Le version 8.8 de Forcepoint DLP intègre les évolutions suivantes :
○ il est désormais possible d'intégrer les politiques DLP avec Forcepoint Web Security Gateway (WSG)
○ Déploiement d'une nouvelle version d'agent DLP 20.09
○ Mise à jour des Files Classifiers dans le package de l'agent (rétro compatibles 20.07)
○ Ajout d'un nouveau message de blocage pour l'agent DLP afin d'informer l'utilisateur de l'échec du chiffrement d'un fichier avant son envoie sur un support amovible.
Implémentation du DLP "Risk-adaptive"
Cette fonctionnalité permet de créer des politique DLP s'adaptant au contexte de l'utilisateur. Pour cela la fonctionnalité "Risk-Adaptive DLP" doit être déployée sur les environnements Hybrides ou les agents Forcepoint DLP et l'agent Cloud Neo Endpoint sont installés.
La nouvelle version majeure de la Secure Email Gateway de Clearswift est disponible, c'est la version 5.0
Cette version majeure apporte les nouveautés suivantes :
○ Mise à jour de l'OS en Red Hat Entreprise Linux 7.8. Ce changement apporte entre autres la gestion des paramètres système via la console Red Hat Cockpit
○ Ajout d'un second antispam dans le traitement des email : rspamd A noter : ce nouveau moteur antispam n'est pas actif par défaut.
○ Nouvel version du moteur Antispam historique : Mailshell SDK 8.2.1
○ implémentation de SMBv2
○ L'interface est désormais Responsive.
○ Amélioration des fonctions de recherche d'objets dans les menus de configuration
○ Le moteur Antivirus Avira est mis a jour.
Problème corrigés par cette nouvelle version :
○ le moteur Kaspersky connaissait un bug provoquant une utilisation excessive de la Mémoire vive.
○ Possibilité de changer des partis de configuration sans les permissions requises.
○ Problème de détection lexicales.
/!\ NB ;
- Il est possible de mettre a jour votre SEG v4.x. Dans ce cas un saut par la version 4.11.2 est impératif.
- Il est aussi possible de faire une nouvelle installation de Clearswift v5, et d'y importer la configuration depuis
- les prérequis hardware ont changés.
La dernière version du client Endpoint Security apporte pour seul changement le support de la dernière version de Windows 10 : Windows 10 20H2 (version 2009).
RAPPELS : Composants Mobilite de VMWare en fin de vie.
L'écosystème Workspace One étant vaste, un petit rappel des composants qui arrivent (ou sont arrivés) en fin de vie.
Workspace One UEM : Version 1905. Fin de support annoncé pour 30 Novembre 2020.
Personal Content : Fin de support depuis Janvier 2020, mais les menus étaient encore présents dans les apps mobiles. Attention, la dernière release des apps Content pour Android et iOs suppriment le menu Personal Content. Par ailleurs, plus de support pour la partie Content Sync pour Windows et MacOS
Content Locker for Windows : Fin de support 31 Juillet 2021
AirWatch Container : Fin de support depuis le 30 Aout 2020
Android Legacy Enrollments : Fin de support le 31 Mars 2022. Avant cette date, tous les Androids doivent être passés sous Android Enterprise pour l'enrôlement, après avoir lié votre environnement Workspace One UEM à Google.
Workspace One Application : Fin de support 11 Aout 2021. Avant cette date, il faudra que les terminaux utilisants cette application soient migrés vers Intelligent Hub.
VMware Advanced Remote Management 4.4 et 5.0 : Fin de support depuis le 1er Juillet 2020, et remplacé par Workspace One Assist.
Les solutions de Log Management apportent aux équipes de sécurité des outils permettant une analyse efficace de grands volumes de logs générés par une multitude de sources de données différentes.
La gestion des logs concerne : ...
RSA a annoncé la sortie du nouvel agent RSA MFA Agent 2.0 pour Microsoft Windows. Ce nouvel agent unifié permet l’interaction avec RSA Authentication Manager 8.5 et RSA SecurID Access Cloud Authentication Server (CAS). Cet agent apporte les nouvelles fonctionnalités suivantes :
- Solution d’authentification forte (MFA) pour les utilisateurs à la fois online et offline.
- Support d’algorithmes qui prennent en charge FIPS 140-2 afin de répondre aux besoins de sécurité et de conformités
- Accès offline pour les accès urgents afin de ne pas impacter la productivité
- Fonctionnalités en libre services tels que la gestion des jours hors connexion, la personnalisation des interfaces MFA ainsi que l’accès aux pages d’aide
- Nouveaux paramètres permettant aux administrateurs une meilleure gestion du load-balancing ainsi que des mécanismes de fail-over, politique de changement des mots de passe ainsi que défis users/groups.
