Разработчики: | Positive Technologies (Позитив Текнолоджиз) |
Дата последнего релиза: | 2024/11/11 |
Технологии: | ИБ - Межсетевые экраны, ИБ - Предотвращения утечек информации, ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Основные статьи:
- Межсетевой экран (Firewall)
- Security Information and Event Management (SIEM)
- DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
MaxPatrol — система контроля защищенности и соответствия стандартам, разработанная компанией Positive Technologies, позволяет получать оценку состояния защищенности как всей информационной системы, так и отдельных подразделений, узлов и приложений. Механизмы тестирования на проникновение (Pentest), системных проверок (Audit) и контроля соответствия стандартам (Compliance) в сочетании с поддержкой анализа различных операционных систем, СУБД и Web-приложений позволяют MaxPatrol обеспечивать непрерывный технический аудит безопасности на всех уровнях информационной системы.
2024
Интеграция с SC SIEM
Компания ООО «ИТБ» 6 декабря 2024 года объявила о важной интеграции своей системы мониторинга и корреляции событий информационной безопасности SC SIEM с отечественными сканерами безопасности, в том числе с MaxPatrol SIEM. Подробнее здесь.
Добавление пакета экспертизы на базе Redkit SCADA 2.0
В систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM добавлен пакет экспертизы для контроля безопасности систем диспетчеризации на базе Redkit SCADA 2.0 (применяется на предприятиях электроэнергетики и нефтегазовой сферы). Благодаря обновлениям, теперь можно выявлять неудачные попытки входа в систему, изменение пароля и парольной политики, модификацию конфигурационных файлов и другие подозрительные действия. Об этом Positive Technologies сообщили 11 ноября 2024 года.
Согласно нашему исследованию, в 2023 году каждая вторая атака на промышленные предприятия приводила к нарушению их деятельности. Избежать подобных угроз помогает высокая видимость технологической сети и инфраструктуры в целом. За счет этого специалисты службы ИБ могут выявлять опасные действия операторов, а также атаки внешних и внутренних злоумышленников (то есть злонамеренных сотрудников). Многие команды, которые отправляют операторы, фактически невозможно отследить встроенными в АСУ ТП средствами, а благодаря данному пакету экспертизы это происходит автоматически, — отметил Айнур Акчурин, эксперт группы ИБ промышленных систем управления, Positive Technologies. |
На промышленных предприятиях очень важно вовремя обнаруживать нелегитимные команды операторов. Скорость выявления таких действий на производстве критична, от нее зависит, удастся ли остановить кибератаку на раннем этапе. Опыт расследований инцидентов Positive Technologies показывает, что во многих SCADA-системах внутренний злоумышленник или атакующий, который получил доступ к рабочей станции инженера, может легко устранить следы своей активности.Цифровизация промышленности: текущая ситуация и перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser
Пакет экспертизы выявляет действия, которые могут повлиять на функционирование АСУ ТП (подмену исполняемых файлов, запуск и остановку критичных сервисов и приложений и др.), регистрирует события информационной безопасности (например, вход пользователей в систему и выход из нее, изменение пароля и парольной политики, создание, удаление и блокировку пользователей). Кроме того, фиксируются такие события, как изменение технологических параметров, отправка команд управления оборудованием и т. д.
Пакет экспертизы PT ICS уже доступен для установки через службу технической поддержки и совместим с последней версией MaxPatrol SIEM (8.4).
Добавление 70 правил обнаружения киберугроз
Система мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM получила масштабное обновление экспертизы: в продукт было загружено около 70 правил обнаружения киберугроз. Кроме того, в системе появились механизмы, дополняющие события ИБ индикаторами компрометации (IoC), — это облегчает задачи аналитиков и до двух раз сокращает время на разбор инцидентов. Об этом разработчик сообщил 29 июля 2024 года.
Самое большое обновление получили пакеты правил, выявляющие атаки на Active Directory, а также атаки, при проведении которых используются такие тактики, как «Первоначальный доступ», «Выполнение», «Повышение привилегий», «Предотвращение обнаружения» и «Доступ к учетным данным». Правила позволят обнаружить как новые техники атак, например использование утилиты SOAPHound, так и те методы, которые злоумышленники уже применяют длительное время.
У всех этих угроз есть кое-что общее — они требуют немедленного реагирования. MaxPatrol SIEM поможет вовремя обнаружить подозрительные действия и даст необходимый контекст для принятия дальнейших решений. Добавленные механизмы обогащения позволяют дополнять полезной информацией об индикаторах компрометации как корреляционные, так и нормализованные события. Добавленный контекст акцентирует внимание оператора MaxPatrol SIEM на наиболее важных из них, делает их поиск удобным и увеличивает скорость валидации подозрительных, вредоносных событий, что особенно важно при расследовании инцидентов ИБ, — отметил Сергей Щербаков, специалист группы обнаружения атак на конечных устройствах, Positive Technologies. |
Правила обнаружения киберугроз, добавленные в MaxPatrol SIEM, позволят выявить:
- Атаки на Microsoft Active Directory, связанные со службой сертификации (Active Directory Certificate Services, AD CS). Такие атаки входят в число наиболее успешно реализуемых. MaxPatrol SIEM выявляет атаки, в которых доступ к компонентам AD CS используется для удаленного выполнения кода и получения NTLM-хешей учетных записей. Кроме того, продукт обнаруживает атаки, в которых задействуются групповые политики Active Directory, позволяющие ИТ-администраторам централизованно управлять ролями пользователей и компьютерами. Злоумышленники могут использовать групповые политики, чтобы подменить программы, запустить нужные им процессы на устройствах или добавить учетные записи.
- Новые инструменты киберпреступников. Так, продукт отслеживает активность утилиты SOAPHound, которая извлекает данные из среды Active Directory, не взаимодействуя напрямую с сервером LDAP, чтобы оставаться вне поля зрения средств защиты.
- Подозрительные обращения файлов к API мессенджера Telegram, замаскированные под легитимные действия. Это позволяет MaxPatrol SIEM обнаруживать C2-каналы, которые злоумышленники используют для обмена данными со взломанными устройствами, загрузки вредоносных программ, перемещения украденной информации на свои серверы.
- Действия злоумышленников, направленные на завладение учетными данными и получение первоначального доступа к системам. Используя новые правила, MaxPatrol SIEM обнаруживает принудительную аутентификацию, в результате которой злоумышленники получают NTLM-хеши паролей. Затем киберпреступники могут попытаться аутентифицироваться в системе с помощью хешей или подобрать пароли в открытом виде.
- Эксплуатацию серии уязвимостей, получившей название Potato Vulnerabilities. Эти недостатки безопасности позволяют киберпреступникам повысить привилегии от сервисной учетной записи до системных прав. Для обнаружения таких активностей в MaxPatrol SIEM загружены пять новых правил.
Помимо прочего, в продукт были добавлены механизмы, дополняющие нормализованные события ИБ индикаторами компрометации, за счет чего повысилась точность обнаружения киберугроз. В MaxPatrol SIEM также появилась функция автоматического извлечения URL-адреса из интерфейса командной строки, которая распространяется на все корреляционные события. Эти возможности упрощают задачи специалистов по сбору информации и позволяют им до двух раз сократить время на анализ каждого срабатывания.
Чтобы воспользоваться данными правилами и возможностями MaxPatrol SIEM, необходимо установить правила из пакета экспертизы (доступны для всех версий системы, начиная с версии 7.2).
Интеграция с Netopia Firewall Compliance
Компания Нетопия разработала модуль Vulnerability Control в составе решения Netopia Firewall Compliance, который позволяет приоритизировать уязвимости на основании доступности со стороны потенциальных злоумышленников, а также определить доступные хосты для потенциально скомпрометированных активов. Об этом разработчик сообщил 26 июля 2024 года.
Всю необходимую информацию по активам и уязвимостям Firewall Compliance получает за счет интеграции c продуктами MaxPatrol VM и MaxPatrol 8 компании Positive Technologies.
MaxPatrol SIEM 8.2 с ML для обнаружения целенаправленных атак
Positive Technologies выпустила обновленную версию системы мониторинга событий ИБ и управления инцидентами — MaxPatrol SIEM 8.2. Возможности релиза направлены на то, чтобы MaxPatrol SIEM помогал аналитикам эффективнее выявлять атаки и брал основную работу на себя: снимал со специалистов часть рутинных задач и повышал скорость их реакции на инциденты. В версии 8.2 также расширены сценарии использования алгоритмов машинного обучения. Об этом разработчик сообщил 27 июня 2024 года.
Главное в релизе MaxPatrol SIEM 8.2 — использование ML-алгоритмов не только для получения second opinion (второго мнения), но и для выявления целенаправленных атак и неизвестных уязвимостей и угроз. Обновлен мониторинг источников, что позволяет исключить слепые зоны и обеспечить непрерывный контроль инфраструктуры. Кроме того, появилась возможность хранить в два раза больше данных на вычислительных ресурсах, аналогичных ресурсам open source-решений, по всей геораспределенной инфраструктуре и при этом осуществлять централизованный поиск из единого окна на базе СУБД LogSpace.
Мы повышаем результативность MaxPatrol SIEM. Каждый релиз направлен на повышение удобства и эффективности работы операторов в части обнаружения атак и ориентирован на снижение нагрузки на специалистов. У продуктов этого класса результативность складывается из нескольких составляющих: система знает, где искать, что искать, а также подсказывает, что делать с найденным. Обновленный мониторинг источников, дальнейшее развитие ML-алгоритмов, горизонтальное масштабирование LogSpace вместе с уже известными пользователям функциями гарантируют качественный детект и помогают операторам быстрее и правильнее среагировать на атаку, — сказал Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies. |
Еще с версии 8.0 MaxPatrol SIEM получил интеграцию с ML-модулем поведенческого анализа — BAD (Behavioral Anomaly Detection). В своем первом релизе ML-помощник работал как система second opinion: применяя машинное обучение, модуль подтверждал срабатывание правил корреляции. Таким образом когнитивная нагрузка аналитиков снижалась, что позволяло им быстрее и точнее принимать решения по инцидентам ИБ. В обновленной версии интеграция с BAD расширилась: ML-алгоритмы помогают выявлять даже неизвестные атаки злоумышленников и те, которые направлены на обход стандартных правил корреляции. В модуль встроено порядка 50 моделей машинного обучения, разработанных на основе 20-летнего опыта Positive Technologies в расследовании инцидентов. BAD собирает и анализирует данные о событиях, пользователях, процессах в контексте событий и присваивает им определенный уровень риска (risk score). Операторы смогут обнаруживать аномалии не только в событиях Windows, но и Unix-подобных систем и сетевого оборудования.
Ряд значимых обновлений коснулись СУБД LogSpace, разработанной специально для хранения больших объемов информации о событиях ИБ и ИТ из разных источников. Теперь LogSpace доступна для организаций с географически распределенными инфраструктурами. Обновленная версия, поддерживающая горизонтальное масштабирование, позволяет в одном приложении фильтровать события, которые собираются, обрабатываются и хранятся в разных конвейерах. Благодаря поддержке горячего и теплого хранения стоимость долгосрочного хранения событий сокращается до четырех раз, при этом сохраняется возможность их оперативного анализа.
Включение в реестр российского ПО
В реестре российского ПО появилась SIEM-система с искусственным интеллектом — MaxPatrol SIEM. Об этом Positive Technologies сообщили 6 июня 2024 года.
MaxPatrol SIEM — основа SOC (security operations center) в России. Система оперативно выявляет попытки нарушения киберустойчивости компаний и инциденты ИБ, способные причинить неприемлемый ущерб бизнесу и целым отраслям экономики. Стремясь непрерывно повышать результативность продукта, мы интегрировали с MaxPatrol SIEM модуль поведенческого анализа, использующий машинное обучение и позволяющий обнаружить даже неизвестные угрозы, — сказал Павел Гончаров, руководитель направления развития продуктов для мониторинга ИБ и управления инцидентами, Positive Technologies. — Теперь у нас есть официальное подтверждение того, что наша система содержит технологии искусственного интеллекта. Государственным организациям станет легче строить свою систему безопасности с использованием технологий ML, что поможет и повысить рейтинг цифровизации, и сделать шаг в сторону построения результативной кибербезопасности, |
Встроенный в SIEM-систему Positive Technologies модуль поведенческого анализа — Behavioral Anomaly Detection (BAD) использует машинное обучение, снижая когнитивную нагрузку на аналитиков MaxPatrol SIEM и работая как система second opinion (второго мнения). Это позволяет быстрее принимать точные решения по инцидентам ИБ.
ML-модуль поведенческого анализа включает в себя порядка 30 моделей машинного обучения, разработанных на основе двадцатилетнего опыта Positive Technologies в расследовании инцидентов. BAD позволяет выявлять атаки с использованием тактик «Выполнение», «Организация управления», «Перемещение внутри периметра» из матрицы MITRE ATT&CK и подтверждать срабатывания соответствующих правил корреляции.
ML-модуль собирает и анализирует данные о событиях, пользователях, процессах в контексте событий, а также присваивает поведенческим аномалиям определенный уровень оценки риска (risk score).
