Когда имеешь дело с барьерами, то кратчайшим расстоянием между двумя точками может оказаться кривая.

Ремейк по фразе Бертольда Брехта

 

Связь с редакцией
Рассылка новостей

MaxPatrol SIEM выявляет атаки на Oracle Solaris «из коробки»

29.06.2021 18:04

В систему выявления инцидентов MaxPatrol SIEM добавлен пакет экспертизы для выявления атак на операционную систему Oracle Solaris. Правила обнаружения угроз в составе пакета позволят пользователям вовремя выявить присутствие злоумышленника и предупредить нарушение работы системы.

«Oracle Solaris — это Unix-подобная операционная система, которую крупные компании часто используют для развертывания автоматизированных систем управления процессами, базами данных, например Oracle Database, и веб-серверами, — комментирует Евгений Полонский, специалист отдела безопасности систем семейства Unix Positive Technologies. — Заполучив доступ к системе с Oracle Solaris, злоумышленники смогут управлять ею, даже отключить или повредить, а также скомпрометировать данные».

Чтобы помочь компаниям обеспечить безопасность систем, развернутых на Oracle Solaris, эксперты Positive Technologies разработали способы обнаружения популярных угроз. Они объединены в единый пакет экспертизы. Правила в его составе обнаруживают применение нескольких техник из матрицы MITRE ATT&CK, которые используются злоумышленниками для закрепления (persistence), разведки (discovery) и взаимодействия с командным центром (command and control). Так, пользователи MaxPatrol SIEM теперь могут выявить:

  • запуск средств удаленного подключения reverse shell и bind shell, которые используются злоумышленниками для управления целевой системой;
  • активность утилит и автоматических скриптов, запущенных от имени учетных записей веб-сервера, которые атакующие могут применять для получения информации о скомпрометированной системе и ее сетевом окружении на этапе разведки;
  • запуск службы или клиента для установки скрытого канала связи или сетевого сканирования;
  • активность утилит, которые злоумышленники используют для создания туннелированных соединений (они нужны злоумышленникам для создания канала связи со скомпрометированным узлом).
  • Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 6.1 и установить правила из пакета экспертизы.

    ptsecurity.com

    Продукты

    Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
    Телефон: (926) 212-60-97.
    E-mail: info@avtprom.ru или avtprom@ipu.ru

    © ООО Издательский дом "ИнфоАвтоматизация", 2003-2021 гг.

    Rambler`s Top100 Rambler`s Top100
    Рейтинг@Mail.ru
    РассылкиSubscribe.Ru
    Автоматизация в
    промышленности