{"id":294,"date":"2016-06-15T10:55:56","date_gmt":"2016-06-15T08:55:56","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?page_id=294"},"modified":"2023-04-04T18:17:19","modified_gmt":"2023-04-04T16:17:19","slug":"watchguard-apt-blocker","status":"publish","type":"page","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/produktinfos\/watchguard-security-services-und-suites\/watchguard-apt-blocker\/","title":{"rendered":"WatchGuard APT Blocker"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-278 alignleft\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/05\/gav-ips-apt-red.png\" alt=\"WatchGuard APT Blocker\" width=\"250\" height=\"200\" \/><\/p>\n<h3><strong>WatchGuard APT Blocker<\/strong><\/h3>\n<p>Watchguard APT Blocker ist eine sinnvolle Erg\u00e4nzung zu einer vorhandenen desktopbasierten Antivirus-L\u00f6sung. Der Einsatz von Antivirus-Software ist heute selbstverst\u00e4ndlich. Allerdings reichen die handels\u00fcblichen, signaturbasierten L\u00f6sungen als Schutz heute nicht mehr aus.<\/p>\n<pre><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1468 alignleft\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/emblem-imp.gif\" alt=\"emblem-imp\" width=\"48\" height=\"48\" \/><strong>WatchGuard APT Blocker<\/strong> ist ein Hilfsmittel, das auch in dieser Zeit zwischen dem Auftreten eines neuen Virus, dem Erkennen des Virus durch die Antiviren-Software-Hersteller, Packen der Virus-Kennung in die aktuellen Signatur-Dateien der Virenscanner und Update dieser Pattern auf dem jeweiligen Endger\u00e4t klassische Antivirus-Software-Benutzer sch\u00fctzt.<\/pre>\n<p><center><video src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/video\/Security-Services-APT-Blocker.mp4\" poster=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/poster-apt-blocker.png\" controls=\"controls\" width=\"640\" height=\"480\">Ihr Browser kann dieses Video nicht wiedergeben. Dieses Video zeigt die Funktionsweise und Vorteile von WatchGuard APT Blocker. Sie k\u00f6nnen es <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/video\/Security-Services-APT-Blocker.mp4\">hier<\/a> abrufen. <\/video><\/center><\/p>\n<h3>Funktionsweise<\/h3>\n<p>WatchGuard APT Blocker analysiert unter anderem alle ausf\u00fchrbaren Windows-Dateien, PDFs, Office-Dateien und Android-Installer-Dateien. Archive, wie z.B. ZIP-Dateien werden entpackt und analysiert. Die Dateien werden gegen die Cloud-Datenbank von Lastline gepr\u00fcft und n\u00f6tigenfalls (falls unbekannt) an den Cloud-Service zur genaueren Untersuchung \u00fcbertragen. Die Dateien werden dann in einer <strong>Sandbox<\/strong> tats\u00e4chlich ausgef\u00fchrt, um am Verhalten der Dateien deren B\u00f6sartigkeit feststellen zu k\u00f6nnen. Eine R\u00fcckmeldung \u00fcber gefundene und geblockte Dateien mit Detailinformationen \u00fcber die gefundene Bedrohung runden den Service ab.<br \/>\nWatchGuard APT Blocker kann in jeder Application Proxy Firewall-Regel aktiviert werden, in der auch Gateway Antivirus zur Verf\u00fcgung steht. Somit ist ein Schutz der wichtigen Protokolle wie STMP, FTP, HTTP und sogar HTTPS mit Deep Inspection m\u00f6glich.<br \/>\nDas <strong>Logging und Reporting<\/strong> f\u00fcr WatchGuard APT Blocker erfolgt \u00fcber den schon mit dem Basisprodukt kostenfrei zur Verf\u00fcgung gestellten <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/produktinfos\/watchguard-dimension\/\">WatchGuard Dimension Server<\/a> oder \u00fcber die \u00e4lteren Windows-basierten Logging- und Reporting-Dienste, die Bestandteil der WatchGuard System Manager Software sind. Die Log-Eintr\u00e4ge und Statistiken k\u00f6nnen \u00fcber diese Plattformen gesichtet und ausgewertet werden. Hier ein paar echte Praxis-Screenshots aus dem WatchGuard Dimension Log Server:<\/p>\n<p><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dimension-apt-0day-threat-level.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-712 size-thumbnail\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dimension-apt-0day-threat-level-150x150.png\" alt=\"WatchGuard Dimension APT Blocker Zero Day Threat Level\" width=\"150\" height=\"150\" \/><\/a>\u00a0\u00a0<a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dimension-apt-adv-content.