Новый пакет экспертизы 1 в MaxPatrol SIEM поможет пользователям выявить подозрительную активность в системах управления базами данных Microsoft SQL Server. В состав пакета вошли правила, которые позволяют обнаружить атаку на разных стадиях — от разведки в скомпрометированной системе до воздействия на отдельные процессы в СУБД и на систему в целом.
Microsoft SQL Server используют 64% компаний крупного бизнеса и государственного сектора 2. Поскольку в СУБД хранятся критически важные данные компании (финансовая отчетность, персональные данные клиентов и сотрудников, информация о поставщиках и обязательствах), она может стать объектом внимания злоумышленников. Это подтверждается исследованиями Positive Technologies: по итогам 2019 года в 60% всех инцидентов мотивом злоумышленников была именно кража информации.
Чтобы пользователи MaxPatrol SIEM смогли выявлять факты компрометации базы данных Microsoft SQL до потери критически важных данных, специалисты Positive Technologies подготовили специальный пакет экспертизы. Он включает 23 правила корреляции событий ИБ, которые позволяют выявить подозрительную активность, например: изменение параметров СУБД, влияющих на безопасность системы; получение логинов и паролей учетных записей СУБД; большое количество неудачных попыток входа в систему; создание резервной копии базы данных; отключение аудита для сокрытия действий; создание резервной копии ключа или сертификата шифрования базы данных; чтение и редактирование реестра Windows.
«Мы добавили уже второй пакет экспертизы, направленный на выявление атак на популярные СУБД 3, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Наша команда следит за актуальными видами атак на такие системы, чтобы пользователи MaxPatrol SIEM смогли выявить факт компрометации до того, как злоумышленник получит доступ к конфиденциальным данным или выведет систему и бизнес-процессы из строя».
- В MaxPatrol SIEM доступны 16 пакетов экспертизы, которые содержат 360 правил обнаружения атак. Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.
- Данные TADviser, сентябрь 2019 г.
- В сентябре 2019 года в MaxPatrol SIEM был загружен пакет экспертизы с правилами выявления атак на Oracle Database.