WatchGuard APT Blocker

WatchGuard APT Blocker

WatchGuard APT Blocker

Watchguard APT Blocker ist eine sinnvolle Ergänzung zu einer vorhandenen desktopbasierten Antivirus-Lösung. Der Einsatz von Antivirus-Software ist heute selbstverständlich. Allerdings reichen die handelsüblichen, signaturbasierten Lösungen als Schutz heute nicht mehr aus.

emblem-impWatchGuard APT Blocker ist ein Hilfsmittel, das auch in dieser Zeit zwischen dem Auftreten eines neuen Virus, dem Erkennen des Virus durch die Antiviren-Software-Hersteller, Packen der Virus-Kennung in die aktuellen Signatur-Dateien der Virenscanner und Update dieser Pattern auf dem jeweiligen Endgerät klassische Antivirus-Software-Benutzer schützt.

Funktionsweise

WatchGuard APT Blocker analysiert unter anderem alle ausführbaren Windows-Dateien, PDFs, Office-Dateien und Android-Installer-Dateien. Archive, wie z.B. ZIP-Dateien werden entpackt und analysiert. Die Dateien werden gegen die Cloud-Datenbank von Lastline geprüft und nötigenfalls (falls unbekannt) an den Cloud-Service zur genaueren Untersuchung übertragen. Die Dateien werden dann in einer Sandbox tatsächlich ausgeführt, um am Verhalten der Dateien deren Bösartigkeit feststellen zu können. Eine Rückmeldung über gefundene und geblockte Dateien mit Detailinformationen über die gefundene Bedrohung runden den Service ab.
WatchGuard APT Blocker kann in jeder Application Proxy Firewall-Regel aktiviert werden, in der auch Gateway Antivirus zur Verfügung steht. Somit ist ein Schutz der wichtigen Protokolle wie STMP, FTP, HTTP und sogar HTTPS mit Deep Inspection möglich.
Das Logging und Reporting für WatchGuard APT Blocker erfolgt über den schon mit dem Basisprodukt kostenfrei zur Verfügung gestellten WatchGuard Dimension Server oder über die älteren Windows-basierten Logging- und Reporting-Dienste, die Bestandteil der WatchGuard System Manager Software sind. Die Log-Einträge und Statistiken können über diese Plattformen gesichtet und ausgewertet werden. Hier ein paar echte Praxis-Screenshots aus dem WatchGuard Dimension Log Server:

WatchGuard Dimension APT Blocker Zero Day Threat Level  WatchGuard Dimension APT Blocker Zero Day Content  WatchGuard Dimension APT Blocker Advanced Content  WatchGuard Dimension APT Blocker Advanced Threat Level  WatchGuard Dimension APT Blocker Advanced Trend

Anwendungsbeispiel: Erfolgreiches Zusammenspiel von APT Blocker mit einem E-Mail-Gateway (Produktkaskade)