Интеграция с VK Cloud
Система мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM интегрирована с VK Cloud с помощью специально разработанного коннектора. Об этом Positive Technologies сообщили 27 мая 2024 года.
Компании получат расширенную аналитику по событиям в инфраструктурных и платформенных сервисах, а также в облачном ПО — IaaS, PaaS и SaaS. С ее помощью бизнес может учитывать больше факторов и потенциальных угроз, чтобы обеспечивать безопасность ИТ-систем и оперативно реагировать на сложные атаки.
Обновленное решение включает набор правил, которые помогут специалистам по ИБ ориентироваться в потоке событий на разных уровнях облачной платформы: в виртуальных машинах и сетях, сервисах для хранения и управления образами, оркестрации контейнеров, в балансировщиках нагрузки и других. Благодаря этому команды могут в режиме реального времени получать информацию о потенциальных угрозах от внешних источников и внутренних пользователей и устранять их. Например, своевременно выявлять клонирование, несанкционированную модификацию данных, нарушения в работе или изменение настроек безопасности.
Внедрение облачных технологий добавляет удобства, скорости и гибкости в информационную инфраструктуру компании и управление ею. Но в то же время они расширяют возможности и для злоумышленников, — отметил Сергей Щербаков, специалист группы обнаружения атак на конечных устройствах, Positive Technologies. — Так, в матрице MITRE ATT&CK отдельно выделяются техники, которые позволяют злоумышленникам не только получить доступ к важным ресурсам в облаке, но и проникнуть в локальную инфраструктуру. Способствовать этому могут неправильное управление облаками и их некорректная настройка. Чтобы решить эту проблему и усилить защиту облачной инфраструктуры, мы разработали пакет экспертизы для контроля безопасности ресурсов, размещенных в VK Cloud, |
Глубокий анализ событий, которые генерируют компоненты облачной платформы, в совокупности с накопленной нашей командой экспертизой в облачных средах помогли создать набор правил, на ранних этапах выявляющих подозрительную активность в такой инфраструктуре. С ростом числа компаний, размещающих свои ресурсы в облачных средах и использующих MaxPatrol SIEM – необходимость такого детектирования будет только расти, а набор правил расширяться, — сказал Давид Никачадзе, эксперт группы исследования прикладных систем и экспертизы метапродуктов, Positive Technologies. |
Потребность бизнеса в облачных сервисах только нарастает. Наш главный приоритет — обеспечить заказчиков безопасными и надежными решениями для проектов любой сложности. VK Cloud регулярно подтверждает соответствие требованиям первого уровня защищенности данных УЗ-1. Вместе с партнерами мы также развиваем инструменты, которые позволяют в режиме реального времени определять потенциальные угрозы и оперативно их устранять, — отметил Дмитрий Лазаренко, директор по продукту VK Cloud и лидер бизнес-сегмента SaaS, VK Tech. |
Добавление пакета экспертизы для выявления подозрительной активности во FreeIPA
В систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM добавлен пакет экспертизы для выявления подозрительной активности во FreeIPA — службе каталогов с открытым исходным кодом. Новые правила корреляции позволяют на ранних этапах обнаруживать попытки киберпреступников получить доступ к инфраструктуре. Об этом Positive Technologies сообщили 26 февраля 2024 года.
В связи с уходом иностранных ИТ-вендоров и курсом на импортозамещение российские компании активно переходят на использование отечественного программного обеспечения, в частности операционных систем, многие из которых являются официальным дистрибутивом ОС на базе Linux. Злоумышленники следят за тенденциями и регулярно пополняют свой арсенал актуальными техниками и инструментарием для проведения атак на новые системы в инфраструктуре.
Учитывая миграцию корпоративных инфраструктур с Windows на Linux, которая влечет за собой переход с Active Directory на отечественные службы каталогов, большое число компаний может оказаться под угрозой. В ходе расследований мы изучили, как атакуют FreeIPA, один из самых популярных из доступных аналогов Active Directory, и разработали правила для обнаружения компрометации инфраструктуры, — отметил Вадим Пантелькин, специалист отдела экспертных сервисов PT Expert Security Center. |
С помощью внедренных правил MaxPatrol SIEM среди прочего выявляет:
- разведку инфраструктуры во FreeIPA, выполняемую с помощью хакерских фреймворков, в частности kerbrute;
- попытки брутфорса (подбора учетных данных) и спреинга паролей (подбора одного пароля к множеству учетных записей);
- подозрительные действия пользователей, например массовую блокировку учетных записей или изменение критически важных пользовательских данных;
- LDAP-запросы к чувствительным атрибутам в домене.
Добавление 62 правил обнаружения угроз
В MaxPatrol SIEM добавлены 62 правила обнаружения угроз. Об этом Positive Technologies (Позитив Текнолоджиз) сообщили 11 января 2024 года. С их помощью система мониторинга событий ИБ выявляет среди прочего активность шифровальщиков и еще больше признаков работы хакерских инструментов. Всего получили обновления следующие пакеты экспертизы: «Атаки с помощью специализированного ПО», «Атаки методом перебора», «Расследование запуска процессов в Windows», «Сетевые устройства. Индикаторы компрометации», тактики «Получение учетных данных», «Выполнение», «Предотвращение обнаружения», «Сбор данных», «Деструктивное воздействие», «Перемещение внутри периметра», «Закрепление», «Повышение привилегий», «Организация управления», «Изучение».
Киберпреступники не стоят на месте: каждый день они совершенствуют методы атак, разрабатывают новые инструменты, чтобы их действия оставались незамеченными для средств защиты. Эксперты Positive Technologies непрерывно следят за трендами кибератак, изучают специализированные форумы по разработке и продаже вредоносного ПО и инструментария, а также анализируют публичные отчеты по расследованию инцидентов (в том числе выпускаемые собственным экспертным центром безопасности). На основе актуальных данных о том, как атакуют злоумышленники, Positive Technologies регулярно обновляет экспертизу в MaxPatrol SIEM.
Наиболее важные правила в опубликованных обновлениях позволяют пользователям MaxPatrol SIEM обнаруживать:
- типичные действия шифровальщиков, например массовую генерацию файлов или их изменение одним и тем же процессом;
- дополнительные признаки активности хакерских инструментов, ранее уже покрытых детектами; среди них, например, PPLBlade, Powermad, NimExec и SharpHound, который по-прежнему активно используется в атаках;
- популярные техники «Загрузка сторонних DLL-библиотек» (вредоносное ПО и APT-группировки применяют ее для проникновения в сеть и повышения привилегий) и «Подмена родительского PID» (используется атакующими для сокрытия вредоносных действий путем изменения родителя процесса) тактики «Предотвращение обнаружения» по матрице MITRE ATT&CK.
Опыт расследований PT Expert Security Center показывает: инциденты, связанные с шифрованием или затиранием данных на узлах корпоративной инфраструктуры, были одними из наиболее часто встречающихся в 2021–2023 годах (21% случаев). В тройке самых популярных — Black Basta, Rhysida и LockBit, причем операторы вымогателей продолжают расширять арсенал, — сказал Никита Баженов, младший специалист базы знаний и экспертизы информационной безопасности Positive Technologies. — Шифровальщики отличаются тем, что быстро распространяются с одного узла на другие. С обновленным пакетом экспертизы пользователи MaxPatrol SIEM получат сигнал уже о первом атакованном шифровальщиком компьютере. Своевременно удалив вирус, они смогут остановить атаку на ранней стадии и оперативно расследовать инцидент. |
Чтобы начать использовать последние правила и механизмы обогащения событий, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить обновления пакетов экспертизы.
2023
MaxPatrol SIEM 8.0
26 октября 2023 года компания Positive Technologies сообщила о выпуске восьмой версии системы мониторинга событий ИБ и выявления инцидентов MaxPatrol SIEM. Обновленный продукт позволит почти на треть увеличить процент присутствия вендора среди компаний, которым требуются сверхбольшие инсталляции (бизнес из списка RA600), и среди государственных организаций, перед которыми поставлены задачи использования технологий искусственного интеллекта.
По информации компании, в числе ключевых изменений — снижение требований к аппаратному обеспечению, оптимизация производительности системы до обработки свыше 540 тыс. событий в секунду, а также увеличение до шести раз объема либо сроков хранения данных благодаря использованию СУБД собственной разработки — LogSpace.
В обновленной версии MaxPatrol SIEM заметно снижены требования к аппаратным ресурсам: например, теперь для развертывания системы, которая обрабатывает до 5 тыс. событий в секунду, необходимо в два раза меньшее количество процессоров (vCPU) и вдвое меньший объем оперативной памяти, чем ранее. Это позволит компаниям сократить расходы на приобретение оборудования и облегчит установку системы. Это важные параметры, которые актуальны на октябрь 2023 года для всех отечественных компаний — из-за роста стоимости и сложностей при покупке оборудования.
Помимо этого, оптимизировалась производительность работы MaxPatrol SIEM: на одном ядре и с использованием всех экспертных правил обновленный продукт обрабатывает более 540 тыс. событий в секунду. Это достижение позволяет организовать мониторинг больших потоков событий без деградации качества детекта и без компромиссов при выборе пакетов экспертизы. Рост производительности позволяет обеспечивать результативную кибербезопасность для больших геораспределенных инфраструктур, которые объединяют сотни компонентов MaxPatrol SIEM в единую точку мониторинга.
В MaxPatrol SIEM 8.0 появился ML-модуль поведенческого анализа — Behavioral Anomaly Detection (BAD), который позволяет выявлять атаки злоумышленников с использованием тактик «Выполнение», «Управление и контроль», «Горизонтальное перемещение» по модели MITRE ATT&CK и подтверждать срабатывания соответствующих правил корреляции. ML-модуль снижает когнитивную нагрузку аналитика SIEM, позволяя быстрее и точнее принимать решения по инциденту информационной безопасности. BAD работает как система second opinion (второго мнения). В модуль встроено 38 моделей машинного обучения, разработанных на основе двадцатилетнего опыта Positive Technologies в расследовании инцидентов. BAD собирает и анализирует данные о событиях, пользователях, процессах в контексте событий и присваивает им определенный уровень оценки риска (risk score).
Экспертное наполнение MaxPatrol SIEM 8.0 и интеграция продукта с модулем обнаружения поведенческих аномалий позволяет обнаруживать как известные, так и плохо изученные атаки и аномалии. Мониторинг множества геораспределенных инсталляций в режиме одного окна позволяет аналитикам ИБ оперативно реагировать даже на такие угрозы. поведал Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies |
С версии 7.0 SIEM-система поддерживает хранилище событий LogSpace, специально разработанное Positive Technologies. В данном релизе за счет уменьшения размера событий ИБ, поступающих в MaxPatrol SIEM, удалось в шесть раз увеличить объем либо сроки хранения данных в LogSpace по сравнению с системами управления базами данных с открытым исходным кодом.
Мы видим запрос рынка на снижение требований к мощности используемых процессоров, объему оперативной памяти, а также дисковому пространству, необходимому для хранения событий. Многократно возросло количество событий, которые клиенты хотят передавать в SIEM-систему по протоколу syslog. Кроме того, к нам обращается все больше компаний с крупной территориально распределенной инфраструктурой. заявил Роман Сергеев, менеджер по развитию MaxPatrol SIEM, Positive Technologies |
Ряд изменений в MaxPatrol SIEM направлен на оптимизацию оперативности и удобства работы аналитиков ИБ при расследовании инцидентов. Обновленная карточка события ориентирована на поставку дополнительной связанной информации о событии из сторонних сервисов (как внутренних Positive Technologies, так и внешних) и на возможность анализировать связанные с инцидентом события без смены контекста. Данные из сторонних сервисов сгруппированы и представляются в MaxPatrol SIEM в рамках одного экрана — пользователю не нужно переключаться на другие окна и пролистывать экран. Таким образом, наличие контекстных фильтров, встроенной кросс-сервисной интеграции, обновленного поиска с помощью PDQL -запросов и оптимизация UX позволяют оператору обрабатывать каждый киберинцидент без смены контекста до двух раз быстрее, чем в предыдущей версии продукта.
Чтобы оптимизировать задачу по проверке гипотез, расширена интеграция с продуктами Positive Technologies и сторонними сервисами: из карточки событий теперь можно отправлять кросс-сервисные запросы в PT Network Attack Discovery, PT Endpoint Detection and Response (PT EDR), RST Cloud, Whois7 и другие системы.
Кроме того, из карточки событий можно отправлять кросс-сервисные запросы в подсистему PTThreatAnalyzer. Она помогает построить обнаружение и приоритизацию инцидентов на основании индикаторов компрометации — сведений о злоумышленниках и инструментарии, которые они используют для атак. PT Threat Analyzer собирает данные об угрозах из разных источников, включая сервис PT Threat Intelligence Feeds, а также другие коммерческие и открытые источники данных.
