В MaxPatrol SIEM загружен очередной пакет экспертизы¹: новые правила корреляции событий ИБ предназначены для выявления атак на систему управления предприятием SAP ERP. Правила корреляции более гибкие в настройке и учитывают новые возможности MaxPatrol SIEM, поэтому эффективнее выявляют инциденты.
SAP ERP (Enterprise Resource Planning) — система для оптимизации процессов в отделах закупок, производства, обслуживания, продаж, финансов и кадров крупных предприятий. Система ориентирована на крупные и средние предприятия. По данным исследования IDC, по итогам 2017 года SAP остается в лидерах российского рынка программного обеспечения информационных систем управления предприятием.
«В ERP-системах хранится и обрабатывается большое количество конфиденциальных данных: базы клиентов, сотрудников и поставщиков, зарплаты, финансовые отчеты, договоры, — комментирует Дмитрий Гуцко, руководитель отдела безопасности бизнес-систем Positive Technologies. — Поэтому такие системы интересны злоумышленникам. Получив доступ к системе, они могут перевести деньги на свои счета и заполучить важные данные для социальной инженерии, конкурентной разведки, шантажа или продажи».
Команда R&D Positive Technologies переработала правила корреляции для выявления атак на SAP ERP с учетом актуальных угроз и новой функциональности MaxPatrol SIEM (табличных списков, расширенных справочников) и добавила гибкости в настройке работы правил. Для корректного функционирования SAP ERP в ней выделяются системы классов разработки, тестирования и продуктивного класса. Теперь пользователи MaxPatrol SIEM могут настраивать действие правил с учетом классов систем в SAP ERP для снижения количества ложных срабатываний. Например, для системы класса разработки правило, выявляющее чтение критически важных бизнес-данных, не срабатывает: оно актуально только для систем продуктивного класса.
Новый пакет экспертизы выявляет следующие подозрительные действия:
- перебор номеров мандантов (клиентов) в SAP (первичный сбор информации о количестве клиентов в одной системе);
- подбор пароля к известному логину;
- тестирование наличия стандартных учетных записей со стандартными паролями;
- активация процедуры сброса забытого пароля;
- скачивание из системы или просмотр критически важной бизнес-информации;
- предварительный сбор информации о системе без авторизации;
- использование утилит для тестирования защищенности системы;
- запуск определенного набора функций с целью повышения привилегий в системе;
- нехарактерная для легитимного пользователя активность учетной записи.
¹Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Наборы правил и рекомендаций объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь системы может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.