Positive Technologies
Новости

MaxPatrol SIEM выявляет сетевые аномалии при удаленной работе

14 апреля 2020

В MaxPatrol SIEM загружен пакет экспертизы для выявления подозрительной активности в сети, что особенно актуально в связи с удаленной работой пользователей. Пакет покрывает девять аномалий, требующих оперативного расследования.

Из-за перехода компаний на удаленный режим работы у злоумышленников появляются новые возможности для проникновения в локальную сеть. Чтобы вовремя выявить нелегитимные подключения из-за периметра компании, эксперты Positive Technologies выпустили пакет экспертизы с набором правил для оперативного обнаружения признаков активности злоумышленников.

Примеры аномалий, которые теперь выявляет MaxPatrol SIEM:

  • сетевые подключения через туннели,
  • попытки подключений к критически важным сегментам сети,
  • дублирующиеся удаленные сессии,
  • многократные неудачные попытки подключения к узлу с ПО OpenVPN,
  • многократные неудачные попытки подключения к межсетевому экрану Cisco ASA,
  • включение на локальном межсетевом экране правила доступа, разрешающего устанавливать подключение по RDP,
  • подключение по протоколу RDP от сетевого узла с ОС семейства Unix,
  • добавление учетной записи пользователя в значимые для ИБ группы ОС Windows,
  • повторное подключение по VPN к узлу с ОС Windows.

«Поскольку для большинства компаний актуальны угрозы, связанные с удаленным режимом работы, мы решили помочь им усилить безопасность сети с помощью нашей экспертизы, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Пакет экспертизы для выявления подозрительной активности в сети, связанной с удаленной работой пользователей, будет пополняться еженедельно, покрывая все больше возможных техник атакующих».

Upd: Пакет экспертизы пополнился кейсами по выявлению аномалий при удаленном доступе, организованном с помощью межсетевого экрана Check Point с ОС GAiA.
Upd #2: В пакет экспертизы добавлено еще 5 новых кейсов. Итого пакет покрывает 16 аномалий с использованием OpenVPN, RDG, межсетевых экранов Cisco ASA, Check Point и Palo Alto Networks.

 

  1. В MaxPatrol SIEM доступны 17 пакетов экспертизы, которые содержат 370 правил обнаружения атак. Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.