Добавление 44 правил, которые профилируют действия пользователей в инфраструктуре
В системе мониторинга событий информационной безопасности MaxPatrol SIEM доступны 44 дополнительных правила корреляции, которые профилируют действия пользователей в инфраструктуре и выявляют нетипичные для нее подключения к корпоративным узлам и сервисам. Продукт отслеживает доступ к компьютерам топ-менеджмента и разработчиков, контроллерам доменов, серверам Gitlab, менеджерам паролей и другим приложениям.Об этом компания Positive Technologies сообщила 22 августа 2023 года.
Наш опыт проведения киберучений показал, что профилирование доступа к критически важным узлам — это единственный способ обнаружить авторизацию в корпоративных сервисах с ранее неизвестных IP-адресов и устройств и предотвратить атаку на ранней стадии в случае, если произошла утечка и в сети появился дамп учетных данных. Такие отклонения, как правило, указывают, что учетную запись сотрудника захватили киберпреступники, удаленно подключились к инфраструктуре и перемещаются внутри нее, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах, Positive Technologies. — С данным пакетом экспертизы операторы MaxPatrol SIEM получили возможность ловить нетипичную активность, которая может казаться легитимной по общим признакам, но быть аномальной для конкретной инфраструктуры, а значит, представлять угрозу безопасности. |
С помощью добавленных правил продукт анализирует авторизацию пользователей на целевых узлах инфраструктуры и в различных приложениях, среди которых серверы GitLab, продукты компании «1С», менеджеры паролей и контроллеры доменов, а также компьютеры топ-менеджеров, разработчиков и других критически важных пользователей, захват которых может позволить злоумышленникам реализовать недопустимые для компании события.
Всего реализовано три режима профилирования:
- пассивный сбор информации о том, какими корпоративными сервисами пользуется каждый сотрудник (не предусматривает срабатывание правил корреляции);
- автоматическое профилирование и оповещение о входе: MaxPatrol SIEM уведомляет о новых авторизациях в корпоративных сервисах и запоминает комбинации «IP-адрес устройства и имя пользователя» (в дальнейшем об этих событиях оператору не сообщается);
- строгое профилирование: сбор данных о действиях пользователей в инфраструктуре завершен, SIEM-система мгновенно оповещает аналитика ИБ о любом доступе, отклоняющемся от нормы.
Данные для составления профилей поступают из журналов прикладного ПО, а также из журналов auditd и Windows Security с конкретных узлов. В основе MaxPatrol SIEM лежит технология управления активами (security asset management), которая собирает данные обо всех активах и делает ИТ-инфраструктуру прозрачной для оператора. Продукт может автоматически определить критически значимые серверы в инфраструктуре и профилировать доступ пользователей к ним. Либо аналитик ИБ может вручную внести в таблицу узлы, обращения к которым ему важно отслеживать.
Функция профилирования активности доступна в MaxPatrol SIEM версии 7.0 и выше.
Кроме того, в MaxPatrol SIEM обновлены пакеты экспертизы для выявления атак по матрице MITRE ATT&CK. В частности, эксперты Positive Technologies разработали правила для обнаружения дампа процесса LSASS, в котором используются популярные среди злоумышленников хакерские утилиты PPLMedic и PPLFault, а также правило обогащения для дешифрования Base64 в строках запуска — его кодирование помогает атакующим скрывать свои действия.
Добавление пакета экспертизы по выявлению атак на цепочки поставок
Еще один пакет экспертизы для MaxPatrol SIEM позволяет компаниям предотвращать реализацию угроз, связанных с атаками на цепочки поставок (supply chain). Такие атаки направлены на разработчиков и поставщиков программного обеспечения, через продукты которых киберпреступники получают доступ к инфраструктуре конечной цели. Об этом 28 июля 2023 года сообщила компания Positive Technologies.
По данным экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), 20% всех зафиксированных атак в 2022 году — это атаки типа supply chain и trusted relationship (через доверительные отношения); были затронуты ресурсы известных организаций — AMD, Cisco, Cloudflare, Microsoft, Nvidia, Samsung. А за первые шесть месяцев 2023 года такие атаки составили порядка 30% случаев.
Для производителей ПО реализация угроз, связанных с цепочками поставок, однозначно является недопустимым событием. Это актуально и для нас, и для многих других ИТ-компаний, — сказал Данил Зарипов, эксперт лаборатории PT Expert Security Center. — Подобные инциденты могут привести к репутационным и финансовым издержкам, к разрыву контрактных обязательств с клиентами, стать причиной кражи интеллектуальной собственности разработчика. |
Добавленный в MaxPatrol SIEM пакет экспертизы базируется на трех основных источниках событий, обычно тесно связанных друг с другом: на репозиториях Gitlab, сборочной инфраструктуре TeamCity и на хранилище артефактов и данных JFrog Artifactory. Правила выявляют, в частности, добавление кода в важную ветку без утверждения, изменение такой ветки через веб-интерфейс и снятие с нее защиты, утверждение собственного запроса на добавление кода, массовое создание привилегированных учетных записей, подозрительные действия новых пользователей, изменение конфигурации сборки TeamCity, действия в JFrog Artifactory, свидетельствующие об атаке типа dependency confusion (CVE-2021-29427). Подобная активность может привести к нелегитимному изменению кода, хранящегося в защищенных, релизных или основных (master) ветках.
Правила MaxPatrol SIEM покрывают следующие техники матрицы MITRE ATT&CK: компрометация цепочки поставок (тактика «Первоначальный доступ»), существующие учетные записи (тактики «Первоначальный доступ» и «Повышение привилегий»), данные из локальной системы (тактика «Сбор данных») и дефейс (тактика «Воздействие»).
Добавление 70 правил для обнаружения атак Unix-инфраструктуры
MaxPatrol SIEM получил более 70 правил для обнаружения атак на Unix-инфраструктуры. Об этом 10 июля 2023 года сообщила компания Positive Technologies.
Всего система мониторинга событий ИБ MaxPatrol SIEM получила более 100 новых правил обнаружения угроз в рамках обновления пакетов экспертизы, из них свыше 70 сфокусированы на обнаружении атак на Unix-инфраструктуры. Добавленные правила повышают точность выявления попыток брутфорса, а также атак на операционные системы Unix.
Чтобы помочь госучреждениям, субъектам КИИ и отечественным компаниям с Unix-инфраструктурой обеспечивать ее безопасность, эксперты Positive Technologies добавили способы обнаружения актуальных угроз в MaxPatrol SIEM. Загруженные в продукт правила позволяют c большей точностью выявлять применение техник по матрице MITRE ATT&CK, которые используются злоумышленниками для получения учетных данных (credential access), первоначального доступа (initial access) и перемещения внутри периметра (lateral movement), предотвращения обнаружения (evasion), исследования и сбора данных (discovery and collection), закрепления (persistence) и повышения привилегий (privilege escalation), выполнения (execution) и взаимодействия с командным центром (command and control).
Кроме того, в рамках обновления MaxPatrol SIEM пополнился правилами для обнаружения попыток взлома учетных записей путем подбора логина и пароля. В частности, теперь продукт отдельно выделяет попытки спреинга (подбора одного пароля к множеству учетных записей; атакующие так делают, чтобы избежать блокировки учетных записей). Вместе с тем каждое правило перебора привязано к конкретному приложению, операционной системе или сетевому устройству. Среди них, например, — межсетевой экран Cisco, веб-сервер IIS, приложение OpenVPN и Gitlab.
Unix является основой нескольких десятков операционных систем, в том числе Linux. Большинство веб-серверов, облачных сервисов и популярных средств виртуализации работают на Unix-системах. С учетом импортозамещения в России востребованность подобных операционных систем, равно как и количество кибератак на них, будет расти.
С помощью добавленных правил MaxPatrol SIEM определяет успешные случаи подбора учетных данных. Если в результате брутфорса злоумышленникам удалось найти правильные логин и пароль, это — критически важный инцидент, требующий молниеносного реагирования специалиста по ИБ. От скорости реакции оператора зависит, успеет ли атакующий развить атаку и добраться до интересующей его системы, — сказала Юлия Фомина, ведущий специалист группы обнаружения атак на конечных устройствах, PT Expert Security Center. |
Расширилась интеграция MaxPatrol SIEM с системой поведенческого анализа трафика PT Network Attack Discovery — теперь пользователи смогут увидеть еще больше срабатываний корреляций (более 3,5 тысяч) SIEM-системы на критичные правила от PT NAD. Это позволяет снизить число ложноположительных срабатываний и увеличить точность детектирования подозрительной сетевой активности. Кроме того, с обновленным пакетом экспертизы компании, использующие оба этих продукта, могут создавать белые списки подсетей и автоматически отключать срабатывание правил для различных групп динамически выдаваемых IP-адресов. Например, применять вайтлистинг можно для R&D-сетей или сетей сканеров уязвимостей, когда в компании ведется внутренняя разработка.
Добавление механизмов обогащения событий
В систему мониторинга событий ИБ компании Positive Technologies — MaxPatrol SIEM — добавлены правила обнаружения угроз. Появились дополнительные механизмы обогащения событий: они помогают аналитикам ИБ подтверждать до 90% инцидентов без дополнительного запроса данных. Об этом компания PT сообщила 30 мая 2023 года. Теперь MaxPatrol SIEM выявляет атаки на отечественную СУБД ClickHouse, а также признаки работы еще пяти популярных хакерских инструментов — Sliver, NimPlant, Masky, PowerView и Evil-WinRM.
Специалисты Positive Technologies постоянно исследуют новые киберугрозы, отслеживают активность хакерских группировок по всему миру, изучают их тактики и техники. На основе этих данных эксперты создают способы выявления угроз, которые регулярно передают в MaxPatrol SIEM в виде пакетов экспертизы. Благодаря этому пользователи SIEM-системы могут обнаруживать актуальные угрозы и оперативно реагировать на действия киберпреступников, которые непрерывно разрабатывают новые инструменты, методы и техники атак, а также совершенствуют ранее созданные.
Эксперты Positive Technologies разработали для MaxPatrol SIEM механизмы обогащения событий ИБ. Эти механизмы самостоятельно ищут динамические данные, которые возникают при развитии атаки, чтобы предоставить аналитикам ИБ полный контекст запускаемых процессов (ранее в MaxPatrol SIEM был реализован механизм автоматического построения цепочек процессов).
Дополнительный контекст в MaxPatrol SIEM помогает обнаруживать активность злоумышленников. Чем больше контекста в карточках событий, тем легче специалистам по ИБ «раскручивать» атаки. Добавленный нами ранее механизм построения цепочек запускаемых процессов снял большую часть рутинных задач с аналитиков SOC, поэтому мы продолжили работу в этом направлении, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах, Positive Technologies. — Чтобы сделать расследование инцидентов еще проще, быстрее и эффективнее, мы создали дополнительные механизмы обогащения. Они дают расширенный контекст, который помогает операторам верифицировать до 90% инцидентов, тем самым избавляя их от необходимости делать дополнительные запросы в системе. |
Эксперты компании обновили ранее загруженные пакеты для выявления хакерских инструментов и способов маскировки. Добавленные в MaxPatrol SIEM правила позволяют обнаружить работу набирающих популярность инструментов Sliver и NimPlant, попытки эксплуатации уязвимостей ProxyNotShell вредоносным модулем Metasploit, а также активность фреймворков Masky, PowerView и Evil-WinRM, которые по-прежнему входят в арсенал киберпреступников.
С помощью добавленных правил MaxPatrol SIEM также детектирует продвинутые техники сокрытия злоумышленников в инфраструктуре, в частности:
- запуск процессов без расширения — используется для обхода правил корреляции, в которых учитывается явный поиск процессов, имеющих расширение .exe, а также для маскировки;
- запуск процессов с двойным расширением, например .docx.exe, — этот способ атакующие применяют при фишинге;
- загрузку процессов или библиотек, подписанных сертификатом Microsoft, который не имеет валидного статуса подписи, — таким способом злоумышленники пытаются замаскировать свой инструментарий под легитимные программы Microsoft.
В рамках масштабного обновления экспертизы продукт также получил пакет правил, позволяющих выявлять подозрительную активность в отечественной системе управления базами данных ClickHouse. В пакет вошли более 20 правил корреляции, которые помогут оперативно обнаружить атаку на разных стадиях — от разведки до попыток выгрузить данные из СУБД или уничтожить ее. Добавленная экспертиза поможет российским компаниям, использующим ClickHouse или планирующим перейти на нее в рамках импортозамещения, обеспечивать безопасность критически важных данных. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на PostgreSQL, Oracle Database, Microsoft SQL Server и MongoDB.
Чтобы начать использовать новые правила и механизмы обогащения событий, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить обновления пакетов экспертизы.
Добавление свыше 70 правил для мониторинга событий ИБ на ресурсах в Yandex Cloud
В MaxPatrol SIEM расширена интеграция с Yandex Cloud и сервисом для сбора и выгрузки аудитных логов из облака Yandex Audit Trails. Об этом компания Positive Technologies сообщила 13 апреля 2023 года. Первый пакет экспертизы для выявления подозрительной активности на ресурсах, размещенных пользователями в Yandex Cloud, был добавлен в MaxPatrol SIEM в 2022 году. Теперь в MaxPatrol SIEM загружены обновления этого пакета. Апдейты включают в себя свыше 50 правил нормализации событий и 20 правил корреляции. Теперь обновленный пакет содержит более 100 правил. Это позволит поддерживать еще больше аудитных событий безопасности в Yandex Cloud, сервисами которой ежедневно пользуются свыше 24 тысяч компаний.