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-742 size-thumbnail\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dimension-apt-0day-content-1-150x150.png\" alt=\"WatchGuard Dimension APT Blocker Zero Day Content\" width=\"150\" height=\"150\" \/>\u00a0\u00a0<img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-713 size-thumbnail\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dimension-apt-adv-content-150x150.png\" alt=\"WatchGuard Dimension APT Blocker Advanced Content\" width=\"150\" height=\"150\" \/><\/a>\u00a0\u00a0<a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dimension-apt-adv-threat-level.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-714 size-thumbnail\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dimension-apt-adv-threat-level-150x150.png\" alt=\"WatchGuard Dimension APT Blocker Advanced Threat Level\" width=\"150\" height=\"150\" \/><\/a>\u00a0\u00a0<a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dimension-apt-adv-trend.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-715 size-thumbnail\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/dimension-apt-adv-trend-150x150.png\" alt=\"WatchGuard Dimension APT Blocker Advanced Trend\" width=\"150\" height=\"150\" \/><\/a><\/p>\n<h3>Anwendungsbeispiel: Erfolgreiches Zusammenspiel von APT Blocker mit einem E-Mail-Gateway (Produktkaskade)<\/h3>\n<p>Nach wie vor verwenden Angreifer gerne den Weg \u00fcber E-Mails, um Schadsoftware &#8211; speziell Ransomware wie Cryptolocker, Locky, Goldeneye &#8211; zu verbreiten. Je mehr Kontrollen und Schutzbarrieren \u00fcberwunden werden m\u00fcssen, bevor eine eingehende E-Mail ihren Empf\u00e4nger erreicht, desto h\u00f6her ist die Gesamtsicherheit des E-Mail-Systems. Im Optimalfall kombiniert man Sicherheitsprodukte von verschiedenen Herstellern. So arbeiten auf einer WatchGuard Firebox mit dem spamBlocker, Gateway Antivirus und dem APT Blocker bereits drei verschiedene Technologieanbieter Hand in Hand. Dieser Schutz kann noch weiter verbessert werden, wenn ein <u>zus\u00e4tzliches<\/u>, spezialisiertes E-Mail-Security-Gateway zum Einsatz kommt, welches in der DMZ einer WatchGuard Firebox betrieben wird. So baut man eine Produkt-Kaskade auf. Jeder Administrator wird seine eigene Philosophie haben, ob er eingehende E-Mails zun\u00e4chst ungefiltert (mittels einer SMTP Packetfilter Policy) an sein SMTP-Gateway durchl\u00e4sst &#8211; und den SMTP-Proxy der Firebox erst dann auf dem Weg zwischen SMTP-Gateway und seinem eigentlichen, internen Mailserver nutzt &#8211; oder umgekehrt. Im vorliegenden Beispiel wird als E-Mail-Gateway eine WatchGuard XCSv verwendet, auf der au\u00dfer generischen Antispam-Funktionen auf Protokollebene auch noch Symantec Brightmail Antispam, Kaspersky Antivirus und McAfee Antivirus laufen. Die XCSv wird von au\u00dfen \u00fcber einen SMTP-Packetfilter erreicht (also ohne Inspektion) &#8211; und erst auf dem Weg zum internen Exchange-Server tritt zus\u00e4tzlich dazu (auf der Firebox) der WatchGuard SMTP-Proxy mit Gateway Antivirus (von Bitdefender) und dem WatchGuard APT Blocker in Erscheinung. Diese Reihenfolge wurde u.a. gew\u00e4hlt, um dem APT Blocker in der Praxis auf den Zahn zu f\u00fchlen, denn er &#8220;sieht&#8221; ja nur noch die von Kaspersky und McAfee bereits durchgelassenen Mails. Und es bewahrheitet sich: der APT Blocker findet auch hier noch Schadsoftware, wie die folgenden Screenshots anschaulich zeigen:<br \/>\n<a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2017\/02\/WatchGuard-APT-Blocker-Beispiel-1.png\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2017\/02\/WatchGuard-APT-Blocker-Beispiel-1.png\" width=\"300\" height=\"251\" \/><\/a> <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2017\/02\/WatchGuard-APT-Blocker-Beispiel-2.png\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2017\/02\/WatchGuard-APT-Blocker-Beispiel-2.png\" width=\"600\" height=\"208\" \/><\/a> <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2017\/02\/WatchGuard-APT-Blocker-Beispiel-3.png\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2017\/02\/WatchGuard-APT-Blocker-Beispiel-3.png\" width=\"300\" height=\"287\" \/><\/a><\/p>\n<ul>\n<li>Die E-Mail, so wie sie im Endeffekt im E-Mail-Client ankam. Als Anhang ist nur eine Datei namens &#8220;message.txt&#8221; vorhanden.<\/li>\n<li>Diese Datei &#8220;message.txt&#8221; wurde vom SMTP-Proxy der WatchGuard Firebox angeh\u00e4ngt &#8211; anstelle der als Schadsoftware identifizierten Datei &#8220;798205.doc&#8221;. Die Schadsoftware wurde entfernt und kann auch nicht wiederhergestellt werden.