L’upgrade de l’agent RSA Authentication Agent 7.4 ou supérieur est supportée via un utilitaire automatisant les processus pour une migration directe. L’upgrade depuis une version MFA 1.1 ou supérieur est également prise en charge.
RSA Authentication Manager 8.5
RSA Authentication Manager est une solution de sécurité MFA qui fournit différents types d’authentification et de second facteur pour aider les entreprises à protéger l’identité de leurs employés. Combiné au Cloud Authentication Service (CAS), RSA Authentication Manager agit également comme proxy pour ce dernier ainsi que comme on-prem failover node pour garantir la haute disponibilité de l’authentification MFA.
Haute disponibilité du cloud hybride
RSA Authentication Manager 8.5 peut être déployé en tant que proxy pour le Cloud Authentication Service (CAS) et garantir le failover pour le service d’authentification cloud. L’Authentication Manager valide les token RSA SecurID et transmet les demandes d’authentification MFA au CAS. Si le CAS ne peut être atteint, Authentication Manager peut inviter les utilisateurs à utiliser leurs Token téléchargés. Cette fonctionnalité garantit une haute disponibilité des ressources critiques protégées par un agent SecurID et crée une solution cloud hybride hautement disponible et sécurisée.
Déploiement des Identity Router simple et rapide
RSA a simplifié la connexion au CAS en intégrant directement les Identity Router dans les instances RSA Authentication Manager.
Authentification cloud simplifiée
En utilisant RSA Authentification Manager 8.5 comme serveur proxy en configurant les agents pour envoyés les requêtes d’authentification à l’authentification Manager, les multiples connections REST entre l’Authentication Manager et le CAS sont réduites. L’Authentication Manager valide les token RSA SecurID mais envoi directement les autres demandes d’authentification MFA au CAS.
Upgrade facilité
En utilisant le processus d’upgrade de RSA, l’upgrade vers RSA Authentication Manager 8.5 peut être fait directement depuis les versions 8.2 SP1, 8.3 ou 8.4. Pour les versions inférieures, un upgrade intermédiaire en 8.2 SP1 est nécessaire. Les certificats LDAPS ou console 1024bits utilisés dans les versions 8.2 SP1 ou 8.3 doivent cependant être remplacés par des certificats d’au moins 2048 bits avant l’upgrade (ce qui était déjà le case en 8.4).
Collecte des données d’utilisation
Afin de mieux comprendre la configuration et l’utilisation des produits, ainsi que dans un but d’amélioration du support, RSA collecte de façon anonyme des données. Aucune information sensible ou PII (Personally Identifiable Information) n’est collectée. Ce service est actif par default lors de l’upgrade vers RSA Authentication Manager 8.5.
Nous recommandons cependant vivement de désactiver la collecte d’information automatique.
Prise en charge des agents RSA
RSA Authentication Manager 8.5 prend en charge les versions d’agents suivants :
- Agents qui utilisent le protocol UDP
- Agents qui utilisent le protocol REST (RSA Authentication Agent 2.0 ou supérieur pour Microsoft AD FS)
- Agents RSA Authentication 8.0 ou supérieur pour PAM
- Agents RSA MFA Agent 2.0 pour Microsoft Windows
L’agent RSA Authentication pour Citrix StoreFront requière la version 2.0.1 pour utiliser les fonctionnalités de RSA Authentication Manager 8.5
Identity Awarness - Terminal Server Agent v2 (MUH2)
Une nouvelle version de l'agent Multi-user Host pour les Terminal Server est disponible, la V2 !
Cette nouvelle version "MUH2" est fonctionne de manière tout à fait différente de la première version quant à l'identification du trafic
par utilisateur sur les terminaux Multi-User (Citrix, TS Server).
Les serveurs TS & Citrix communiquent avec le firewall via une seule adresse IP tandis qu'ils sont utilisés par plusieurs utilisateurs simultanément. Cette nouvelle version permet de fournir au firewall la capacité d'identifier l'utilisateur d'origine derrière chaque connexion provenant de ces hôtes multi-utilisateurs.
Voici les principaux changements :
○ support des versions 2016 et 2019 de Windows Server
○ la limite du nombre d'utilisateur par TS passe de 15 à 256.
○ MUH2 n'est compatible qu'à partir de la version r80.40 ou à partir de la r80.30 JHF 210.
○ l'Identification des utilisateurs n'est plus basée sur un range de port TCP. Désormais un tag est ajouté par l'agent dans l'ensemble des paquets d'un utilisateur.
