Articles de support WithSecure Elements Announcements

juillet 2023

Elements Centre de sécurité

"WINS" a été renommé en "Nom d'hôte" dans les règles d'attribution des profils.

Dashboard- La liste des problèmes indique désormais le nombre d'appareils non fiables pour une entreprise.

De nouveaux sites System Views ont été ajoutés à Security Events

Détection de fichiers
Web et réseau
Système et applications
Autres solutions Elements

De nouveaux graphiques ont été ajoutés sous l'onglet Security Events

Nous avons ajouté de nouveaux graphiques dans la section Reports pour montrer le nombre d'événements groupés par leur source.

En outre, il existe des graphiques pour :

Web Content Control - Principales catégories bloquées
Data Guard - Principales applications bloquées
Device Control - Principaux dispositifs de blocage des règles
Tamper Protection - Principaux types d'alerte
System Events - Principaux types d'événements

Security Events peut être filtrée par la colonne Target (à la fois dans Filter Panel et en tant que Quick Filter)

Le filtre est effectif pour les événements à partir du 1er juin 2023.
pour les événements plus anciens, le filtre "Device UUID" doit être utilisé comme option de repli.

Les mises à jour manquantes peuvent désormais être filtrées par Bulletin id et KB id

Security Events accusé de réception Operations sont désormais audités

Ces remerciements sont visibles sous Reports → Audit Log pour analyse.

Elements Protection des points finaux

Elements Protection mobile : lancement de la version 23.1.10291 d'iOS

Une mise à jour de l'application WithSecure Elements Mobile Protection pour iOS (23.1.10291) a été publiée.

Cette version apporte :

Gestion améliorée et plus efficace des erreurs pendant la phase d'activation
L'application prend désormais en charge :
- actions rapides pour activer/désactiver Network Protection
- VPN par application via l'automatisation des raccourcis

L'application et le portail WithSecure Elements Endpoint Protection sont désormais compatibles :

"Request diagnostic file" remote operations
les paramètres de sécurité suivants :
- Modifications des autorisations de notification
- Détection d'un appareil jailbreaké
- Appareils connectés à un réseau WiFi ouvert
- L'application fonctionne sur un simulateur
- L'application étant un clone
- Vérification des vulnérabilités de type "personne du milieu" (person-in-the-middle)
- Système d'exploitation obsolète
- Le réseau utilise la configuration proxy
- Vérification de l'espace disque disponible

Elements Protection mobile : Version Android 23.1.0022525

Une mise à jour de l'application WithSecure Elements Mobile Protection pour Android (23.1.0022525) a été publiée.

Cette version comprend

L'application est désormais plus fiable lorsqu'elle fonctionne en arrière-plan

L'application et le portail WithSecure Elements Endpoint Protection affichent désormais

si un appareil est enrôlé dans un MDM
Le format de la version de l'application est désormais compatible avec les autres produits WithSecure.
Le nom et la version du profil attribué sont désormais visibles dans l'interface utilisateur, dans la section "A propos".
L'application demande désormais à l'utilisateur les nouvelles autorisations nécessaires après une mise à jour.

L'application et le portail WithSecure Elements Endpoint Protection prennent désormais en charge les accès à distance suivants : operations:

Request diagnostic file
Envoyer un message à l'appareil
Lancer l'analyse des logiciels malveillants
Envoyer l'état complet

Et les paramètres de sécurité suivants :

Modifications de l'autorisation de notification
Modification de l'autorisation de localisation
Modification des autorisations d'accès aux fichiers

En outre, les sites suivants security events:

Infection détectée

Elements Détection des points finaux et réponse

Bien que nous n'ayons pas encore mis ce changement en production, nous avons annoncé une modification prochaine des actions automatisées de EDR. Vous pouvez trouver plus de détails sur ce changement à l'adresse suivante article communautaire dédié

Elements Collaboration Protection

La logique d'accueil des boîtes aux lettres nouvellement ajoutées a été revue pour répondre aux attentes et aux besoins des utilisateurs.

Auparavant, lorsque l'option "Automatically protect newly-added mailboxes" était activée, les boîtes aux lettres nouvellement ajoutées étaient automatiquement protégées. S'il n'y avait pas assez de licences, la protection était supprimée pour les boîtes aux lettres plus anciennes (suivant un ordre alphabétique).

En outre, reports est désormais disponible en plusieurs langues :

Anglais, finnois, français, allemand, italien, japonais, suédois, polonais, espagnol, portugais et chinois traditionnel (Taïwan).

Les administrateurs peuvent générer des rapports dans la langue de leur choix, mais aussi modifier les paramètres linguistiques pour les rapports déjà programmés ( reports). La langue définie dans les paramètres de l'utilisateur est définie par défaut pour la localisation du rapport. Cette fonction garantit un format de rapport pratique, aligné sur les préférences linguistiques du public de target.

Elements Gestion de la vulnérabilité

Elements Portail de gestion des vulnérabilités

Pour améliorer l'efficacité du système et la lisibilité des tableaux, nous avons fusionné les commutateurs "Inclure dans l'évaluation de la note de risque" et "Afficher dans le décompte de la gravité" en un seul commutateur unifié appelé "Inclure dans la gravité et la note de risque".

Lorsque ce commutateur est désactivé pour un état de vulnérabilité spécifique :

Les vulnérabilités ayant ce statut ne seront pas prises en compte lors de l'évaluation des risques liés aux biens.
Les vulnérabilités ayant ce statut ne seront pas comptabilisées dans le nombre total de vulnérabilités.

