В систему выявления инцидентов MaxPatrol SIEM загружен двадцатый пакет экспертизы¹. Он позволяет выявить семь подозрительных активностей по анализу событий от сетевых устройств. Это поможет пользователям MaxPatrol SIEM оперативно локализовать атаки до того, как произойдет утечка данных, вывод из строя оборудования или запуск вредоносного ПО.
Источниками событий могут быть маршрутизаторы и коммутаторы Cisco, межсетевые экраны Check Point с операционной системой GAiA, Cisco ASA, FortiGate, Palo Alto Networks PAN-OS, Juniper Junos OS. Теперь MaxPatrol SIEM выявляет следующие потенциально опасные сетевые активности:
- Попытки эксплуатации уязвимости CVE-2018-0156 в технологии Cisco Smart Install, которая позволяет автоматизировать процесс первоначальной загрузки образа операционной системы некоторых коммутаторов Cisco Systems. Воспользовавшись этой уязвимостью, злоумышленник сможет без аутентификации перезагрузить сетевое оборудование, изменить его настройки и вызвать временный отказ в обслуживании.
- Подключение к сторонним почтовым сервисам. Такие действия могут быть запрещены политиками безопасности организации.
- Ошибки аутентификации протоколов семейства FHRP (протоколы резервирования основного шлюза). Ошибка возникает в случае мисконфигурации на сетевом оборудовании или атаки на FHRP-протокол. Успешная реализация атаки позволит злоумышленнику получить доступ к сетевому трафику организации.
- Запрос информации по протоколу SNMP. Это событие свидетельствует о попытках атакующего подобрать пароль для доступа к оборудованию или получить информацию о сети предприятия.
- Фрагментированный UDP-трафик. Фрагментация часто используется при попытках обойти системы обнаружения атак, поэтому фрагментированные пакеты подлежат фильтрации.
- Подключение к внешним VPN-серверам. Организация туннелей из корпоративной сети может свидетельствовать о нарушении периметра и попытках злоумышленника передать вовне информацию с атакованного узла.
- Использование сторонних DNS-серверов. С помощью DNS злоумышленники могут перенаправить трафик на свои ресурсы. Также DNS может быть использован как канал управления вредоносным ПО.
«Сетевые атаки не пользуются большой популярностью у злоумышленников в силу сложности их выполнения. Однако, по нашему опыту, встречаются в качестве одного из этапов целевой атаки и по своим последствиям представляют серьезную угрозу для организаций, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Ранее в MaxPatrol SIEM был загружен пакет, позволяющий выявлять сетевые аномалии при удаленной работе. Теперь MaxPatrol SIEM покрывает еще больше тактик злоумышленников. В наших планах — постепенно расширять набор правил корреляции для выявления аномальной сетевой активности».
- Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base, которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.