В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы¹, позволяющий выявлять злоумышленников на этапе, когда они связываются с атакованными машинами или пытаются повысить привилегии в системе до уровня администратора, чтобы развивать атаку.
Правила, вошедшие в состав девятнадцатого пакета экспертизы, детектируют применение техник «Повышение привилегий» (privilege escalation) и «Управление и контроль» (сommand and control) по модели MITRE ATT&CK². Текущий пакет экспертизы — это шестой пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик.
«Применение техник повышения привилегий говорит о попытках злоумышленников получить в атакуемой системе разрешения более высокого уровня. Для этого они эксплуатируют ошибки конфигурации и уязвимости. Техники "Управление и контроль" применяются тогда, когда атакующим нужно связаться с подконтрольными системами в сети жертвы, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов безопасности Positive Technologies (PT Expert Security Center). — Чтобы скрыть следы, злоумышленники имитируют обычное поведение в трафике, используют встроенные инструменты операционных систем. Новый пакет экспертизы поможет специалистам обнаружить эти действия и вовремя принять меры».
Пакет экспертизы включает в себя правила детектирования, которые помогают выявить следующие подозрительные действия: создание зловредной библиотеки, запуск исполняемых файлов от имени другого пользователя, запуск командной строки от имени системы, загрузку и запуск вредоносного ПО, проксирование портов, нелегитимное интернет-соединение, идущее от исполняемых файлов. Своевременное выявление этих действий позволит предотвратить дальнейшее продвижение злоумышленников и не даст им закрепиться в инфраструктуре.
Также эксперты Positive Technologies обновили пакеты экспертизы, покрывающие тактики выполнения (execution) и закрепления (persistence). Теперь пользователи смогут выявлять попытки использования злоумышленниками стандартных приложений Windows для нелегитимных действий и подмены или модификации исполняемого файла.
- В MaxPatrol SIEM доступны 19 пакетов экспертизы, которые содержат 383 правила обнаружения атак. Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base, которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.
- База знаний с описанием тактик, техник и процедур атак злоумышленников.