MaxPatrol SIEM получил более 70 правил для обнаружения атак на Unix-инфраструктуры

Всего система мониторинга событий ИБ MaxPatrol SIEM получила более 100 новых правил обнаружения угроз в рамках обновления пакетов экспертизы, из них свыше 70 сфокусированы на обнаружении атак на Unix-инфраструктуры. Добавленные правила повышают точность выявления попыток брутфорса , а также атак на операционные системы Unix.

Чтобы помочь госучреждениям, субъектам КИИ и отечественным компаниям с Unix-инфраструктурой обеспечивать ее безопасность, эксперты Positive Technologies добавили новые способы обнаружения актуальных угроз в MaxPatrol SIEM. Загруженные в продукт правила позволяют c большей точностью выявлять применение техник по матрице MITRE ATT&CK, которые используются злоумышленниками для получения учетных данных (credential access), первоначального доступа (initial access) и перемещения внутри периметра (lateral movement), предотвращения обнаружения (evasion), исследования и сбора данных (discovery and collection), закрепления (persistence) и повышения привилегий (privilege escalation), выполнения (execution) и взаимодействия с командным центром (command and control).

Кроме того, в рамках обновления MaxPatrol SIEM пополнился новыми правилами для обнаружения попыток взлома учетных записей путем подбора логина и пароля. В частности, теперь продукт отдельно выделяет попытки спреинга (подбора одного пароля к множеству учетных записей; атакующие так делают, чтобы избежать блокировки учетных записей). Вместе с тем каждое правило перебора привязано к конкретному приложению, операционной системе или сетевому устройству. Среди них, например, — межсетевой экран Cisco, веб-сервер IIS, приложение OpenVPN и GitLab.

Unix является основой нескольких десятков операционных систем, в том числе Linux. Большинство веб-серверов, облачных сервисов и популярных средств виртуализации работают на Unix-системах. С учетом нового витка импортозамещения в России востребованность подобных операционных систем, равно как и количество кибератак на них, будет расти.

«С помощью новых правил MaxPatrol SIEM определяет успешные случаи подбора учетных данных. Если в результате брутфорса злоумышленникам удалось найти правильные логин и пароль, это — критически важный инцидент, требующий молниеносного реагирования специалиста по ИБ. От скорости реакции оператора зависит, успеет ли атакующий развить атаку и добраться до интересующей его системы», — комментирует Юлия Фомина, ведущий специалист группы обнаружения атак на конечных устройствах, PT Expert Security Center.

Расширилась интеграция MaxPatrol SIEM с системой поведенческого анализа трафика PT Network Attack Discovery — теперь пользователи смогут увидеть еще больше срабатываний корреляций (более 3,5 тысяч) SIEM-системы на критичные правила от PT NAD. Это позволяет снизить число ложноположительных срабатываний и увеличить точность детектирования подозрительной сетевой активности. Кроме того, с обновленным пакетом экспертизы компании, использующие оба этих продукта, могут создавать белые списки подсетей и автоматически отключать срабатывание правил для различных групп динамически выдаваемых IP-адресов. Например, применять вайтлистинг можно для R&D-сетей или сетей сканеров уязвимостей, когда в компании ведется внутренняя разработка.

Чтобы начать использовать новые правила, необходимо обновить MaxPatrol SIEM до версий 7.0 или 7.1 и установить обновления пакетов экспертизы.