Добавленные правила корреляции и нормализации позволяют на раннем этапе обнаружить попытки злоумышленников получить нелегитимный доступ к ресурсам, размещенным на облачной платформе. Правила помогают специалистам по ИБ ориентироваться в насыщенном потоке событий, а интерфейс MaxPatrol SIEM дает возможность наблюдать за статусом обнаруженных угроз в режиме «одного окна». Это помогает повысить безопасность при использовании сервисов Yandex Cloud.
Перечень правил был разработан при экспертной поддержке специалистов Yandex Cloud с учетом их рекомендаций по выбору событий безопасности. Одно из ключевых изменений, пришедших с этими обновлениями, — нативная поддержка логов Kubernetes, что позволит точнее детектировать попытки компрометации облачных сред, — отметил Давид Никачадзе, специалист департамента базы знаний и экспертизы ИБ, Positive Technologies. |
С помощью правил, добавленных в пакет экспертизы, MaxPatrol SIEM выявляет:
- В Yandex Managed Service for Kubernetes — нелегитимное подключение с внешнего адреса к кластеру Kubernetes. Это может быть попыткой получения доступа к облачным ресурсам злоумышленниками. Узнать подробнее о рекомендациях по настройке безопасности в сервисе можно здесь.
- В сервисе Yandex Resource Manager — нелегитимное назначение административных прав доступа к каталогу или облаку.
- В Yandex Cloud Organization — нелегитимное назначение права на управление членством в группах IAM.
- В Yandex Virtual Private Cloud — назначение группе безопасности небезопасного списка контроля доступа, что может подвергать инфраструктуру риску компрометации.
- В Yandex Virtual Private Cloud — создание публичного IP-адреса без защиты от DDoS-атак, что делает сервисы уязвимыми для атак типа «отказ в обслуживании».
- В сервисах управления различными базами данных — отключение логирования в кластере, что может свидетельствовать о попытке сокрытия действий злоумышленником.
- Создание ресурсов (таких как виртуальные машины, кластеры баз данных, кластеры Kubernetes, балансировщики приложений) без использования групп безопасности. Подобные действия могут являться недопустимыми событиями и свидетельствовать об отсутствии правила для получения и отправки трафика.
Чтобы начать использовать новые правила, необходимо обновить MaxPatrol SIEM до версии 7.0, установить обновления пакетов экспертизы, выполнив инструкции по настройке сбора событий Yandex Cloud и Kubernetes.
Механизм для автоматизации построения цепочек запускаемых процессов
28 февраля 2023 года компания Positive Technologies анонсировала обновленный пакет экспертизы MaxPatrol SIEM, включающий механизм построения цепочек запускаемых процессов который, позволяет аналитикам ИБ экономить до 5-10 минут на анализе срабатывания каждого правила корреляции. Разработанный экспертами Positive Technologies механизм автоматически обогащает скоррелированное событие, которое содержит имя и идентификатор процесса, его полной цепочкой. Дополнительный контекст, помогающий выявлять активность злоумышленников, отображается в карточке события.
Как сообщалось, в SIEM-системах большое количество правил детектирования основано на событиях, в которых есть информация о старте процесса. При верификации срабатываний операторы много времени затрачивают на «раскручивание» цепочек запускаемых процессов. Помимо самого подозрительного процесса, они также анализируют и те, которые породили его и запустили в дальнейшем.
Обновленный механизм в MaxPatrol SIEM автоматизирует задачи по построению цепочек процессов. Если ранее оператору приходилось делать порядка пяти-шести запросов в SIEM-системе, чтобы выяснить последовательность запуска связанных между собой процессов, то на февраль 2023 года цепочки собираются автоматически и выводятся в специальном поле в карточке события.
Продукт обнаруживает подозрительную активность, инициированную мессенджерами (Telegram, Skype, WhatsApp, Microsoft Teams), веб-серверами, приложениями Microsoft Office, антивирусными программами, например Kaspersky Security Center, и агентами SCCM, которые обеспечивают централизованное управление конфигурациями в IT-инфраструктуре.
Кроме того, эксперты Positive Technologies обновили пакеты экспертизы для обнаружения атак по модели MITRE ATT&CK. Добавленные в MaxPatrol SIEM правила позволяют выявлять:
- применение техник LSASS Shtinkering (метод дампа памяти процесса LSASS с использованием службы регистрации ошибок Windows) и Dirty Vanity (метод внедрения кода для обхода средств защиты на конечных точках). Вредоносные техники появились в арсенале злоумышленников в декабре 2022 года;
- эксплуатацию уязвимости в алгоритме шифрования RC4, позволяющую получить удаленный доступ к системе или выполнить код, а также эксплуатацию семейства уязвимостей принудительной аутентификации, которые позволяют получить NTLM-хеш служебной учетной записи узла под управлением Windows.
Пакеты экспертизы, загруженные в MaxPatrol SIEM ранее, пополняются правилами по мере появления различных способов атак. Эксперты Positive Technologies непрерывно анализируют актуальные киберугрозы и разрабатывают правила детектирования тактик, техник и методов эксплуатации уязвимостей, которые атакующие только взяли на вооружение. Кроме того, некоторые давно известные бреши в службе RPC, связанные с принудительной аутентификацией (coerced authentication), официально не были признаны уязвимостями, и не будут исправлены Microsoft, а обновленный пакет поможет специалистам по ИБ обнаружить попытки их эксплуатации и вовремя принять меры. отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах в компании Positive Technologies |
Чтобы начать использовать механизм построения цепочек запускаемых процессов, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить обновленный пакет экспертизы.
Добавление четырех пакетов для выявления атак на доменную инфраструктуру
В систему мониторинга событий информационной безопасности MaxPatrol SIEM загружены новые правила обнаружения атак. Об этом компания Positive Technologies сообщила 27 января 2023 года. Апдейты получили четыре пакета экспертизы: «Атаки на Microsoft Active Directory», «Тактики «Повышение привилегий» и «Организация управления» (MITRE ATT&CK)», «Атаки с помощью специализированного ПО» и «Тактика «Закрепление» (MITRE ATT&CK)».
В рамках обновления в MaxPatrol SIEM было добавлено 31 правило.
Наиболее важные правила в опубликованных обновлениях связаны, пожалуй, с обнаружением атак на Microsoft Active Directory, — рассказала Юлия Фомина, старший специалист отдела обнаружения атак, Positive Technologies. — С подобными угрозами компании сталкиваются каждый день, их активно используют атакующие. В обновление также вошли правила выявления тех техник, которые применяются атакующими уже долгое время и не теряют своей актуальности. |
Загруженные в MaxPatrol SIEM обновления пакетов экспертизы помогут выявить:
- Атаки на Microsoft Active Directory, которые позволяют злоумышленникам получить максимальные права в доменной инфраструктуре. Проблемы Microsoft Active Directory эксплуатируются атакующими в реальной жизни, в частности, с весны 2022 года осуществляются атаки на службу сертификации (Active Directory Certificate Services, AD CS). Атакующие имеют возможность эксплуатации даже при установленных патчах, если шаблоны сертификатов настроены некорректно. Новые правила выявляют подобные атаки на всех стадиях: некорректная конфигурация шаблонов, эксплуатация и последующее использование полученного сертификата для дальнейшего горизонтального перемещения по инфраструктуре.
- Эксплуатацию уязвимости Kerberos Relay в Microsoft Active Directory. Эта уязвимость использует особенности протокола доменной авторизации Kerberos, чтобы повысить права на любом доменном компьютере (от непривилегированной учетной записи до системных прав) и закрепиться в системе. Для детектирования этой активности в MaxPatrol SIEM загружены два новых правила.
- Классическую атаку Silver Ticket на протокол Kerberos. Для детектирования таких атак в систему добавлено правило с новым способом обнаружения: по результатам ряда проведенных проектов red team и пентестов эксперты Positive Technologies нашли определенные аномалии в авторизациях пользователей по протоколу Kerberos.
- Эксплуатацию известной серии уязвимостей, получившей название Potato Vulnerabilities: Juicy Potato, MultiPotato, Remote Potato, Rogue Potato — это одно семейство уязвимостей, эксплуатация которых позволяет злоумышленникам повысить привилегии от сервисной учетной записи до системных прав.
· Манипуляции с токенами для повышения привилегий в системе. · Эксплуатацию уязвимостей в службе печати Windows (CVE-2022-21999 и CVE-2022-30206), позволяющих атакующим повысить привилегии. · Использование классического метода повышения привилегий до системного уровня при наличии прав локального администратора — повышение через именованные каналы. Этот метод атаки по умолчанию предлагают такие фреймворки, как Cobalt Strike, Metasploit, Empire.
Чтобы начать использовать данный пакет экспертизы, необходимо обновить MaxPatrol SIEM до версий 7.0 или 7.1 и установить правила из пакета экспертизы.
Совместимость с программно-техническим комплексом «Квант-ЧЭАЗ»
Система мониторинга событий информационной безопасности MaxPatrol SIEM и программно-технический комплекс «КВАНТ-ЧЭАЗ» (ПТК «КВАНТ-ЧЭАЗ») прошли испытания на совместимость. Об этом 10 января 2023 года сообщила компания Positive Technologies. MaxPatrol SIEM обеспечил мониторинг программно-технического комплекса «КВАНТ-ЧЭАЗ» и выявление инцидентов информационной безопасности. ПТК «КВАНТ-ЧЭАЗ» выполнил все функции в соответствии с отраслевыми требованиями к АСУ ТП в части времени обмена данными и командами, отсутствия сбоев, отказов и потери передаваемых данных. Подробнее здесь.
2022
Пакет экспертизы с механизмом автоматического исключения ложных срабатываний правил корреляции
Обновленный пакет экспертизы MaxPatrol SIEM (система мониторинга событий ИБ и выявления инцидентов) включил автоматический вайтлистинг — механизм автоматического исключения ложных срабатываний правил корреляции. За счет оптимизации рутинных задач аналитики ИБ могут экономить до 250 человеко-часов в неделю при анализе срабатываний и отборе реальных инцидентов, а также быстрее адаптировать SIEM-систему под свою инфраструктуру при внедрении. Об этом 14 декабря 2022 года сообщила компания Positive Technologies.
В инфраструктурах работает бесчисленное количество программ, а обычные пользователи ежедневно совершают миллионы действий, которые продуктам ИБ нужно отличать от активности злоумышленников. При этом любое средство защиты может генерировать ложноположительные срабатывания, то есть ошибочно признавать активность нелегитимной. Необходимость работы с false positive — известный факт, с которым сталкиваются пользователи различных продуктов для ИБ, в том числе SIEM-систем. Так, по данным опроса Center for Long-Term Cybersecurity, 36% специалистов отмечают, что получают слишком много ложных срабатываний при использовании фреймворков ATT&CK. В результате аналитикам приходится обрабатывать срабатывания правил корреляции и вручную отсеивать false positive. Это трудозатратный процесс: из-за большого количества false positive возрастает риск пропустить кибератаку, — отметила Юлия Фомина, старший специалист отдела экспертных сервисов и развития SOC, Positive Technologies. — В MaxPatrol SIEM добавлен механизм, который позволяет автоматически добавлять в исключения легитимную повторяющуюся активность. |
В белый список помещаются только те ключи выявленных событий, которые были обнаружены неоднократно. После этого MaxPatrol SIEM считает активность типичной для конкретной инфраструктуры и больше не выдает срабатывания. В числе специально недетектируемых событий могут быть, например, фоновая активность операционной системы, работа скриптов администрирования, регулярный запуск процессов по расписанию, в частности проверка инфраструктуры сканерами безопасности или работа сборочных агентов.
Автоматический вайтлистинг предусматривает и случаи с повторяющимися инцидентами сложного характера, например при внутренних систематических нарушениях политики ИБ. Сначала механизм до пяти раз помечает срабатывания как возможные ложноположительные, помещая их в предназначенный для этого временный табличный список, оператору SOC следует занести такие события в черный список по одному или нескольким критериям (имя узла, имя пользователя или ключ срабатывания).
Кроме того, в MaxPatrol SIEM по-прежнему есть возможность добавлять исключения с помощью шаблонов, подготовленных экспертами Positive Technologies. Шаблоны — это механизм, позволяющий оператору по клику из карточки события заносить определенные поля в табличные списки для вайтлистинга, блэклистинга, выявления индикаторов компрометации и прочего.
Чтобы средство защиты подстроилось под особенности инфраструктуры, при внедрении SIEM-систем аналитикам приходится несколько месяцев вручную писать исключения для правил корреляции, — сказал Петр Ковчунов, специалист отдела разработки базы знаний, Positive Technologies. — В MaxPatrol SIEM можно включить автоматический вайтлистинг, который выявит однотипные и повторяющиеся активности, признает их естественными для вашей инфраструктуры и перестанет оповещать о них операторов. Разработанный нами механизм повышает эффективность MaxPatrol SIEM и, как следствие, позволяет разгрузить аналитиков. Освободившееся время они могут уделить тем задачам, где экспертов заменить невозможно, например проактивному поиску угроз и расследованию инцидентов. |
Чтобы начать использовать автоматический вайтлистинг, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить обновленный пакет экспертизы.