○ l'Agent MUH2 installe un driver WFP qui intercepte le trafic à l'origine d'un utilisateur et tag le paquet avec un pool d'ID.
Chaque user bénéficie d'un pool assigné bien plus grand qu'avec MUH1.
NB : Ce fonctionnement n'est disponible que sur les flux TCP et UDP.
/!\ il n'est pas possible de mettre à jour la version 1 vers la version 2. Une désinstallation de MUH1 est nécessaire, suivi de l'installation de MUH2. Un reboot est recommandé après l'installation de MUH2.
Une nouvelle version du client Edge est disponible : la version 7.2.1
NB : Cette version n'a pas encore été validée par e-Xpert Solutions, cependant des bugs nous poussent à ne pas la recommander pour le moment.
Cette nouvelle mouture apporte de nombreuses améliorations :
○ Support des systèmes d'authentification de type U2F/ FIDO tels que Yubikey
○ Support du Splut Tunnelling DNS pour les domaines DNS en Round-Robin
○ Support du DTLS 1.2
Ce protocole a pour objet la sécurisation des communications F5 <> Client Edge afin de prévenir des attaques de type "message forgery, Man in the Middle, etc.
Aussi de nombreux bugs sont corrigés, corrigeant quelques vulnérabilités et améliorant la stabilité du système. Afin de les identifier nous vous renvoyons vers la Release Note
Cette version 83.20 du Client Enterprise Endpoint Security E83.20 apporte les fonctionnalités suivantes :
○ La blade Anti-Malware est désormais disponible pour MacOS
○ Scan contextuels par la blade Anti-Malware
○ Support de l'extension Chrome de l'agent Sandblast avec la capacité d'utiliser la blade URL Filtering
○ support de nouvelles fonctionnalités VPN
> Multiple Authentication Factors
> Multiple Entry Point, Implicit mode
> Secondary Connect
Apple modifie le mode de fonctionnement pour l'envoie de "Push Notifications" en passant d'un protocole TCP à une connexion HTTP/2. Vous trouverez tous les détails ici. Ce changement est annoncé depuis longtemps, mais l'échéance approchant, certaines vérifications s'imposent.
L'ancien système sera complètement arrêté en Novembre 2020.
Pour les clients ayant une installation On Premise de Workspace One UEM, vous devez vous assurer avant cette date que votre version est compatible. Le premier critère est que la version de Workspace One UEM doit être 19.05 ou >. Vous trouverez le détail des versions (et patch levels) supportés ici.
Notez par ailleurs que bien que ce flux soit en HTTP/2, les contraintes d'authentification Apple (par certificat) impose une connectivité directe entre les serveurs Workspace One UEM (Device Services, Console Server) et les serveurs PUSH d'Apple, sans passage par un proxy Web.
Yoann Le Corvic
Senior Security Engineer / CISM
Catégorie : Post-IT
Date : 3 août 2020
Mise à jour : 3 août 2020
Microsoft DNS : Critical remote code execution (CVE-2020-1350)
La semaine dernière, le mardi 14 Juillet, Microsoft a publié un patch corrigeant une vulnérabilité critique sur le composant DNS de Windows server. Découverte par Checkpoint Research, La CVE-2020-1350 touche toutes les versions ...
Automatiser la réponse aux incidents de sécurité en entreprise !
Dans le cadre de nos missions, nous constatons régulièrement que la gestion d’un incident est souvent perçue comme une tâche fastidieuse.
Un incident peut demander aux équipes (aka SOC/Incident Response team), plusieurs heures jusqu’à plusieurs jours de traitement en fonc ...
La signature dans le monde de l’authentification SAML
Dans le monde informatique actuel, les entreprises utilisent une multitude de produits dérivés de différents fabricants. Au quotidien, ces produits sont exploités par des professionnels et des personnes malveillantes, afin d’y découvrir des vulnérabilités permettant de gagner des ...
Nous vous proposons de retrouver ici la liste des nouveautés majeurs de la version r80.40 de Check Point !
L'utilisation du noyau Linux 3.10 permet les améliorations suivantes
Changement du système de gestion des partitions : Passage du MBR au GPT
Suppression de la limite de taille des disques (2 To max en MBR)
Suppression de la limite du nombre de partitions
Distribution de la table de partition à plusieurs emplacement sur le disque
Vérification de l'intégrité (gestion réelle du CRC)
Changement de système de fichier
XFS remplace EXT3
XFS délivre notamment les améliorations suivantes
Augmentation des capacités I/O grace à la paralelisation des taches de lecture / ecriture disque
Meilleure gestion des inodes
Notes : Afin de profiter de l'ensemble des améliorations apportéées par la version R80.40, il est nécessaire de réaliser une migration avancée (migrate export / migrate import).
