Эксперты Positive Technologies выпустили обновление загруженного ранее пакета экспертизы для выявления атак на системы управления базами данных Microsoft SQL Server. Благодаря обновлению пользователи MaxPatrol SIEM смогут выявлять еще 8 признаков присутствия злоумышленников в СУБД.
Microsoft SQL Server используют 64% компаний крупного бизнеса и государственного сектора 1. Поскольку в СУБД хранятся критически важные данные компании (финансовая отчетность, персональные данные клиентов и сотрудников, информация о поставщиках и обязательствах), она может стать объектом внимания злоумышленников. Это подтверждается исследованиями Positive Technologies: по итогам 2019 года в 60% всех инцидентов мотивом злоумышленников была именно кража информации.
Новые правила выявляют такие подозрительные активности, как:
- сбор сведений о расположении резервных копий баз данных и пользователях уровня базы дынных;
- отключение применения политики паролей Windows к пользователям с типом аутентификации SQL Server — это может привести к установке пустых значений вместо устойчивых паролей и упростит компрометацию системы методом подбора паролей;
- сбор данных о пользователях, группах и состоянии служб Windows;
- подключение к СУБД в режиме выделенного административного подключения — в таком случае злоумышленники могут реализовать действия, доступные только администраторам, например выполнять системные команды на сервере;
- включение параметра Remote Access для удаленного выполнения локальных хранимых процедур — это увеличивает риск успешной DoS-атаки на СУБД и компрометации системы.
Каждое правило в пакете экспертизы сопровождают рекомендации по реагированию от экспертов Positive Technologies.
Суммарно в пакете экспертизы теперь доступно 31 правило обнаружения угроз. Правила позволяют обнаружить атаку на СУБД Microsoft SQL Server на разных стадиях — от разведки в скомпрометированной системе до воздействия на отдельные процессы в СУБД и на систему в целом.
- Данные TADviser, сентябрь 2019 г.