Cette mise à jour vise à rationaliser le processus de configuration et à fournir aux utilisateurs plus de clarté et de contrôle sur l'évaluation du risque et de la gravité des vulnérabilités.

Nous avons également ajouté la prise en charge par le portail des analyses de périphériques réseau authentifiés à l'aide d'informations d'identification par clé API. Les utilisateurs peuvent désormais authentifier les analyses en fournissant un jeton API secret à l'appareil distant.

Elements Analyse du système de gestion des vulnérabilités

Les fonctionnalités suivantes ont été ajoutées à l'analyse authentifiée dans Windows

Détecter les vulnérabilités dans Progress MOVEit Transfer
Détecter les vulnérabilités de l'agent GLPI
Détecter les vulnérabilités de Dell Display Manager
Détecter les vulnérabilités dans Veeam Agent
Détecter les vulnérabilités dans Bitwarden Desktop
Détecter les vulnérabilités dans Audacity
Détecter les vulnérabilités dans les applications et postes de travail virtuels Citrix
Détecter les vulnérabilités dans Nessus Network Monitor
Détecter les vulnérabilités dans les outils HPE Integrated Smart Update
Détecter les vulnérabilités de l'agent Atera
Détecter les vulnérabilités de l'agent NinjaRMM
Détecter les vulnérabilités du client QVPN de QNAP

En outre :

Signaler les vulnérabilités détectées pour le logiciel MongoDB également dans l'analyse authentifiée de Windows et de l'agent des points finaux.

Elements Gestion des vulnérabilités Linux Scan Node Agent

Une nouvelle version de l'agent Linux Scan Node a été publiée, qui apporte les modifications suivantes :

Décodage Base64 pour les informations d'identification utilisées dans l'analyse en mode Api

Prise en charge par le portail de l'analyse authentifiée des périphériques réseau via l'API

Intégrations

Elements API :

Gestion du statut de l'incident EDR

Un nouveau point d'aboutissement pour gérer le statut des EDR est désormais disponible. Il permet à un MSSP de mettre à jour le statut d'un incident EDR à partir de sa plateforme SOC (par exemple SOAR). Ceci est important non seulement pour maintenir le statut à jour dans le Centre de sécurité Elements, mais aussi pour mettre automatiquement sur liste blanche certains incidents lorsqu'ils sont fermés en tant que faux positifs.

Nouveaux filtres pour les appareils et les incidents

De nouveaux filtres ont été ajoutés pour les incidents et les dispositifs :

Incidents: nouveau filtre niveau de risque a été introduite dans la liste des incidents point final. Il peut être utilisé pour dresser la liste des incidents présentant un niveau de risque plus élevé.
Dispositifs: nouveau filtre clé d'abonnement a été introduite dans la liste des dispositifs point d'extrémité. Il permet de ne répertorier que les appareils de la clé d'abonnement spécifiée.

Autres éléments d'intérêt

Rapport mensuel sur les faits marquants de la menace : Juin 2023

L'exploitation massive d'une vulnérabilité dans MOVEit par Clop

Le groupe de ransomware Clop a exploité une vulnérabilité dans MOVEit, un logiciel de transfert de fichiers sécurisé, pour accéder à des données sensibles appartenant à plusieurs organisations. L'attaque a entraîné la fuite de données appartenant à 78 organisations.

L'utilisation des techniques "Bring Your Own Vulnerable Driver" (BYOVD) pour mettre fin à l'utilisation d'AV/EDR

Nous examinons une technique utilisée par les acteurs de la menace pour contourner les systèmes antivirus (AV) et les systèmes de détection et de réponse des points finaux (EDR) en exploitant les vulnérabilités des pilotes tiers. Cette technique implique que l'attaquant apporte son propre pilote vulnérable au système, qui peut alors être exploité pour accéder à des données sensibles.

Activité liée au groupe APT chinois Volt Typhoon

Le groupe chinois Advanced Persistent Threat (APT) connu sous le nom de Volt Typhoon est connu pour favoriser l'exploitation des vulnérabilités des produits Fortinet afin d'obtenir un accès initial aux systèmes ciblés.

L'empoisonnement des mods du célèbre jeu vidéo Minecraft

Des acteurs de la menace ont créé des modules malveillants pour le jeu vidéo populaire Minecraft. Ces mods ont été conçus pour voler les identifiants de connexion des utilisateurs et diffuser des logiciels malveillants.

Mise à jour du paysage de l'hacktivisme

Derniers développements dans le monde de l'hacktivisme, y compris les nouveaux groupes, les tactiques et les cibles. L'hacktivisme est une forme de cyberactivisme dans laquelle des individus ou des groupes utilisent des techniques de piratage pour promouvoir un programme politique ou social.

Tendances en matière de ransomware

Nous examinons l'identification de trois nouveaux groupes de ransomwares et nous faisons le point sur l'ampleur des attaques et des statistiques relatives aux groupes les plus actifs au cours du mois de juin.

Télécharger le rapport

Au cas où vous l'auriez manqué

Partagez vos idées avec nous

Notre objectif est de co-sécuriser le monde avec vous - maintenant en tant que WithSecure™. Pour cocréer les meilleurs produits et services de cybersécurité possibles, nous vous recommandons vivement de partager vos idées via notre portail d'idées, désormais accessible directement depuis WithSecure™ Elements Security Center.

Plus d'informations

Les modifications et les notes de mise à jour pour toutes les parties de WithSecure™ Elements peuvent être consultées sur le site suivant Centre d'aide