MaxPatrol SIEM
Встроенный ML-помощник повышает эффективность обнаружения атак
Система мониторинга событий информационной безопасности MaxPatrol SIEM, интегрированная с ключевыми облачными решениями российских вендоров, пополнилась экспертизой для защиты ресурсов, размещенных на платформах Amazon Web Services (AWS) и Microsoft 365. Помимо этого, продукт теперь детектирует угрозы в сервисах «Яндекс 360», контейнерных средах и службе каталогов «Альт Домен», а также обнаруживает атаки с использованием хакерской утилиты NetExec. Экспертные правила уже доступны пользователям MaxPatrol SIEM.
Сервисы Amazon и Microsoft занимают 50% мирового рынка облачных решений, говорится в исследовании Synergy Research Group. Крупнейшие мировые компании используют AWS для размещения сайтов и хранения архивов, анализа больших данных и поддержки облачных приложений. Платформа Microsoft 365, объединяющая программы Microsoft Office, облачное хранилище OneDrive и другие продукты, позволяет организовать работу с файлами. Атака на AWS и Microsoft 365 может привести к компрометации данных сотрудников и клиентов, распространению вредоносного ПО и продвижению злоумышленника внутри корпоративной IT-инфраструктуры.
Для того чтобы обеспечить пользователям безопасную работу в этих сервисах, команда экспертного центра безопасности PT ESC добавила в MaxPatrol SIEM 35 новых правил для детектирования подозрительной активности в ресурсах, размещенных на AWS и Microsoft 365. С помощью экспертных правил система отслеживает нелегитимные действия, такие как создание приложений и назначение подозрительных разрешений, массовое копирование и удаление контента, добавление сертификатов, секретов1 и привилегированных учетных записей. Теперь сотрудники SOC могут оперативно предотвратить развитие атак, связанных в том числе с эксфильтрацией данных и закреплением злоумышленника в сети организации.
Эксперты Positive Technologies также расширили возможности MaxPatrol SIEM для защиты компаний, которые используют решения для организации работы. Например, продукт стал одной из первых российских SIEM-систем, которая собирает и обрабатывает события Яндекс Браузера для организаций, отслеживая в том числе загрузку потенциально опасных файлов, блокировку расширений и выполнение вредоносного JavaScript-кода в них, а также изменение политик браузера.
1 Учетные данные, API-ключи, токены.
«MaxPatrol SIEM выявляет наиболее актуальные для России киберугрозы, фиксируя подозрительную активность и сообщая о ней сотрудникам SOC в течение 10 минут. В ответ на растущее число атак на облачные инфраструктуры мы активно развиваем интеграцию системы с платформами ведущих вендоров, чтобы бизнес мог масштабироваться, не опасаясь взлома. Так, интеграция MaxPatrol SIEM с платформами AWS и Microsoft 365 стала шагом не только к усилению безопасности облачных сервисов, но и к адаптации продукта на международном рынке».
Сергей БолдыревРуководитель группы обнаружения продвинутых атак отдела экспертизы MaxPatrol SIEM, Positive Technologies
Другая популярная цель злоумышленников — контейнерные среды, ставшие отраслевым стандартом для развертывания приложений и управления ими. По данным Red Hat, почти 70% организаций на время отменили или замедлили развертывание контейнеров из-за проблем с безопасностью. Теперь MaxPatrol SIEM поддерживает интеграцию с продуктом Positive Technologies для защиты контейнерных сред — PT Container Security. Эффективно находить атаки в Unix-системах, на основе которых работают контейнерные среды, MaxPatrol SIEM позволяют более 90 специализированных правил. В дальнейшем в качестве источника в систему можно будет завести и продукты других вендоров для защиты контейнерных сред.
Кроме того, в рамках обновления экспертизы в MaxPatrol SIEM добавлена поддержка операционной системы ALT Linux. В частности, продукт сообщает о подозрительной активности в службе каталогов «Альт Домен», которую компании используют как альтернативу Active Directory от Microsoft. Новые правила позволяют обнаружить злоумышленника уже на этапе разведки, а также отследить его шаги, связанные с кражей учетных данных, закреплением в системе и деструктивным воздействием.
Для усиления защиты IT-инфраструктуры бизнеса от внутренних атакующих в MaxPatrol SIEM были добавлены дополнительные правила обнаружения признаков работы инструмента для удаленного выполнения команд NetExec. В результате всестороннего исследования утилиты были усовершенствованы существующие и разработаны новые правила корреляции. Расширенная экспертиза поможет сотрудникам SOC эффективно противостоять нарушителям, использующим такие недостатки защиты, как хранение учетных данных в открытом виде, избыточные права пользователей, неправильное использование служебных аккаунтов, а также некорректное управление профилями Wi-Fi и системным реестром.