<\/li>\n<li>Der Administrator wurde zudem \u00fcber den WatchGuard Dimension Server \u00fcber das Vorkommnis benachrichtigt.<\/li>\n<\/ul>\n<pre><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1468 alignleft\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/emblem-imp.gif\" alt=\"emblem-imp\" width=\"48\" height=\"48\" \/><strong>Achtung:<\/strong> Trotz viel Licht gibt es (noch) etwas Schatten: In der derzeitigen Version hat der APT Blocker bei unbekannten Dateien noch (!) keine Quarant\u00e4ne-Funktion. Diese soll im 3. Quartal 2017 erscheinen. <u>Heute werden unbekannte Dateien zun\u00e4chst durchgelassen!<\/u> Erfolgt eine nachtr\u00e4gliche Einstufung als \"Zero-Day Malware (APT)\", dann kann diese Information nur \u00fcber den WatchGuard Dimension Server bezogen werden. Dieser hat aber genaue Informationen \u00fcber Dateityp und Empf\u00e4nger. So kann ggfs. ein Ausbruch noch verhindert oder aufgrund der konkreten Angaben schnell begrenzt werden. Das Zeitfenster zwischen erstem Auftreten in der weltweiten APT Blocker Infrastruktur und der Einstufung als \"Advanced Malware (APT)\" betr\u00e4gt i.d.R. 5-10 Minuten.<\/pre>\n<pre><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1468 alignleft\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/emblem-imp.gif\" alt=\"emblem-imp\" width=\"48\" height=\"48\" \/>Aus <strong>Datenschutzgr\u00fcnden<\/strong> ist es wichtig zu wissen, dass anhand der \u00f6ffentlichen IP-Adresse Ihrer WatchGuard Firebox entschieden wird, wo die Sandbox-\u00dcberpr\u00fcfung stattfindet. Ab der Softwareversion 11.12.2 kann man gezielt ein Datacenter ausw\u00e4hlen - aber auch <strong>ausschlie\u00dfen<\/strong>. Das bedeutet, dass bspw. Kunden in der EU den APT Blocker so einrichten k\u00f6nnen, dass jede Anfrage ausschlie\u00dflich in Amsterdam bearbeitet wird und die EU nicht verl\u00e4sst.<\/pre>\n<h3>Lizensierung<\/h3>\n<p>WatchGuard APT Blocker ist ein optionaler Security Service. Er ist Bestandteil der <strong>WatchGuard Total Security Suite<\/strong>. Er ist standardm\u00e4\u00dfig beim Kauf eines <strong>Total Security Software Bundles<\/strong> enthalten, kann aber auch einzeln lizensiert werden. Technische Voraussetzung ist zudem die Lizenz f\u00fcr &#8220;WatchGuard Gateway Antivirus&#8221;.<\/p>\n<p><span style=\"color: red;\">WatchGuard APT Blocker: [Bestandteil der Total Security Suite]\u00a0\u00a0[einzeln lizensierbar]<\/span><\/p>\n<h3>Weitere Informationen<\/h3>\n<ul>\n<li><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/Datenblatt-WatchGuard-APT-Blocker.pdf\" target=\"_PDF\" rel=\"noopener noreferrer\">WatchGuard APT Blocker Datenblatt als PDF herunterladen<\/a><\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-1473\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/emblem-rechts.gif\" alt=\"emblem-rechts\" width=\"48\" height=\"48\" \/>Zur \u00dcbersicht <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/produktinfos\/watchguard-security-services-und-suites\/\">WatchGuard Security Services und Suites<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>WatchGuard APT Blocker Watchguard APT Blocker ist eine sinnvolle Erg\u00e4nzung zu einer vorhandenen desktopbasierten Antivirus-L\u00f6sung. Der Einsatz von Antivirus-Software ist heute selbstverst\u00e4ndlich. Allerdings reichen die handels\u00fcblichen, signaturbasierten L\u00f6sungen als Schutz heute nicht mehr aus. WatchGuard APT Blocker ist ein Hilfsmittel, das auch in dieser Zeit zwischen dem Auftreten eines neuen Virus, dem Erkennen des Virus durch die Antiviren-Software-Hersteller, Packen der Virus-Kennung in die aktuellen Signatur-Dateien &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/produktinfos\/watchguard-security-services-und-suites\/watchguard-apt-blocker\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">WatchGuard APT Blocker<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"parent":73,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-294","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/pages\/294"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=294"}],"version-history":[{"count":61,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/pages\/294\/revisions"}],"predecessor-version":[{"id":16861,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/pages\/294\/revisions\/16861"}],"up":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/pages\/73"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=294"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}