Enrichissement des statistiques CPVIEW
Ajout des statistiques par VS
Détails des statistiques de NAT
Amélioration de la visibilité concernant l'activité des différentes Blades
Update RPMs
Un grand nombre de packages RPM sont mis à jour. Note : La version de BASH est mise à jour de 3.1-16 vers 4.2-47 : Vérifiez la compatibilité de vos scripts BASH.
Possibilté de paramétrer un domain d'encryption par communauté VPN
Support du SMBv3 multichannel
Support de l'inspection SSH sur les flux entrants
Support du protocol http2
Interface de configuration intégrée au SmartConsole en tant que layer
Notes : Certaines configurations avancées (gestion des autorités de confiance notamment) nécessitent encore l'utilisation de l'ancienne interface
Prise en charge des objets dynamiques (Updatable Objects et Domain Objects)
Contrôle de cohérence des catégories lors de l'utlisation du SNI (Server Name Indication) afin de limiter le risque de contournement de la politique de filtrage Web.
Les instances SND et FW_workers sont distribuées dynamiquement, permettant l'adaptation au conditions réelles d'utilisation :
A intervalle de temps réguliers, le système évalue le gain de perfomance potentiel en cas de redistribution des ressources CPU.
Cette amélioration permet notamment de basculer automatiquement d'une matrice de distribution "Daily" (forte activité utilisateur, souvent caractérisée par une consommation élevée des ressources par les blades d'analyse avancée) à une matrice orientée "Out of working hours" (forte activité de backup et flux techniques, principalement pris en charge par la blade FW)
Notes :
Cette amélioration n'est pas supportée sur les environnements VSX
La modification manuelle des paramètres CoreXL via l'outil "cpconfig" entraine la désactivation complète du processus automatique
La version R80.40 implémente par défaut le CCP (Cluster Control Protocol) en mode Unicast
Diminution la consommation de ressources réseau par rapport aux modes Broadcast et Multicast
Simplicité d'implémentation par rapport au mode Multicast, qui nécessite une configuration sur les switchs
Première version du mode ClusterXL "Active-Active"
Chaque membre porte ses propres IPs, pas de VIP configurée
La distribution des flux est réalisée par le routage dynamique et des load balancer externes
A termes, capacité à déployer des Cluster "L3" multilocalisés
Support des identity provider SAMLv2
Généralisation du modèle PDP Broker permettant le partage d'identités entre gateways managés par des SMS ou MDS différents
Nouvelle version de l'agent MultiHost (MUHv2)
Changement du modèle d'identification et de propagation des sessions utilisateurs sur les systèmes multi-users (Terminal Servers).
L'identifiant de chaque utilisateur est désormais inséré dans l'entête IP de chaque paquet (utilisation du champ "identification" décrit dans la RFC 791)
Amélioration des performances
MUHv2 supporte jusqu'à 256 utilisateurs par machine (seulement une vingtaine en v1)
Les PDP supportent jusqu'à 50 clients MUHv2 (seulement 5 en v1)
Amélioration du processus RAD (Resource Advisor) utilisé lors de l'interrogation des bass de données Cloud (réputation, catégorisation...)
Performance
Le processus fonctionne désormais en multi-threat (jusqu'à 32 instances)
Statistiques RAD disponibles via CPVIEW
Logs détaillés disponibles dans $FWDIR/log/rad_events
Modèle de service "semi-managé" permettant l'implémentation de politiques de Threat Prevention basées sur des templates prédéfinis par Check Point
Le client ne peut pas modifier la politique. mais peut ajouter des exceptions
Amélioration de la prise en charge IoT
Collecte des attributs IoT depuis une liste de fournisseurs certifiés
Identification automatique des protections à appliquer, permettant notamment une approche "virtual patching" afin de sécuriser les flux des systèmes IoT souvent non pacthabhes
ECLIPSE
Senior Security Engineer
Catégorie : Post-IT
Date : 4 juillet 2020
Mise à jour : 6 juillet 2020
F5 – CVE Critique CVE-2020-5902
La vulnérabilité critique CVE-2020-5902 a été patché, cette vulnérabilité concerne la Traffic Management User Interface (TMUI) de BIG-IP
Un attaquant non-authentifié ayant accès à cette interface depuis le port de management ou une self-ip peut exécuter arbitrairement du code, créer et supprimer des fichiers ou lancer des commandes système.
