Redaktörens höjdpunkter
Vi ber om ursäkt för den sena publiceringen av What's New in Elements denna månad, men vi siktar på att vara tillbaka med ett mer regelbundet schema nästa månad.
Extended Detection and Response
Endpoint Protection
Vi har nyligen gjort några små men viktiga ändringar på Endpoint Protection.
Installera programuppdateringar fjärrstyrning skulle misslyckas från Devices-vyn
Detta har nu åtgärdats för att säkerställa att operationen inte misslyckas
"Datorer efter operativsystem" widget
Denna widget i systemvyn "Enheter" kunde ibland visa data för mobila enheter på sidan Min rapport. Detta har nu åtgärdats
Inkludera rollback i standard säkerhetshändelsevy "infektioner"
Endpoint Detection and Response
Filtret "Inte lika med" har lagts till i vyn Event Search
Detta nya filter hjälper administratörer att enkelt utesluta specifika händelser, vilket gör det enklare att hitta exakt vad de letar efter. Detta bör hjälpa administratörer att få en mer strömlinjeformad och effektiv sökupplevelse!
Avsnittet "Tidslinje" har lagts till i detaljvyn för BCD
Denna funktion listar detektioner i tabellformat för en annan alternativ vy som hjälper utredningen att förstå händelseförloppet över flera värdar.
Email and Collaboration Protection
Uppdaterade MFA-detekteringsmetoder för komprometterade konton
Befintliga kunder måste autentisera Exchange på nytt för att MFA-statusen ska fungera (det gamla sättet att upptäcka MFA har tagits bort av Microsoft och därför behövdes denna uppdatering). En banner kommer att visas för kunder som behöver autentisera sig på nytt.
Exposure Management
Status för en rekommendation kan ställas in på sidan Rekommendationsinformation
Statusen sparas i rekommendationen för vidare spårning. t.ex. Statusen visas på widgeten Hem → Exponering.
Förutom status kan anteckningar läggas till för varje rekommendation, t.ex. för att ange skälet till varför användaren har beslutat att ge en rekommendation en viss status
Vulnerability Management
EVM-portal
Skapande av användare har inaktiverats i Vulnerability Management
Som en del av den övergripande konsolideringen av användarkontohanteringen i WithSecure Elements har möjligheten att skapa användare inom Elements Vulnerability Management tagits bort.
Åtgärdsknappen omdirigerar nu till vyn Management → Organisationsinställningar → Säkerhetsadministratörer istället.
Dessutom har de relaterade Vulnerability Management API ändpunkterna markerats med attributet "End of Life".
EVM System Scan
Följande produkter har nya eller uppdaterade detekteringsfunktioner inom Authenticated Scanning for Windows:
- Apache MINA SSHD
- Apache CFX
- Spring Cloud Skipper
- Vårens säkerhet
Dessutom har vi förbättrat upptäckten av Microsofts kumulativa uppdateringar. Det kommer nu inte bara att upptäcka att de senaste säkerhetsuppdateringspaketen saknas, utan det kommer att rapportera alla kumulativa uppdateringar sedan den senaste gången värden uppdaterades. Detta kan leda till en betydande ökning av antalet kritiska sårbarheter relaterade till Windows Update.
Under skanningar ignoreras nu målvärdens MAC-adress om den tillhör välkända "populära" MAC-adresser för att undvika oönskad sammanslagning av tillgångar.
Cloud Security Posture Management
Elements Cloud Security Posture Management: Changelog
En ny version av Elements Cloud Security Posture Management har släppts, med följande huvudsakliga förändringar:
- En lösning för molnskannern som ibland inte slutförs
- Bättre namn för vissa molntillgångar istället för bara ID:n
- Nya regler för att upptäcka potentiellt sårbara MFA-konfigurationer med hjälp av Security Defaults, Conditional Access Policies och individuella användarinställningar
Elements Foundations
Elements Security Center
ESC: Kolumnen "Partner" har lagts till i vyn Prenumerationer
En ny kolumn "Partner" har lagts till i vyn Management → Subscriptions för användare på SOP-nivå. När en Solution Provider (SOP)-användare är inloggad visar kolumnen vilken Service Partner (SEP)-organisation som en företagsprenumeration tillhör:
ESC: Anpassningar till Exposure Management roller
I och med införandet av funktionen Exposure Management i Elements kommer motsvarande användarroller att grupperas i en enda kolumn och ett enda detaljavsnitt på skärmen Security Administrators. Detta gäller rollerna Exposure och Vulnerabilities (tidigare Vulnerability Management):
"Vulnerability Management - Administratör" roll har bytt namn till "Exposure Management - Sårbarheter - Hantering".
"Vulnerability Management - Team-medlem med skrivskyddad behörighet" roll har bytt namn till "Exposure Management - Sårbarheter - Skrivskyddad".