Пакет экспертизы для выявления подозрительной активности в ресурсах, размещенных в сервисах Yandex Cloud
1 декабря 2022 года компания Positive Technologies сообщила о том, что в систему мониторинга событий информационной безопасности MaxPatrol SIEM добавлен пакет экспертизы для выявления подозрительной активности в ресурсах, размещенных пользователями в сервисах Yandex Cloud. Загруженные в систему правила позволяют на раннем этапе обнаружить попытки злоумышленников нарушить конфиденциальность, целостность и доступность данных, хранящихся на облачной платформе.
По информации компании, по данным на ноябрь 2022 года ежедневно сервисы Yandex Cloud используют более 19 тыс. компаний. Публичная облачная платформа предоставляет корпорациям, среднему бизнесу и частным разработчикам масштабируемую инфраструктуру, сервисы хранения данных, инструменты машинного обучения и средства разработки. В рамках курса на импортозамещение российский бизнес, который ранее пользовался зарубежными облачными сервисами, активно переносит ресурсы, разработку и эксплуатацию внутренних и клиентских приложений в Yandex Cloud.
В сентябре 2022 года специалисты Positive Technologies разработали интеграционный модуль (коннектор) для MaxPatrol SIEM. Он загружает в систему данные о событиях, происходящих с ресурсами, которые компании размещают в Yandex Cloud. Следующим этапом сотрудничества с облачной платформой стал выпуск пакета экспертизы. Он включает 17 правил обнаружения подозрительной активности для наиболее востребованных сервисов. В частности, для сервисов Compute Cloud (виртуальные машины и диски), Object Storage (масштабируемое хранилище данных), Key Management Service (управление ключами шифрования), Identity and Access Management (идентификация и контроль доступа к облачным ресурсам), Yandex Lockbox (создание и хранение секретов в инфраструктуре платформы), а также сервисов для управления базами данных (ClickHouse, MongoDB, MySQL, PostgreSQL, Redis).
Компании в России все чаще выбирают облачные платформы, что создает необходимость уделять внимание любой нетипичной активности, связанной с размещенными там ресурсами. Утечка, потеря доступности данных и распространение вредоносных программ через публичные ресурсы — бизнес-риски, возможность реализации которых, исходя из вектора атаки, может зависеть и от пользователей платформ. В экспертный пакет входят правила, помогающие выявлять подозрительную активность в популярных сервисах Yandex Cloud. Кроме того, мы разработали для MaxPatrol SIEM правила, которые детектируют подозрительную активность, связанную с учетными записями на всей платформе, для всех поступающих в MaxPatrol SIEM событий. Для обнаружения потенциально опасной активности используются механизмы обогащений событий ИБ релевантными данными и табличные списки. рассказал Давид Никачадзе, специалист департамента базы знаний и экспертизы ИБ, Positive Technologies |
С помощью обновленных правил MaxPatrol SIEM выявляет:
- Для сервиса Object Storage:
- нелегитимное предоставление публичного доступа к объектам хранилища — бакетам (нарушает конфиденциальность размещенных на платформе ресурсов и может свидетельствовать о том, что злоумышленники используют этот доступ для загрузки вредоносных программ и иных деструктивных действий).
- Для сервисов управления различными базами данных (ClickHouse, PostgreSQL, MySQL, MongoDB, PostgreSQL, Redis):
- создание пользователем, которого нет в списке администраторов, кластера базы данных (может говорить об активности злоумышленников в системе).
- Для сервиса Identity and Access Management:
- подозрительную активность привилегированных учетных записей, имеющих доступ ко всем ресурсам (критически опасное событие, которое может указывать на присутствие злоумышленников в системе);
- активность сервисных учетных записей из диапазона IP-адресов вне облака (может быть одним из признаков компрометации инфраструктуры).
- Для сервиса Compute Cloud:
- создание виртуальной машины с уже использующимся IP-адресом (таким способом злоумышленники, как правило, скрывают свое присутствие в системе либо собирают конфиденциальные данные путем перехвата сетевого трафика);
- обнаружение чувствительной информации в пользовательских метаданных при создании виртуальной машины (является явным нарушением конфиденциальности данных и может привести к их утечке);
- нелегитимное предоставление виртуальной машине доступа к серийной консоли (редко используется в легитимных сценариях, поэтому каждый подобный случай требует дополнительной проверки и расследования);
- назначение сервисной учетной записи, имеющей доступ к секретам сервиса Yandex Lockbox, виртуальной машине (указывает на неправильное разграничение прав доступа к ресурсам, что чревато утечкой данных).
Загрузка пакета экспертизы для выявления 13 активностей злоумышленников
Компания Positive Technologies сообщила 28 октября 2022 года о том, что в систему мониторинга событий информационной безопасности MaxPatrol SIEM загружен пакет экспертизы. Добавленные в систему правила позволяют выявить 13 активностей злоумышленников, связанных с применением вредоносного ПО (ВПО). Источниками событий для MaxPatrol SIEM могут быть распространенные средства защиты, например песочница PT Sandbox, «Защитник Windows», продукты «Лаборатории Касперского» и Dr.Web.
С помощью этих правил, основанных на вердиктах PT Sandbox и срабатываниях антивирусного ПО, SIEM-система коррелирует потенциально опасные инциденты, а также дополнительно акцентирует на них внимание пользователей. Добавленные возможности помогают специалистам по ИБ ориентироваться в огромном потоке событий и следить за статусом обнаруженных угроз в режиме «одного окна» — интерфейсе MaxPatrol SIEM.
Шифровальщики, загрузчики, банковские трояны и другие вредоносные программы — бич компаний. По данным Positive Technologies, во II квартале 2022 года с помощью вредоносов злоумышленники атаковали каждую вторую организацию. Антивирусы и песочницы, такие как, например, PT Sandbox, эффективно обнаруживают вредоносное ПО. Чтобы специалисты по ИБ быстрее выявляли сложные атаки, в интерфейсе MaxPatrol SIEM теперь выводятся критически опасные инциденты с ВПО, сгенерированные правилами корреляции. Это помогает оператору понять, какие кейсы следует тщательно расследовать, прокомментировал Константин Грищенко, руководитель отдела мониторинга информационной безопасности Positive Technologies.
|
Кроме того, расширена интеграция с PT Sandbox. Анализируя вердикты песочницы Positive Technologies, MaxPatrol SIEM теперь определяет:
- вредоносные файлы — решение выносится по результатам всех проверок PT Sandbox;
- запуск зловредных файлов;
- подозрительную почтовую активность (обнаружение спам-рассылок по отправителю, заголовкам и вложениям).
Добавленные в пакет экспертизы правила выявляют, например, следующие активности:
- ВПО обнаружено и удалено (либо не удалено) в течение пяти минут;
- «Защитник Windows» отключен;
- запуск вредоносного приложения запрещен Kaspersky Endpoint Security;
- работа Kaspersky Endpoint Security остановлена или отключены его компоненты защиты;
- состав установочных пакетов Kaspersky Security Center изменен.
Чтобы начать использовать пакет экспертизы, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить правила из пакета экспертизы.
Интеграция с Yandex Cloud
Система MaxPatrol SIEM была интегрирована с Yandex Cloud и сервисом для сбора и выгрузки аудитных логов из облака Yandex Audit Trails. Positive Technologies, и специалисты облачной платформы разработали коннектор, загружающий в MaxPatrol SIEM данные о событиях, происходящих с ресурсами, которые организации размещают в Yandex Cloud. Об этом сообщила компания Positive Technologies 29 сентября 2022 года.
На потребность в подобной интеграции указали пользователи MaxPatrol SIEM, которые размещали свои облачные ресурсы в зарубежных сервисах Amazon и Microsoft, а в последнее время перевели их в Yandex Cloud. При этом сохранилась необходимость анализировать все события безопасности в облаке. И обратились к Positive Technologies с предложением разработать интеграционный модуль, что и было сделано», отметил Дмитрий Оркин, руководитель направления развития безопасности облачных технологий Yandex Cloud.
|
Если организация выносит часть ресурсов в Yandex Cloud, ей приходится следить за тем, что с ними происходит с точки зрения безопасности. Например, если компания была атакована изнутри и вредонос был внедрен в ее облако, в MaxPatrol SIEM можно будет посмотреть всю последовательность действий злоумышленника как внутри периметра, так и в ресурсах, развернутых в Yandex Cloud. Пользователи MaxPatrol SIEM могут писать правила корреляции на те события, которые они будут получать из облака, рассказал Роман Сергеев, менеджер по развитию MaxPatrol SIEM, Positive Technologies.
|
Yandex Audit Trails, в котором аккумулируются журналы аудита для отправки в MaxPatrol SIEM, на сентябрь 2022 года находится на стадии preview и является бесплатным сервисом. Пользователь может выбирать, с каких ресурсов в облаке собирать логи, и настроить выгрузку аудитных логов в шифрованный бакет для хранения и последующего анализа. Среди типов событий, регистрируемых в сервисе Yandex Audit Trails, — создание и удаление сервисных аккаунтов, изменение ролей пользователей, создание и удаление ресурсов, изменение их параметров, политик доступа, групп безопасности.
Совместимость MaxPatrol SIEM с Yandex Cloud будет интересна пользователям обоих продуктов, в частности компаниям в сфере розничной торговли и электронной коммерции, в энергетической отрасли, производителям лекарственных препаратов и аптекам, разработчикам цифровых продуктов и решений. Yandex Cloud — один из крупных облачных провайдеров. Облака — направление развития кибербезопасности, и компания считает Yandex Cloud одним из технологических партнеров в этой области, прокомментировал Антон Александров, руководитель отдела развития бизнеса Positive Technologies.
|
Интеграция с Yandex Cloud доступна начиная с версии MaxPatrol SIEM 7.0.
Добавление 42 правил в ранее загруженные пакеты экспертизы
Система мониторинга событий информационной безопасности MaxPatrol SIEM получила обновление ранее загруженных пакетов экспертизы для выявления техник сокрытия злоумышленников и признаков работы известных хакерских инструментов. Правила детектирования нацелены на обнаружение продвинутых методов маскировки киберпреступников в инфраструктуре и активности фреймворков, часто используемых в целевых атаках. Об этом сообщила компания Positive Technologies 23 сентября 2022 года.
Злоумышленники постоянно модифицируют свои инструменты, техники и методы атак, а также разрабатывают способы обхода средств защиты и сокрытия своего присутствия в инфраструктуре скомпрометированных компаний. MaxPatrol SIEM включил 42 правила, добавленные в ранее загруженные пакеты экспертизы. Они позволяют пользователям MaxPatrol SIEM выявлять наиболее актуальные техники атак и способы маскировки вредоносной активности. Среди них, в частности:
- применение фреймворка Cobalt Strike: используется злоумышленниками для управления захваченной инфраструктурой — пост-эксплуатации уязвимостей, горизонтального перемещения внутри сети организации, закрепления на ресурсах и развития присутствия;
- скрытое подключение к сессии Shadow RDP: используется атакующими для наблюдения за действиями пользователей во время RDP-сессии с целью получения данных (например, чтобы определить, как человек работает и какие характерные риски можно выполнить);
- обновленные и менее известные техники получения доступа киберпреступников к процессу lsass.exe, где хранятся учетные данные;
- техники тактики «Перемещение внутри периметра» по модели MITRE ATT&CK: злоумышленники используют их для получения доступа и управления удаленными системами в сети, установки вредоносных программ и постепенного расширения присутствия в инфраструктуре.
Техники и инструменты атакующих активно развиваются, а вместе с ними и средства защиты, которые необходимо регулярно пополнять актуальной экспертизой для противодействия таким способам атак. Исследования киберугроз и известных хакерских фреймворков показывают, что злоумышленники в 2022 году уделяют все больше внимания маскировке: хорошо зная актуальные методы детектирования, они изобретают другие, которые максимально усложняют обнаружение вредоносной активности. А значит, требуется глубже и тщательнее изучать события ИБ, чем раньше. Например, событие Sysmon 10 свидетельствует о том, что атакующие пытаются получить учетные данные через доступ к памяти процесса lsass.exe. Чтобы выявить данную киберугрозу, средства ИБ затачивают исключительно под ловлю этого события. Однако злоумышленники модернизировали техники получения доступа к этому процессу так, чтобы исключить прямое обращение к памяти lsass.exe и генерацию события Sysmon 10. Такие, скажем, продвинутые техники уже невозможно обнаружить классическими способами, поэтому мы написали дополнительные правила, покрывающие обновленные методы сокрытия. Обновления помогут пользователям MaxPatrol SIEM своевременно выявить подозрительную активность и предотвратить развитие атаки, прокомментировал Кирилл Кирьянов, ведущий специалист отдела экспертных сервисов развития экспертного центра безопасности Positive Technologies (PT ESC).
|
Чтобы начать использовать добавленные правила, нужно обновить продукт до версии 7.0 и установить правила из пакета экспертизы.