Voici les versions identifiées comme vulnérables :
V11.x : vulnérable de 11.6.1 à 11.6.5
V12.x : vulnérable de 12.1.0 à 12.1.5
V13.x : vulnérable de 13.1.0 à 13.1.3
V14.x : vulnérable de 14.1.0 à 14.1.2
V15.x : vulnérable de 15.0.0 à 15.1.0
Voici les versions qui patchent cette faille :
V11.x : patché en 11.6.5.2
V12.x : patché en 12.1.5.2
V13.x : patché en 13.1.3.4
V14.x : patché en 14.1.2.6
V15.x : patché en 15.1.0.4
Toutes les informations de l'éditeur sont disponibles sur le site de F5
Enterprise Endpoint Security E83.10 Windows Clients
Le dernière version E83.10 de la suite Enterprise Endpoint Security pour Windows est également disponible depuis fin juin. Cette version apporte son lot de nouvelles fonctionnalités et d'améliorations :
les nouveautés :
○ Supports de VMware Horizon VDI (Virtual Desktop Infrastructure), en mode persistent et non-persistent
○ nouvelle extension pour la navigateur Chrome permettant le support d'URL Filtering
○ Ajout d'un icone spécifique pour les partages réseaux chiffrés.
Forcepoint Web 8.5.4 apporte les améliorations suivantes :
○ Possibilité d'activer l'authentication pour le traffic HTTPS au travers du 4443 plutot que 8080 si nécessaire.
○ Historiquement le mode de déploiement de Web Content Gateway avec module DLP était soit Web DLP soit ICAP. Il est désormais possible d'activer les 2 fonctionnalités.
○ meilleur gestion des SIEM et ajout des logs d'audit dans la feature SIEM Integration pour le Policy Server Primaire
Nous sommes une PME spécialisée dans la sécurité des systèmes d’information depuis 2001, nos domaines de compétences sont l’expertise technique, l’intégration, l’offre de services managés et le développement de solutions sur mesure.
Microsoft alerte les hôpitaux ciblés par le ransomware « REvil » en période de crise COVID19
La semaine dernière (mercredi 1er avril) Microsoft a effectué une notification ciblée, unique en son genre, pour alerter les hôpitaux sur la vulnérabilité de leurs infrastructures VPN.
Selon Microsoft, le groupe malveillant derrière le ransomware REvil (Sodinokibi) exploite cette situation d’urgence pour cibler des hôpitaux. Ces entités, étant très vulnérable aux interruptions, la probabilité que ces derniers payent une rançon dans un court délai, augmente.
Les techniques utilisées par ces groupes pour atteindre leurs cibles n’ont pas beaucoup évolué. Seul la part d’ingénierie sociale a été adaptée à la situation. En ces temps de crise lié au COVID19, les attaquants misent sur la peur et le besoin urgent d’information qui peut parfois faire oublier la méfiance et les précautions d’usage des utilisateurs.
De plus, en cette période de confinement, les organisations ont dû mettre en place, souvent dans la hâte, des solutions pour rendre possible le télétravail. Ces entités n’ont pas forcément eu le temps ou les ressources pour contrôler l’état des infrastructures informatiques, qui sont ainsi exposées, ce qui en fait des cibles de choix. En effet, les attaquants derrière REvil sont connus pour avoir ciblé les vulnérabilités des Gateway Citrix ou du VPN Pulse Security révélées ces derniers mois.
Microsoft a ainsi détecté, à travers ses services « Microsoft Threat Protection » (Microsoft Defender ATP, Office 365 ATP et Azure ATP), que le groupuscule derrière le ransomware REvil recherche activement des systèmes vulnérables exposés sur Internet. Ils ont également observé que des attaquant utilisent les fonctionnalités de mise à jour des clients VPN pour déployer des charges utiles malveillantes.
Il convient donc, malgré ces temps de crise, que les utilisateurs des infrastructures informatiques restent vigilants!
De plus, il est primordial que les équipes techniques et de sécurités veillent au suivi des mises à jour de sécurité des systèmes, ainsi qu’à l’application des bonnes pratiques sécuritaires de l’entreprise.
Tufin s’impose comme le leader dans le domaine de l’orchestration Firewall
Avec la version TOS 19.3, Tufin conforte sa place de leader dans le domaine de l'orchestration firewall.
En effet, Tufin demeure le seul éditeur à proposer à ses clients la prise en charge de tous les types environnements et notamment les solutions Cloud. La versio ...
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site web. En le visitant, vous acceptez notre politique de confidentialité.AccepterPolitique de confidentialité
RAPPELS : Composants Mobilite de VMWare en fin de vie. 