ESC: Elements Självregistrerande företag får IAM-roll
Rollen IAM (Identity and Access Management) är nu synlig i vyn Säkerhetsadministratörer. Den här nya rollen har behörighet att bevilja och återkalla alla behörigheter på Elements för säkerhetsadministratörer inom IAM-administratörens organisation och anslutna enheter.
För närvarande tilldelas denna roll till självregistrerande företag, och endast andra IAM-administratörer kan tilldela denna roll till ytterligare användare.
Vi är på väg att påbörja migreringsprocessen, under vilken befintliga användare som redan har motsvarande IAM-behörigheter kommer att kunna göra anspråk på IAM-rollen. För mer information, se användarhandboken: Elements Identitets- och åtkomsthantering | Välkommen till WithSecure Elements | Senaste nytt | WithSecure användarhandböcker.
Integrationer
Elements API: Hämta senaste databasversioner
Vi har introducerat en ny endpoint i WithSecure Elements API som gör det möjligt för användare att hämta de senaste versionerna av olika databaser. Denna endpoint ger uppdaterad information om de aktuella versionerna av databaser som används inom WithSecure Elements plattformen.
Slutpunkt: GET /databaser/v1/aktuella versioner
Detaljer:
- Syfte: Kontrollera de senaste versionerna av databaserna
- Svar: Returnerar en lista över databaser tillsammans med deras senaste versionsnummer.
- Användning: Perfekt för att säkerställa att dina system använder de senaste databasversionerna för optimal säkerhet och prestanda.
För mer information, vänligen se API dokumentation.
Övriga poster av intresse
Rapporter om hot i fokus: Oktober
Hotrådgivning: BlackBasta Intern Helpdesk Social Engineering
WithSecure MDR vill uppmärksamma er på en ny typ av attack. BlackBasta, som rankas som topp 20 Ransomware Groups 2024, har observerats använda social engineering för att lura slutanvändare. Hotaktörer (TA) via Microsoft Teams utger sig för att vara intern helpdesk och kontaktar anställda för att hjälpa till med pågående skräppost, som utförs av BlackBasta själv. Under hjälpsamtalet ber TA användarna att installera RMM-verktyg (Remote Monitoring and Management), t.ex. Anydesk eller TeamViewer, och börjar ladda ner och köra skadliga verktyg på målet.
Hotmeddelande: Lumma Stealer Malware
Lumma stealer är för närvarande ett aktivt hot, där operatörerna av skadlig programvara använder flera initiala åtkomsttekniker och utvecklare aktivt förbättrar skadlig programvaras kapacitet. I september rapporterades det att Lummas författare har genomfört detaljerade åtgärder för att kringgå Chromes nyligen implementerade försvar mot infiltrationsstjälare.
Under hela september rapporterades att Lumma levererades med hjälp av en klistra-och-kör-teknik. Ett phishing-e-postmeddelande skulle leda offren till ett CAPTCHA-frågeformulär, som ger instruktioner för användarna att ange Windows-tangentbordsgenvägar som skulle öppna en terminal, sedan klistra in och köra ett skadligt kommando som infogats i urklippet av phishing-webbplatsen
Kommandot gör att den drabbade datorn hämtar och kör en skadlig Lumma stealer binärfil.
Lumma sprids inte enbart via e-post. I september observerades Lumma också drivas genom Github-kommentarer maskerade som buggfixar
Hotmeddelande: Windows nedgraderingsattack, förbikoppling av kärndrivrutinsskydd
Tekniken missbrukar Windows uppdateringsprocess för att återställa Windows-komponenter på en uppdaterad maskin till äldre versioner utan att operativsystemet ändrar status till att vara helt patchat.
Tekniken gör det möjligt för angripare att nedgradera säkerhetsfunktioner i Windows-kärnan för att kringgå Tillämpning av förarsignatur (DSE), och distribuera rootkits på fullt patchade system
Du kan anmäla dig för att få de månatliga hotrapporterna, med fullständiga uppgifter, på https://www.withsecure.com/en/expertise/research-and-innovation/research/monthly-threat-highlights-report
Ifall du missade det
Elements Portal: Federated Single Sign-On är nu tillgängligt
Vi har nu infört stöd för Federated Single Sign-On (FSSO) till WithSecure Elements.
Detta gör det möjligt för användare att autentisera sig och få tillgång till flera applikationer eller tjänster i olika domäner eller organisationer utan att behöva logga in separat för varje.
För mer information om FSSO i WithSecure Elements, vänligen se vår dedikerad artikel.
Dela dina idéer med oss
Vårt syfte är att göra världen säkrare tillsammans med dig - nu som WithSecure™. För att tillsammans skapa bästa möjliga produkter och tjänster inom cybersäkerhet rekommenderar vi varmt att du delar med dig av dina idéer via vår idéportal, som nu är tillgänglig direkt från WithSecure™ Elements Security Center
Ytterligare information
Changelogs och Release Notes för alla delar av WithSecure™ Elements finns på Hjälpcenter