Добавление правил детектирования атак на Active Directory
Компания Positive Technologies сообщила 1 августа 2022 года о том, что система мониторинга событий информационной безопасности MaxPatrol SIEM получила обновленный пакет экспертизы. Он позволяет выявить еще десять признаков активности злоумышленников с большей точностью и меньшим количеством ложных срабатываний — благодаря интеграции c MaxPatrol VM и PT Network Attack Discovery (PT NAD).
Добавленные правила детектируют атаки на Active Directory с использованием техник DCShadow и DCSync, применение злоумышленниками утилиты Bloodhound для проведения разведки в домене и сбора доменных записей пользователей, попытки эксплуатации уязвимостей из базы CVE и другие опасные действия.
Добавленный пакет экспертизы содержит правила корреляции, основанные на анализе сетевого трафика с помощью PT Network Attack Discovery, а также на сборе информации об ИT-активах в MaxPatrol VM. Вместе продукты дают более полную картину ИT-инфраструктуры, а возможность обогащения инцидентов контекстом из других систем позволяет повысить точность и скорость детектирования атак внутри защищаемого периметра.
Обновленные правила обнаружения угроз в MaxPatrol SIEM помогут обнаруживать актуальные сценарии атак внутри периметра и останавливать злоумышленников до наступления неприемлемых для бизнеса событий. Кроме того, с данным пакетом экспертизы пользователи получают плотную интеграцию MaxPatrol SIEM с системой поведенческого анализа трафика PT Network Attack Discovery (PT NAD) и решением для управления уязвимостями MaxPatrol VM. Это упростит работу по выявлению аномалий в инфраструктуре, специалисты смогут использовать связку продуктов Positive Technologies эффективнее, чем прежде. Например, теперь можно видеть в интерфейсе MaxPatrol SIEM все необходимые для расследования инцидентов данные, а не искать их самостоятельно на таймлайне, можно переходить по связанным ссылкам в релевантные карточки событий в других продуктах, отметил Данил Спиридонов, специалист отдела разработки базы знаний, Positive Technologies.
|
Добавленные правила помогут специалистам по ИБ проводить более детальное расследование инцидентов. C помощью анализа журналов серверов и сигнатур, то есть с помощью данных, полученных из PT NAD, MaxPatrol SIEM выявляет:
- Атаки с применением техник DCShadow и DCSync. Их особая реализация позволит злоумышленникам получить учетные записи пользователей доменов.
- Передачу зоны DNS c DNS-сервера. При помощи дампа зоны DNS злоумышленник может получить дополнительную информацию о структуре атакуемой сети.
- Использование утилиты Bloodhound. MaxPatrol SIEM детектирует запуск этой программы, а PT NAD по анализу сетевого трафика определяет, что утилита начала собирать доменные записи пользователей на скомпрометированном узле.
- Применение злоумышленниками техники Discovery, которое может быть признаком изучения конфигурации сети, учетных записей и др.
- Попытки эксплуатации уязвимостей CVE-2021-42287 (подмена имени учетной записи пользователя) и CVE-2021-42278 (обман центра выдачи ключей) в службе каталогов Active Directory, которые позволяют злоумышленникам перехватывать контроль над доменами Windows.
- Подозрительную сетевую активность, исходящую от одного узла ко многим узлам, что может говорить о сканировании сети и перемещении злоумышленника внутри периметра.
- Аномальную сетевую активность нескольких зараженных узлов, направленную к одному конкретному узлу, который может находиться вне периметра организации.
- Применение хакерских утилит, в том числе для туннелирования трафика (они используются злоумышленниками для обхода средств защиты и передачи трафика вредоносных программ).
- Срабатывания индикаторов компрометации (IoC), составленных экспертным центром безопасности Positive Technologies (PT Expert Security Center) на основе непрерывного мониторинга актуальных киберугроз, расследований сложных инцидентов ИБ в компаниях разного профиля, а также на основе анализа техник и инструментов APT-группировок. Это позволит пользователям MaxPatrol SIEM среагировать на аномальную активность (система покажет, с какого узла в сети развивается атака, какой узел был скомпрометирован) и вовремя предотвратить развитие атаки внутри сети.
Компании, использующие помимо MaxPatrol SIEM и PT NAD систему управления уязвимостями MaxPatrol VM, смогут выявлять случаи, когда атакующие эксплуатируют уязвимости с присвоенными идентификаторами CVE. MaxPatrol VM сканирует активы на предмет уязвимостей, MaxPatrol SIEM составляет таблицу с перечнем узлов и свойственных им уязвимостей, известных на 2022 год и занесенных в базу CVE, а PT NAD, в свою очередь, выявляет в сетевом трафике попытки эксплуатации той или иной уязвимости на конкретном узле. Это позволит автоматизировать задачи аналитиков SOC по работе с оповещениями об угрозах из PT NAD и с потенциальными случаями эксплуатации уязвимостей, а также исключить ложные срабатывания от сканирующих интернет ботов. Чтобы начать использовать обновленный пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 7.0 и установить правила из этого пакета. Перекрестные ссылки в продуктах появятся автоматически при обновлении базы знаний PT Knowledge Base, которая входит в состав MaxPatrol SIEM.
Выпуск версии MaxPatrol SIEM 7.0
Positive Technologies сообщила 16 июня 2022 года о выпуске обновленной версии системы мониторинга событий информационной безопасности MaxPatrol SIEM — 7.0. Главное в релизе — поддержка операционных систем семейства Linux, возможность проводить распределенный поиск событий для выявления атак на крупные территориально разветвленные инфраструктуры, а также упрощение управления значимостью активов с точки зрения ИБ. MaxPatrol SIEM 7.0 получил поддержку операционных систем семейства Linux. В 2020 году было приобретено свыше 1 млн лицензий на ОС Astra Linux, а общее число организаций, использующих данное ПО, более 4 тысяч. Теперь продукт могут развернуть государственные ведомства, госкорпорации, субъекты КИИ и организации, уже использующие Linux или переходящие на этот софт в рамках импортозамещения. Возможность установки MaxPatrol SIEM на отечественные дистрибутивы ОС особенно актуальна для российских компаний в сложившихся реалиях. Система также поддерживает работу с Debian 10.
Мы давно ощущали потребность клиентов в использовании единой платформы для всех компонентов продукта. Это значительно упрощает развертывание системы и ее эксплуатацию, что является основным приоритетом компании в развитии своих ИБ-решений. А поддержка отечественных дистрибутивов Linux упрощает выполнение требований по импортозамещению, прокомментировал Роман Сергеев, менеджер по развитию продукта MaxPatrol SIEM, Positive Technologies.
|
По данным Positive Technologies, 15% специалистов по информационной безопасности относят мониторинг ИБ в подчиненных подразделениях к наиболее трудоемким действиям в SIEM-системе. Эта проблема характерна в первую очередь для организаций с крупной территориально разветвленной инфраструктурой. Благодаря распределенному поиску событий пользователи MaxPatrol SIEM видят общую картину ИБ и могут быстрее выявлять сложные нетиповые атаки, направленные на инфраструктуру как отдельного подразделения, так и всего предприятия в целом. События со всех инсталляций доступны оператору головной площадки для поиска, фильтрации, группировки, агрегации и выпуска по ним отчетов. Узлы сетевой инфраструктуры, количество которых исчисляется десятками и сотнями тысяч, с точки зрения ИБ различаются по степени значимости. Чтобы операторы без необходимости не отвлекались на менее важные активы, в MaxPatrol SIEM 7.0 добавлена возможность присвоения значимости активам с помощью политики. Так, например, всем контроллерам домена можно присвоить высокий уровень значимости — функция работает автоматически, что избавляет пользователей MaxPatrol SIEM от рутинных операций. При этом в любой момент можно вручную переопределить значимость актива. Начиная с версии 7.0 продукт поддерживает хранилище событий, специально разработанное Positive Technologies, — LogSpace. Его применение повышает эффективность использования дисковых ресурсов в 5–7 раз. Таким образом, пользователи MaxPatrol SIEM могут либо уменьшить свои затраты на аппаратное обеспечение, либо увеличить глубину хранения событий при тех же ресурсах, которые были у них ранее. Кроме того, у клиентов по-прежнему остается возможность использовать привычное хранилище Elasticsearch. Кроме того, в MaxPatrol SIEM 7.0 повышена производительность коррелятора, отвечающего за выявление вредоносной активности: оптимизировано потребление оперативной памяти, увеличена пропускная способность и добавлена возможность использования нескольких ядер процессора. Запросы для фильтрации событий теперь сохраняются в истории и доступны для повторного использования. Это изменение особенно пригодится операторам SIEM-системы при проверке гипотез с помощью PDQL-запросов во время расследований.
MaxPatrol SIEM 7.0 — долгожданный релиз. В нем совмещены обновления, затрагивающие системные изменения (например, возможность использования ОС семейства Linux, включая сертифицированные версии, и переход к проприетарной базе данных, отвечающей запросам клиентов на обработку значительных потоков событий) и архитектурные — горизонтальное масштабирование для распределенного поиска событий. Также в данной версии системы есть множество улучшений, повышающих удобство оперативной работы аналитиков ИБ, расследующих инциденты кибербезопасности. Команда разработки MaxPatrol SIEM сделала значительную работу для эффективного использования продукта в распределенных средах крупных клиентов enterprise-сегмента, подтвердил Эльман Бейбутов, руководитель направления мониторинга событий информационной безопасности Positive Technologies.
|
2021
Выпуск пакета экспертизы для выявления атак на СУБД MySQL
Positive Technologies 2 декабря 2021 года сообщила о том, что в систему выявления инцидентов MaxPatrol SIEM загружен еще один пакет экспертизы с набором правил обнаружения угроз. Установив пакет, пользователи смогут выявлять подозрительную активность в СУБД MySQL Enterprise Edition. Это позволит специалистам оперативно локализовать атаки и не допустить утечки данных или вывода СУБД из строя.
По мнению 78% специалистов по информационной безопасности (ИБ) в России, главная цель, которую преследуют злоумышленники, атакуя их компании, — это кража ценной информации. Во втором квартале 2021 года хакеры крали: персональные данные 36% атак, коммерческую тайну 22%, базы данных клиентов 3%. Компании могут хранить такую информацию в системах управления базами данных.
MySQL — вторая по популярности СУБД в мире. Специалисты Positive Technologies изучили, как атакуют MySQL Enterprise Edition, и создали пакет экспертизы с правилами для обнаружения действий злоумышленников. Данный пакет пятый по счету, направленный на выявление атак на популярные СУБД. В августе 2021 года в MaxPatrol SIEM были загружены наборы правил для выявления атак на PostgreSQL, Oracle Database, Microsoft SQL Server и MongoDB.
`Если злоумышленник получит доступ к СУБД и будет оставаться незамеченным, он сможет контролировать бизнес-процессы компании, нарушать их, если захочет, и более того, это позволит ему расширить атаку и скомпрометировать всю локальную сеть`, - объясняет специалист отдела безопасности бизнес-систем и баз данных Positive Technologies Костяков Александр. |
Благодаря указанным правилам пользователи MaxPatrol SIEM смогут выявить случаи, когда злоумышленники:
- пытаются получить доступ к среде выполнения команд с помощью пользовательских функций user-defined functions (UDF) - позволяют выполнять команды на сервере через базу данных, в итоге злоумышленники могут завладеть инфраструктурой или же развить свою атаку;
- очищают список заблокированных IP-адресов, что может использоваться для обхода запретов на подключение к СУБД;
- подбирают пароль к учетным записям с доступом к MySQL;
- просматривают таблицу аудита в целях разведки, а из таблицы можно узнать IP-адреса пользователей и косвенно их привилегии, что может быть использовано для развития атаки;
- меняют права пользователей или удаляют учетные записи, например, для ограничения доступа администраторов к системе.
Всего пакет экспертизы позволяет выявить 21 подозрительное действие в MySQL. Для того, чтобы начать использовать пакет экспертизы для выявления атак на MySQL, нужно обновить MaxPatrol SIEM до версии 6.1 или же 6.2, а затем установить правила из пакета экспертизы.
Интеграция с «ИВК Кольчуга-К»
Positive Technologies и «Информационная внедренческая компания» 5 октября 2021 года сообщили о завершении интеграции системы выявления инцидентов MaxPatrol SIEM с межсетевым экраном для защиты данных ограниченного доступа «ИВК Кольчуга-К». Подробнее здесь.
Загрузка пакета для обнаружения признаков компрометации межсетевых экранов, маршрутизаторов и коммутаторов
31 августа 2021 года компания Positive Technologies сообщила о том, что в систему выявления инцидентов MaxPatrol SIEM загружен еще один пакет экспертизы. Он включает в себя правила обнаружения признаков компрометации межсетевых экранов, маршрутизаторов и коммутаторов. Скомпрометировав такие сетевые устройства, злоумышленники могут быстро развить атаку внутри сети и добраться до своих целей.
