Chez OM Conseil nous sommes, depuis très longtemps, fan des produits Watchguard. Mais ce n’est pas par hasard que nous préconisons ce fabricant plutôt qu’un autre.
Nous vous proposons aujourd’hui la découverte, en profondeur, de deux des technologies de lutte contre les cyber-menaces, les plus efficaces du moment : APT Bloker d’un coté et TDR de l’autre.
Commençons par APT Blocker (blocage des Menaces Persistantes Avancées), c’est un module qui a déjà quelques années d’existence chez Watchguard et qui repose sur la technologie de LastLine qui est considéré comme le leader actuel dans la lutte contre les attaques « 0 days ». C’est pas nous qui le disons mais NSS Labs dans son tout dernier test comparatif dans lequel LastLine est le seul produit à avoir bloqué toutes les menaces testées.
Cisco n’est pas loin derrière mais il faut savoir que pour quelques points d’écarts entre les deux éditeurs se sont des milliers de malwares qui passent chez l’un et sont bloqués par l’autre, et nous ne parlons même pas du TCO par Mbps protégé ! Ceux qui nous connaissent savent combien il est important pour nous de trouver le juste prix pour nos Clients qui n’ont pas d’argent à jeter par la fenêtre 🙂
Vous souhaitez en savoir plus sur LastLine ? C’est par ici (en anglais) :
https://www.lastline.com/documents/lastLine_deep_content_inspec_tb.pdf
Vous souhaitez découvrir plus en détails comment se protéger contre les attaques « 0 days » et les malwares en général ? Découvrez ce livre blanc édité par Watchguard en septembre 2014 :
https://p.widencdn.net/4rqnb2/wg_apt-blocker_ebook_fr
La technologie Lastline intégrée dans le module APT Blocker est importante afin de maximiser la sécurité de vos données ; mais la façon dont le boitier WatchGuard sera – ou a été – déployé sur vos installations est tout aussi importante. Si vous avez le moindre doute n’hésitez pas à nous contacter pour en savoir plus.
Passons à la grande nouveauté de ces derniers mois chez Watchguard : le module TDR (Détection et Réponse aux Menaces). Un véritable petit bijou de protection pour vos postes, en temps réel, et c’est complémentaire de vos antivirus.
En quelques mots il s’agit d’un plugin ultra-léger appelé « Host Sensor » qui se déploie sur vos ordinateurs Windows, Mac OS X ou encore Linux et qui va travailler de pair avec le système ThreatSync de Watchguard hébergé dans le Cloud. Votre firewall Watchguard, lui, assure le suivi de votre abonnement et l’application de règles en fonction des menaces. L’ensemble permet, grâce à un réseau mondial d’analyse des menaces, de détecter des comportements anormaux, d’assurer une corrélation fine pour détecter une véritable menace d’un simple « bruit » et d’agir en conséquence afin de bloquer la menace avant qu’il ne soit trop tard.
Comment ça fonctionne ?
ThreatSync analyse toutes les informations remontées par les différentes systèmes de veille que Watchguard utilise. Des experts apportent leur intelligence pour adapter les réponses de manière automatisée aux clients (capteurs « Host Sensor ») qui remonteraient une alerte. Les capteurs « Host Sensor » déployés sur vos postes alertent ThreatSync de tous les processus anormaux détectés grâce à un ensemble d’analyse comportementale et heuristique. En cas de menace détectée, le capteur « Host Sensor » alerte ThreatSync, les vérifications sont faites dans le Cloud, et si besoin des contre-mesures sont exécutées sur l’hôte. Notez que le « Host Sensor » fonctionne très bien aussi sans connexion réseau et est capable d’agir localement si il détecte une menace comme un ransomware par exemple. Des modèles pré-existant de contre-mesure peuvent tuer un processus jugé dangereux, mettre un fichier en quarantaine comme le ferait un antivirus classique ou encore effacer une clé qui viendrait d’être ajoutée dans la base de registre d’un ordinateur fonctionnant sous Microsoft Windows. Enfin lorsque vous en avez besoin, vous avez accès à une console de gestion située dans le Cloud et qui vous fournira tous les détails nécessaires pour bien administrer la sécurité de votre parc.
Ce qu’on aime beaucoup chez OM Conseil, c’est la capacité du module « Host Sensor » à protéger très efficacement vos postes contre les ransomwares. La preuve en vidéo en 10 mn (un grand merci à Florian de chez Watchguard France pour cette présentation) :
Ce qu’on retient comme points positifs de TDR pour nos Clients :
- Une augmentation importante de la sécurité, en plus des antivirus et du module APT Blocker (qui restent nécessaires) ;
- Le plugin « Host Sensor » a une empreinte mémoire et processeur très légère sur les postes ;
- Le plugin « Host Sensor » fonctionne sans avoir besoin de connexion à Internet ;
- Des contre-mesures automatisées permettant de réagir instantanément face à des menaces « 0 days » ou des virus de type ransomwares ;
- S’ajoute aux cotés de votre antivirus classique pour augmenter vos chances de survivre à une attaque grave ;
- Le suivi de votre parc depuis une console Cloud digne des grands comptes ;
- Enfin la possibilité d’automatiser les déploiements via un annuaire Active Directory.
Envie d’en savoir plus ou besoin d’aide pour optimiser les réglages de votre parefeu Watchguard ? Contactez-nous.