heurystyczna w jednym

Kluczowym elementem architektury systemu jest Host Sensor – oprogramowanie agentowe instalowane na stacjach roboczych i serwerach (patrz: ramka). Dzięki połączeniu analizy behawioralnej oraz heurystycznej zapewnia skuteczną ochronę i blokowanie np. ransomware’u, zanim rozpocznie on szyfrowanie danych na dysku. Umożliwia również podejmowanie innych działań, np. zatrzymanie procesu, kwarantannę plików czy usuwanie wpisów z rejestru. Host sensor działa nie tylko w sieci firmowej, chronione są również urządzenia pracowników korzystających ze sprzętu mobilnego, gdyż agent pozostaje w stałym kontakcie z systemem i na bieżąco aktualizuje informacje dotyczące zagrożeń.

Drugim istotnym komponentem architektury TDR są bramy bezpieczeństwa: Firebox lub XTM, działające w trybie UTM. Zapewniają one różnorodne mechanizmy ochrony, jak: skanowanie antywirusowe, wykrywanie malware’u (APT Blocker), analiza URL (Web Blocker), ochrona reputacyjna, IPS, firewall i proxy aplikacyjne. Dzięki temu bramy rejestrują obserwowane zdarzenia i przesyłają informacje o nich do mechanizmu korelacyjnego. Tworzenie wskaźnika ryzyka bazującego na danych o zdarzeniach pochodzących z dwóch źródeł umożliwia szybkie wskazanie urządzeń stanowiących największe ryzyko, np. potencjalnie związane z prowadzeniem działań przygotowawczych do ataku. Wczesne wskazanie takich urządzeń oraz charakteru zagrożenia zapewnia podjęcie skutecznych kroków przeciwdziałających szkodliwym poczynaniom cyberprzestępców.

Wprowadzenie ThreatDetection&Response do oferty WatchGuard Technologies stanowi dużą szansę biznesową dla partnerów handlowych producenta. Funkcjonalność TDR, sposób jego licencjonowania i zarządzania nim umożliwia łatwe zdefiniowanie przez partnerów MSSP (Managed Security Service Provider) założeń różnych programów usługowych – nie tylko związanych z zarządzaniem tym systemem i jego monitorowaniem. Dzięki temu poza uzyskiwaniem marży ze sprzedaży produktu oraz opłat za wdrożenie mogą zarabiać na monitorowaniu infrastruktury IT obsługiwanych przedsiębiorstw. W ten sposób, oprócz zwiększenia sprzedaży, mogą też zmienić charakter relacji łączących ich z klientami.

Wyłącznym dystrybutorem rozwiązań WatchGuard w Polsce jest Bakotech.