Установив пакет экспертизы, пользователи MaxPatrol SIEM смогут выявлять индикаторы компрометации межсетевых экранов Cisco ASA и Check Point с операционной системой GAiA, маршрутизаторов и коммутаторов MikroTik и Cisco с операционной системой iOS. Измененные правила позволят оперативно локализовать атаку до того, как злоумышленники изменят политики доступа в сети и получат доступ в закрытые сегменты.
Добавленный пакет экспертизы MaxPatrol SIEM включил десять индикаторов компрометации, в том числе:
- попытки подключения или успешное подключение к серверу управления Check Point GAiA с помощью утилиты SmartConsole с недоверенного сетевого узла (не входит в список тех, с которых разрешено администрирование устройства);
- изменение параметров логирования на устройстве Cisco ASA, при которых в случае неудачной аутентификации логины пользователей сохраняются в журнале в открытом виде — это позволит злоумышленникам перехватить учетные данные, включая пароли, если пользователь по ошибке введет пароль в поле логина;
- попытка подключения к устройству MikroTik c недоверенного узла с помощью утилиты для администрирования Winbox.
Для выявления некоторых признаков компрометации в сетевых устройствах пользователям пригодится система анализа трафика PT Network Attack Discovery (PT NAD). PT NAD разбирает содержание сетевых пакетов, передающихся в трафике. Вместе продукты дают более полную картину ИТ-инфраструктуры и позволяют точнее выявлять инциденты:
- изменение конфигурационного файла на устройствах Cisco IOS с недоверенного сетевого узла;
- передачу ICMP-пакета большого размера, что может использоваться злоумышленниками для передачи данных, в том числе полезной нагрузки;
- попытки эксплуатации критически опасной уязвимости CVE-2018-0171 в технологии Cisco Smart Install, которая позволяет автоматизировать процесс первоначальной загрузки образа операционной системы некоторых коммутаторов Cisco Systems. Воспользовавшись этой уязвимостью, злоумышленник сможет без аутентификации перезагрузить сетевое оборудование, вызвать временный отказ в обслуживании или выполнить произвольный код.
Чтобы начать использовать данный пакет экспертизы, нужно обновить MaxPatrol SIEM до версий 6.1 или 6.2 и установить правила из пакета экспертизы.
MaxPatrol SIEM 6.2 со скоростью обработки данных до 60 000 событий в секунду
Positive Technologies 24 августа 2021 года сообщила о выпуске обновленной версии системы выявления инцидентов MaxPatrol SIEM — 6.2. Она позволит увеличить скорость обработки данных до 60 000 EPS, оперативнее проводить расследования по всем инсталляциям и распределять этапы сбора событий и их последующую обработку между несколькими системами MaxPatrol SIEM.
По данным IDC, более половины пользователей SIEM-систем — крупные компании от 1000 до 10 000 сотрудников и более. Возможности обновленной версии MaxPatrol SIEM особенно актуальны для организаций с крупной территориально распределенной инфраструктурой.
MaxPatrol SIEM выявляет инциденты в крупнейших российских компаниях. Таким организациям необходимо обеспечивать безопасность не только в головном офисе, но и в филиалах, — комментирует управляющий директор Positive Technologies Алексей Андреев. — Чтобы компании могли максимально охватывать всю иерархическую инфраструктуру, мы планомерно увеличиваем производительность MaxPatrol SIEM. За год скорость обработки выросла в 1,5 раза. |
Чтобы увеличить производительность хранилища событий и сократить расходы на аппаратное обеспечение, пользователи MaxPatrol SIEM 6.2 могут перейти на гибридную схему хранения данных. В этом случае последние суточные индексы будут записываться на высокоскоростные твердотельные накопители (SSD) и со временем будут постепенно перезаписываться на более доступные накопители на жестких магнитных дисках. Это позволяет увеличить скорость обработки событий при одновременном выполнении поисковых запросов.
Среди наиболее трудоемких задач при работе с SIEM-системами 15% специалистов по ИБ отмечают мониторинг ситуации ИБ в подчиненных подразделениях. В версии 6.2 пользователи MaxPatrol SIEM могут быстрее выявлять признаки атак на инфраструктуру всего предприятия в целом. Для этого оператору головной площадки доступен распределенный поиск событий, который позволяет фильтровать события сразу всех подчиненных площадок и видеть общую картину ИБ. Ранее пользователь мог искать события только в рамках отдельных инсталляций. Теперь события сразу со всех площадок доступны для группировки, агрегации, отображения на виджетах и выпуска отчетов по ним.
В организациях, имеющих сложную разветвленную структуру, может потребоваться распределять этапы сбора событий и их последующую обработку между несколькими системами MaxPatrol SIEM. Например, для обработки событий разными наборами правил нормализации или для оптимального распределения нагрузки между серверами. Начиная с версии 6.2 пользователи могут использовать несколько систем MaxPatrol SIEM для обработки одного и того же потока событий: в одной системе будет выполняться централизованный сбор событий, в других— их последующая обработка.
С предыдущей версии MaxPatrol SIEM поддерживает установку на Debian 10, с релиза 6.2 (24.1) прекращена поддержка Debian 9.
Загрузка пакета экспертизы для выявления атак на Oracle Solaris
29 июня 2021 года компания Positive Technologies сообщила о том, что в систему выявления инцидентов MaxPatrol SIEM добавлен пакет экспертизы для выявления атак на операционную систему Oracle Solaris. Правила обнаружения угроз в составе пакета позволят пользователям вовремя выявить присутствие злоумышленника и предупредить нарушение работы системы.
Oracle Solaris — это Unix-подобная операционная система, которую крупные компании часто используют для развертывания автоматизированных систем управления процессами, базами данных, например Oracle Database, и веб-серверами, — комментирует Евгений Полонский, специалист отдела безопасности систем семейства Unix Positive Technologies. — Заполучив доступ к системе с Oracle Solaris, злоумышленники смогут управлять ею, даже отключить или повредить, а также скомпрометировать данные. |
Чтобы помочь компаниям обеспечить безопасность систем, развернутых на Oracle Solaris, эксперты Positive Technologies разработали способы обнаружения популярных угроз. Они объединены в единый пакет экспертизы. Правила в его составе обнаруживают применение нескольких техник из матрицы MITRE ATT&CK, которые используются злоумышленниками для закрепления (persistence), разведки (discovery) и взаимодействия с командным центром (command and control). Так, пользователи MaxPatrol SIEM теперь могут выявить:
- запуск средств удаленного подключения reverse shell и bind shell, которые используются злоумышленниками для управления целевой системой;
- активность утилит и автоматических скриптов, запущенных от имени учетных записей веб-сервера, которые атакующие могут применять для получения информации о скомпрометированной системе и ее сетевом окружении на этапе разведки;
- запуск службы или клиента для установки скрытого канала связи или сетевого сканирования;
- активность утилит, которые злоумышленники используют для создания туннелированных соединений (они нужны злоумышленникам для создания канала связи со скомпрометированным узлом).
Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 6.1 и установить правила из пакета экспертизы.
Загрузка пакета экспертизы для выявления атак на SAP NetWeaver Application Server Java
В систему выявления инцидентов MaxPatrol SIEM загружен еще один пакет экспертизы. Об этом Positive Technologies (Позитив Текнолоджиз) сообщил 28 мая 2021 года. Он обнаруживает подозрительную активность пользователей в платформе для приложений SAP NetWeaver Application Server Java. Обновленные правила позволят вовремя предотвратить доступ злоумышленников к системе SAP, атаки типа «отказ в обслуживании» и повышение привилегий до уровня администратора.
Многие компании используют бизнес-приложения SAP для управления финансовыми потоками, жизненным циклом продуктов, взаимодействием с поставщиками и клиентами, ресурсами предприятия, критически важными бизнес-процессами. Поэтому защищенность хранящейся в системах SAP информации имеет огромное значение, а нарушение ее конфиденциальности может привести к катастрофическим для бизнеса последствиям, — отмечает специалист отдела безопасности бизнес-систем и баз данных Positive Technologies Станислав Завгородний. |
По данным на 2019 год, доля вендора на мировом рынке бизнес-приложений составляет 7,7%. Платформа SAP NetWeaver Application Server выполняет роль сервера бизнес-приложений SAP. На языке Java из них написаны портал для внутренних коммуникаций SAP Portal и SAP Process Integration, которое интегрирует SAP- и другие приложения.
Эксперты Positive Technologies разработали специальный пакет экспертизы для выявления атак на SAP NetWeaver Application Server Java. В него вошли 10 правил обнаружения угроз. Правила позволяют выявить применение нескольких техник атак из матрицы MITRE ATT&CK, которые используются злоумышленниками для повышения привилегий, получения учетных данных и воздействия на скомпрометированные системы. Например, с помощью этого пакета пользователи могут обнаружить случаи, когда злоумышленники:
- пытаются подобрать пароль к учетным записям;
- добавляют пользователя в группу администраторов системы SAP, чтобы повысить свои привилегии;
- пытаются войти в систему SAP под одной учетной записью с разных устройств;
- сбрасывают пароль для одной учетной записи несколько раз в течение 5 минут;
- реализуют атаку «отказ в обслуживании», намеренно вводя неверные пароли к учетным записям пользователей для их автоматической блокировки.
Чтобы начать использовать данный пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 6.1 и установить правила из пакета экспертизы.
Загрузка пакета экспертизы для обнаружения злоумышленников в СУБД MongoDB
В систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы, позволяющий оперативно обнаружить присутствие злоумышленников в системах управления баз данных MongoDB Enterprise Server. Правила выявления угроз помогут выявить их активность на разных этапах атаки и не допустить кражи данных и вывода системы из строя. Об этом 27 апреля 2021 года сообщила компания Positive Technologies (Позитив Текнолоджиз).
Согласно исследованиям разработчика, получение данных остается главным мотивом кибератак на компании – среди всех киберинцидентов на их долю приходится 61%. Чаще всего злоумышленникам удается завладеть персональными данными организаций (32%), коммерческой тайной (26%) и учетными данными (20%). Такие сведения могут храниться в системах управления баз данных.
Зачастую из-за некорректной конфигурации СУБД MongoDB может стать открытой, доступной из глобальной сети для любого пользователя, — комментирует Ян Губер, специалист отдела безопасности бизнес-систем и баз данных, Positive Technologies. — В России по данным на апрель 2021 года около 1600 публично доступных серверов MongoDB. Такие СУБД злоумышленники могут найти с помощью специализированных поисковых систем и легко завладеть конфиденциальными данными в них. Из-за простоты доступа к данным серверы MongoDB остаются под прицелом хакеров. |
Чтобы пользователи MaxPatrol SIEM, в чьей ИТ-инфраструктуре есть MongoDB Enterprise Server, усилили свой уровень защищенности, Positive Technologies выпустила специальный пакет экспертизы.
В пакет экспертизы вошли правила выявления атак на этапах повышения привилегий, получения учетных данных, исследования системы и воздействия на нее. Установив пакет экспертизы, пользователи MaxPatrol SIEM смогут обнаружить такие подозрительные действия, как:
- создание пользователей с высокими привилегиями,
- создание резервной копии или удаление баз данных,
- просмотр данных о пользователях и их паролей,
- получение информации о ролях пользователей,
- подключение с популярных дистрибутивов для тестирования на проникновение,
- множественное удаление коллекций.
Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 6.1 и установить правила из пакета экспертизы.
Выпуск лицензии MaxPatrol SIEM All-in-One для небольших кредитных организаций
Positive Technologies 8 апреля 2021 года выпустила специальную лицензию системы выявления инцидентов MaxPatrol SIEM All-in-One для небольших кредитных организаций.
По данным Positive Technologies, треть всех компаний, использующих SIEM, составляют финансовые организации. При этом доля финансовых компаний с низким бюджетом на ИБ (от 2 до 5 млн рублей в год) составляет 5%, от 5 до 10 млн рублей – 19%. SIEM-системы начинают использовать компании при наличии бюджета на ИБ свыше 10 млн рублей в год.
С помощью MaxPatrol SIEM All-in-One кредитные организации могут выявлять атаки в реальном времени и значительно усилить защищенность критически важной инфраструктуры. Даже имея ограниченный бюджет и независимо от текущего уровня зрелости ИБ компании смогут получить качественную, хорошо зарекомендовавшую себя среди игроков финансовой отрасли SIEM-систему, – комментирует Наталия Казанькова, менеджер по продуктовому маркетингу Positive Technologies. – Продукт покрывает 108 технических мер ГОСТ Р 57580.1-2017 и сертифицирован по требованиям ФСТЭК России. |
Даже небольшие банки теперь смогут обеспечить соответствие Национальному стандарту РФ ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер». Специально для компаний данной сферы с небольшой ИТ-инфраструктурой Positive Technologies выпустила лицензию на 100 сетевых узлов. Ее стоимость ― 2,2 миллиона рублей. Цена является рекомендованной для авторизованных партнеров Positive Technologies и может быть снижена по их усмотрению.
В компании напомнили, с 1 января 2021 года ГОСТ Р 57580.1-2017 стал обязательным для всех кредитных организаций (на основании Положения Банка России № 683-П от 17 апреля 2019 года).
