Positive Technologies
Новости

MaxPatrol SIEM выявляет больше подозрительных активностей в СУБД Microsoft SQL Server

Эксперты Positive Technologies выпустили обновление загруженного ранее пакета экспертизы для выявления атак на системы управления базами данных Microsoft SQL Server. Благодаря обновлению пользователи MaxPatrol SIEM смогут выявлять еще 8 признаков присутствия злоумышленников в СУБД.

Microsoft SQL Server используют 64% компаний крупного бизнеса и государственного сектора 1. Поскольку в СУБД хранятся критически важные данные компании (финансовая отчетность, персональные данные клиентов и сотрудников, информация о поставщиках и обязательствах), она может стать объектом внимания злоумышленников. Это подтверждается исследованиями Positive Technologies: по итогам 2019 года в 60% всех инцидентов мотивом злоумышленников была именно кража информации.

Новые правила выявляют такие подозрительные активности, как:

  • сбор сведений о расположении резервных копий баз данных и пользователях уровня базы дынных;
  • отключение применения политики паролей Windows к пользователям с типом аутентификации SQL Server — это может привести к установке пустых значений вместо устойчивых паролей и упростит компрометацию системы методом подбора паролей;
  • сбор данных о пользователях, группах и состоянии служб Windows;
  • подключение к СУБД в режиме выделенного административного подключения — в таком случае злоумышленники могут реализовать действия, доступные только администраторам, например выполнять системные команды на сервере;
  • включение параметра Remote Access для удаленного выполнения локальных хранимых процедур — это увеличивает риск успешной DoS-атаки на СУБД и компрометации системы.

Каждое правило в пакете экспертизы сопровождают рекомендации по реагированию от экспертов Positive Technologies.

Суммарно в пакете экспертизы теперь доступно 31 правило обнаружения угроз. Правила позволяют обнаружить атаку на СУБД Microsoft SQL Server на разных стадиях — от разведки в скомпрометированной системе до воздействия на отдельные процессы в СУБД и на систему в целом.

  1. Данные TADviser, сентябрь 2019 г.