Nach wie vor verwenden Angreifer gerne den Weg über E-Mails, um Schadsoftware – speziell Ransomware wie Cryptolocker, Locky, Goldeneye – zu verbreiten. Je mehr Kontrollen und Schutzbarrieren überwunden werden müssen, bevor eine eingehende E-Mail ihren Empfänger erreicht, desto höher ist die Gesamtsicherheit des E-Mail-Systems. Im Optimalfall kombiniert man Sicherheitsprodukte von verschiedenen Herstellern. So arbeiten auf einer WatchGuard Firebox mit dem spamBlocker, Gateway Antivirus und dem APT Blocker bereits drei verschiedene Technologieanbieter Hand in Hand. Dieser Schutz kann noch weiter verbessert werden, wenn ein zusätzliches, spezialisiertes E-Mail-Security-Gateway zum Einsatz kommt, welches in der DMZ einer WatchGuard Firebox betrieben wird. So baut man eine Produkt-Kaskade auf. Jeder Administrator wird seine eigene Philosophie haben, ob er eingehende E-Mails zunächst ungefiltert (mittels einer SMTP Packetfilter Policy) an sein SMTP-Gateway durchlässt – und den SMTP-Proxy der Firebox erst dann auf dem Weg zwischen SMTP-Gateway und seinem eigentlichen, internen Mailserver nutzt – oder umgekehrt. Im vorliegenden Beispiel wird als E-Mail-Gateway eine WatchGuard XCSv verwendet, auf der außer generischen Antispam-Funktionen auf Protokollebene auch noch Symantec Brightmail Antispam, Kaspersky Antivirus und McAfee Antivirus laufen. Die XCSv wird von außen über einen SMTP-Packetfilter erreicht (also ohne Inspektion) – und erst auf dem Weg zum internen Exchange-Server tritt zusätzlich dazu (auf der Firebox) der WatchGuard SMTP-Proxy mit Gateway Antivirus (von AVG) und dem WatchGuard APT Blocker in Erscheinung. Diese Reihenfolge wurde u.a. gewählt, um dem APT Blocker in der Praxis auf den Zahn zu fühlen, denn er “sieht” ja nur noch die von Kaspersky und McAfee bereits durchgelassenen Mails. Und es bewahrheitet sich: der APT Blocker findet auch hier noch Schadsoftware, wie die folgenden Screenshots anschaulich zeigen:

  • Die E-Mail, so wie sie im Endeffekt im E-Mail-Client ankam. Als Anhang ist nur eine Datei namens “message.txt” vorhanden.
  • Diese Datei “message.txt” wurde vom SMTP-Proxy der WatchGuard Firebox angehängt – anstelle der als Schadsoftware identifizierten Datei “798205.doc”. Die Schadsoftware wurde entfernt und kann auch nicht wiederhergestellt werden.
  • Der Administrator wurde zudem über den WatchGuard Dimension Server über das Vorkommnis benachrichtigt.
emblem-impAchtung: Trotz viel Licht gibt es (noch) etwas Schatten: In der derzeitigen Version hat der APT Blocker bei unbekannten Dateien noch (!) keine Quarantäne-Funktion. Diese soll im 3. Quartal 2017 erscheinen. Heute werden unbekannte Dateien zunächst durchgelassen! Erfolgt eine nachträgliche Einstufung als "Zero-Day Malware (APT)", dann kann diese Information nur über den WatchGuard Dimension Server bezogen werden. Dieser hat aber genaue Informationen über Dateityp und Empfänger. So kann ggfs. ein Ausbruch noch verhindert oder aufgrund der konkreten Angaben schnell begrenzt werden. Das Zeitfenster zwischen erstem Auftreten in der weltweiten APT Blocker Infrastruktur und der Einstufung als "Advanced Malware (APT)" beträgt i.d.R. 5-10 Minuten.
emblem-impAus Datenschutzgründen ist es wichtig zu wissen, dass anhand der öffentlichen IP-Adresse Ihrer WatchGuard Firebox entschieden wird, wo die Sandbox-Überprüfung stattfindet. Derzeit wäre es so, dass die Datenanalyse in der EU (Amsterdam) stattfinden würde. Nur wenn das Rechenzentrum in Amsterdam ausfallen würde, würden die Daten zur Analyse in die USA weitergeleitet werden! Ab der kommenden Softwareversion 11.12.2 kann man dann gezielt ein Datacenter auswählen - aber auch ausschließen. Das bedeutet, dass Kunden in der EU den APT Blocker dann so einrichten können, dass jede Anfrage ausschließlich in Amsterdam bearbeitet wird und die EU nicht verlässt.

Lizensierung

WatchGuard APT Blocker ist ein optionaler Security Service. Er ist Bestandteil der WatchGuard Total Security Software Suite. Er ist standardmäßig beim Kauf eines Total Security Software Bundles enthalten, kann aber auch einzeln lizensiert werden. Technische Voraussetzung ist zudem die Lizenz für “WatchGuard Gateway Antivirus”.

Weitere Informationen

WatchGuard APT Blocker: [Bestandteil der Total Security Suite]  [einzeln lizensierbar]

emblem-rechtsZur Übersicht WatchGuard Security Services und Suites