Брэндом тоже надо управлять, а то его, как корабль без руля, занесет неизвестно куда.
Система MaxPatrol SIEM получила масштабное обновление экспертизы
31.05.2023 19:32
Пресс-релиз компании Positive Technologies
В систему мониторинга событий ИБ компании Positive Technologies — MaxPatrol SIEM — добавлены новые правила обнаружения угроз. Появились новые механизмы обогащения событий: они помогают аналитикам ИБ подтверждать до 90% инцидентов без дополнительного запроса данных. Теперь MaxPatrol SIEM выявляет атаки на отечественную СУБД ClickHouse, а также признаки работы еще пяти популярных хакерских инструментов — Sliver, NimPlant, Masky, PowerView и Evil-WinRM.
Специалисты Positive Technologies постоянно исследуют новые киберугрозы, отслеживают активность хакерских группировок по всему миру, изучают их тактики и техники. На основе этих данных эксперты создают способы выявления угроз, которые регулярно передают в MaxPatrol SIEM в виде пакетов экспертизы. Благодаря этому пользователи SIEM-системы могут обнаруживать актуальные угрозы и оперативно реагировать на действия киберпреступников, которые непрерывно разрабатывают новые инструменты, методы и техники атак, а также совершенствуют ранее созданные.
Эксперты Positive Technologies разработали для MaxPatrol SIEM механизмы обогащения событий ИБ. Эти механизмы самостоятельно ищут динамические данные, которые возникают при развитии атаки, чтобы предоставить аналитикам ИБ полный контекст запускаемых процессов (ранее в MaxPatrol SIEM был реализован механизм автоматического построения цепочек процессов).
«Дополнительный контекст в MaxPatrol SIEM помогает обнаруживать активность злоумышленников. Чем больше контекста в карточках событий, тем легче специалистам по ИБ „раскручивать“ атаки. Добавленный нами ранее механизм построения цепочек запускаемых процессов снял большую часть рутинных задач с аналитиков SOC, поэтому мы продолжили работу в этом направлении, — комментирует Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах, Positive Technologies. — Чтобы сделать расследование инцидентов еще проще, быстрее и эффективнее, мы создали новые механизмы обогащения. Они дают расширенный контекст, который помогает операторам верифицировать до 90% инцидентов, тем самым избавляя их от необходимости делать дополнительные запросы в системе».
Эксперты компании обновили ранее загруженные пакеты для выявления хакерских инструментов и способов маскировки. Добавленные в MaxPatrol SIEM правила позволяют обнаружить работу набирающих популярность инструментов Sliver и NimPlant, попытки эксплуатации уязвимостей ProxyNotShell вредоносным модулем Metasploit, а также активность фреймворков Masky, PowerView и Evil-WinRM, которые по-прежнему входят в арсенал киберпреступников.
С помощью новых правил MaxPatrol SIEM также детектирует продвинутые техники сокрытия злоумышленников в инфраструктуре, в частности:
«MaxPatrol SIEM регулярно получает уникальные экспертные знания об угрозах, которые максимально релевантны для российских компаний. Эти знания позволяют выявлять сложные целевые атаки и предотвращать их до наступления серьезных последствий. Каждый пакет экспертизы сопровождается подробным описанием, доступным прямо из интерфейса: какие правила в составе, как настроить источники событий, как правильно реагировать на инцидент, — говорит Петр Ковчунов, старший специалист базы знаний и экспертизы информационной безопасности Positive Technologies. — Злоумышленники внедряют новые техники, постоянно экспериментируя. Они стали чаще использовать некоторые техники для обхода средств защиты и маскировки от аналитиков SOC, поэтому в этом обновлении мы добавили правила, которые помогут такие техники обнаружить».
В рамках масштабного обновления экспертизы продукт также получил новый пакет правил, позволяющих выявлять подозрительную активность в отечественной системе управления базами данных ClickHouse . В пакет вошли более 20 правил корреляции, которые помогут оперативно обнаружить атаку на разных стадиях — от разведки до попыток выгрузить данные из СУБД или уничтожить ее. Добавленная экспертиза поможет российским компаниям, использующим ClickHouse или планирующим перейти на нее в рамках импортозамещения, обеспечивать безопасность критически важных данных. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на PostgreSQL, Oracle Database, Microsoft SQL Server и MongoDB.
Чтобы начать использовать новые правила и механизмы обогащения событий, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить обновления пакетов экспертизы.
Последний вышедший номер
Читайте в номере:
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2026 гг.
Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.
Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.
В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.
Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.