Для соответствия ГОСТ Р 57580.1-2017 банкам необходимы SIEM-системы, поскольку они позволяют реализовать меры процесса «Управление инцидентами защиты информации». В этот процесс входят 33 обязательные технические меры по мониторингу и анализу событий защиты информации, обнаружению инцидентов и реагированию на них. Помимо мер процесса управление инцидентами защиты информации, MaxPatrol SIEM All-in-One позволяет покрыть еще 75 технических мер ГОСТ.
Возможность выявления злоумышленников в платформе VMware vSphere
Пользователи системы выявления инцидентов MaxPatrol SIEM 6.1 могут выявлять активность злоумышленников в платформе виртуализации VMware vSphere. Об этом Positive Technologies (Позитив Текнолоджиз) сообщила 19 февраля 2021 года. Это поможет предотвратить кражу данных, нарушение работы средств защиты, простои в бизнес-процессах и другие последствия атак на виртуальную инфраструктуру.
VMware — один из разработчиков ПО для виртуализации. Согласно исследованию компании Spiceworks, 79% крупного бизнеса в мире использует vSphere.
Больше 90% компаний разворачивают основную часть серверной инфраструктуры в виртуальной среде, — комментирует Кирилл Антоненко, руководитель отдела безопасности систем семейства Unix компании Positive Technologies. — Это удобно, но связано с риском: могут возникнуть проблемы, если злоумышленники завладеют учетной записью vSphere и получат доступ ко всей виртуальной инфраструктуре. |
Данный пакет экспертизы включает в себя правила обнаружения угроз, которые могут быть реализованы атакующими после получения доступа к vSphere. Правила сигнализируют, когда злоумышленники:
- клонируют критически важные виртуальные машины, например контроллеры домена, VPN-, DNS- или DHCP-серверы. Скопировав такую машину, атакующие могут детально изучать ее и извлечь ценные данные, не привлекая внимания средств безопасности;
- копируют файлы с жесткого диска критически важного виртуального сервера;
·*пытаются отключить виртуальные машины, на которых развернуты средства защиты информации, или меняют их параметры. Это может помочь атакующим скрыть дальнейшие свои действия от антивирусов, межсетевых экранов, SIEM-систем.
Виртуальные машины с критически важными данными и с системами защиты информации MaxPatrol SIEM определяет автоматически по закрепленными за ними ролями в сети и установленному на них ПО. Список машин для мониторинга можно дополнить вручную.
MaxPatrol SIEM 6.1
16 февраля 2021 года компания Positive Technologies сообщила о впуске версии 6.1 системы выявления инцидентов безопасности MaxPatrol SIEM. Она позволяет быстро находить и актуализировать IT-активы с устаревшими данными, хранить инциденты в базе данных PostgreSQL и следить за загруженностью коррелятора.
По информации компании, ранее при запуске сбора данных задачи на сканирование сети сразу распределялись по агентам. Это могло приводить к неравномерной загруженности агентов и накоплению очередей из задач. Теперь задачи распределяются по агентам по мере освобождения их ресурсов. В результате агенты нагружаются более равномерно и данные об IT-активах в сети актуализируются быстрее.
Чтобы постоянно поддерживать актуальность информации об IT-инфраструктуре, пользователи MaxPatrol SIEM 6.1 могут задавать срок устаревания сведений об активах. Отслеживать активы с неактуальными данными можно с помощью специального виджета и фильтрации активов.
При расследовании инцидентов важно отслеживать изменения на IT-активах. Ранее фильтрация по базе данных позволяла увидеть данные об активах только по состоянию на текущий момент. Для поиска сведений об их состоянии приходилось заходить в карточку каждого отдельного актива. В MaxPatrol SIEM 6.1 в строке поиска можно задавать конкретный момент или период времени в прошлом: для этого предусмотрены специальные поля в интерфейсе и PDQL-запросы.
Выявленные инциденты безопасности в MaxPatrol SIEM теперь хранятся в системе управления базами данных PostgreSQL. Ранее в продукте использовалась СУБД Microsoft SQL Server, которая ограничивала размер базы данных до 10 ГБ. При достижении этого объема приходилось очищать базу вручную или докупать лицензию на SQL Server без лимита. С переходом на PostgreSQL пользователи MaxPatrol SIEM не ограничены в объеме сведений об инцидентах, которые могут храниться и обрабатываться в продукте.
Мы выбрали СУБД PostgreSQL, поскольку она кроссплатформенная, работает и на Windows, и на Linux. Это важно, поскольку в следующей версии MaxPatrol SIEM мы планируем дать пользователям возможность полностью устанавливать продукт на Linux. рассказал Алексей Андреев, управляющий директор департамента исследований и разработки Positive Technologies |
В MaxPatrol SIEM 6.1 появились дополнительные возможности для работы с дашбордами. Теперь пользователи могут разместить на дашборде любое количество виджетов в оптимальном порядке. Ширину виджета можно менять. Также дашбордами теперь можно делиться с коллегами. Для этого дашборд нужно сохранить как шаблон, которым могут воспользоваться другие пользователи текущей инсталляции MaxPatrol SIEM. Еще одно изменение — появление двух новых виджетов, которые позволяют контролировать количество активов без указанного уровня значимости и актуальность сведений об активах (предварительно нужно задать срок их устаревания).
В MaxPatrol SIEM 6.1 добавлены поля событий, связанные с аутентификацией пользователей, действиями с учетными записями и группами, запуском процессов и выполнением запросов. Их можно начать применять в правилах нормализации событий и правилах обнаружения угроз (правилах корреляции).
MaxPatrol SIEM 6.1 определяет правила корреляции, которые потребляют больше всего оперативной памяти и дополнительно нагружают коррелятор. Это позволяет понять, какие правила стоит переписать или донастроить, чтобы они срабатывали точнее — без долгого ожидания недостающих условий срабатывания.
MaxPatrol SIEM 6.1 поддерживает импорт данных в базу знаний PT Knowledge Base, обновленные версии поискового движка Elasticsearch и операционной системы Debian. Продукт обновляется и устанавливается на 25% быстрее за счет оптимизации инсталлятора.
2020
Загрузка пакета экспертизы для выявления подозрительной активности в СУБД PostgreSQL
Система выявления инцидентов MaxPatrol SIEM пополнилась пакетом экспертизы для выявления подозрительной активности в системах управления базами данных PostgreSQL. Об этом 5 ноября 2020 года сообщила компания Positive Technologies (Позитив Текнолоджиз).
Правила в составе пакета помогут пользователям оперативно обнаружить злоумышленников и не допустить кражи данных и вывода системы из строя.
PostgreSQL — третья по распространенности СУБД в российских государственных учреждениях и крупных компаниях; в 2019 году ее использовали в 51% таких организаций. По данным Positive Technologies, получение данных было главным мотивом действий злоумышленников во втором квартале 2020 года. Чаще всего крадут учетные и персональные данные, информацию, относящуюся к коммерческой тайне, и базы данных клиентов — на долю таких сведений пришлось 80% хищений. Подобные данные обычно содержатся в системах управления базами данных, поэтому СУБД часто становятся целью атак злоумышленников.
Для пользователей MaxPatrol SIEM, в чьих инфраструктурах есть СУБД PostgreSQL, команда R&D Positive Technologies выпустила пакет экспертизы с правилами для выявления атак, проводимых с помощью запросов к СУБД. Правила помогают обнаружить такие подозрительные действия, как:
- отправка команд для определения версии базы данных (свидетельствует о начале атаки на СУБД),
- чтение таблиц, содержащих хеш-суммы паролей,
- отключение аудита,
- изменение уровня важности сообщений аудита для сокрытия действий,
- изменение метода аутентификации для повышения вероятности компрометации пользователя или роли в системе,
- отключение политики защиты строк для таблицы,
- отключение шифрования канала передачи данных (SSL),
- перезагрузка конфигурации сервера,
- запуск встроенных приложений операционной системы с возможностью выполнения произвольных команд.
Каждое из перечисленных действий требует расследования.
Это третий пакет экспертизы в MaxPatrol SIEM, созданный для детектирования подозрительной активности в СУБД. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на Oracle Database и Microsoft SQL Server.
Третий пакет экспертизы для выявления атак в ОС семейства Linux
В систему выявления инцидентов MaxPatrol SIEM загружен третий пакет экспертизы для выявления атак в операционных системах семейства Linux. Он позволит обнаружить действия, которые могут свидетельствовать о компрометации системы и развитии атаки на ИТ-инфраструктуру организации, сообщили 24 августа 2020 года в компании Positive Technologies.
Очередная серия правил дополняет два предыдущих пакета экспертизы, посвященных Linux-системам: для выявления подозрительной сетевой активности и изменений системных объектов. В состав пакета вошли правила обнаружения угроз, которые позволяют пользователям MaxPatrol SIEM выявить локальную разведку при входе в Linux-систему, просмотр содержимого чужих домашних каталогов, запуск команд для повышения привилегий и использование хакерских утилит для дальнейшего развития атаки.
Linux является популярной операционной системой на рынках облачных сервисов, суперкомпьютеров, а также веб-серверов. По данным исследования компании W3Techs, Linux поддерживает 70% веб-сайтов из наиболее популярных 10 млн доменов по рейтингу Alexa. Такие серверы могут стать точкой проникновения злоумышленников в сеть организации, если в развернутых на них веб-приложениях есть уязвимости.
«Представленный пакет экспертизы — это расширение покрытия матрицы MITRE ATT&CK и укрепление еще одного эшелона защиты Linux-систем, — рассказал Кирилл Антоненко, руководитель отдела безопасности систем семейства Unix, Positive Technologies. — Злоумышленники могут попасть в систему различными способами, которые трудно отличить от легитимных действий пользователей и которые не вызывают срабатывания SIEM-систем. Но если они начнут проводить локальную разведку, пытаться повышать привилегии, закрепляться в системе или развивать атаку, правила корреляции в составе двух последних пакетов помогут вовремя это выявить и остановить атаку». |
Пакет экспертизы доступен пользователям MaxPatrol SIEM версии 6.0. Установка пакета выполняется автоматически при обновлении Positive Technologies Knowledge Base.
Интеграция с Dr.Web Enterprise Security Suite 9-12
Компании, использующие продукты комплекса Dr.Web Enterprise Security Suite и выявляющие инциденты ИБ с помощью MaxPatrol SIEM, смогут подключить решения Dr.Web актуальных версий в качестве источников данных для мониторинга безопасности. Об этом 5 августа 2020 года сообщила компания Positive Technologies. Подробнее здесь.
Загрузка пакета для обнаружения подозрительных активностей по анализу событий от сетевых устройств
В систему выявления инцидентов MaxPatrol SIEM загружен двадцатый пакет экспертизы. Об этом 23 июля 2020 года сообщила Positive Technologies. Он позволяет выявить семь подозрительных активностей по анализу событий от сетевых устройств. Это поможет пользователям MaxPatrol SIEM оперативно локализовать атаки до того, как произойдет утечка данных, вывод из строя оборудования или запуск вредоносного ПО.
Источниками событий могут быть маршрутизаторы и коммутаторы Cisco, межсетевые экраны Check Point с операционной системой GAiA, Cisco ASA, FortiGate, Palo Alto Networks PAN-OS, Juniper Junos OS. Теперь MaxPatrol SIEM выявляет следующие потенциально опасные сетевые активности:
- Попытки эксплуатации уязвимости CVE-2018-0156 в технологии Cisco Smart Install, которая позволяет автоматизировать процесс первоначальной загрузки образа операционной системы некоторых коммутаторов Cisco Systems. Воспользовавшись этой уязвимостью, злоумышленник сможет без аутентификации перезагрузить сетевое оборудование, изменить его настройки и вызвать временный отказ в обслуживании.
- Подключение к сторонним почтовым сервисам. Такие действия могут быть запрещены политиками безопасности организации.
- Ошибки аутентификации протоколов семейства FHRP (протоколы резервирования основного шлюза). Ошибка возникает в случае мисконфигурации на сетевом оборудовании или атаки на FHRP-протокол. Успешная реализация атаки позволит злоумышленнику получить доступ к сетевому трафику организации.
- Запрос информации по протоколу SNMP. Это событие свидетельствует о попытках атакующего подобрать пароль для доступа к оборудованию или получить информацию о сети предприятия.
- Фрагментированный UDP-трафик. Фрагментация часто используется при попытках обойти системы обнаружения атак, поэтому фрагментированные пакеты подлежат фильтрации.
- Подключение к внешним VPN-серверам. Организация туннелей из корпоративной сети может свидетельствовать о нарушении периметра и попытках злоумышленника передать вовне информацию с атакованного узла.
- Использование сторонних DNS-серверов. С помощью DNS злоумышленники могут перенаправить трафик на свои ресурсы. Также DNS может быть использован как канал управления вредоносным ПО.
Сетевые атаки не пользуются большой популярностью у злоумышленников в силу сложности их выполнения. Однако, по нашему опыту, встречаются в качестве одного из этапов целевой атаки и по своим последствиям представляют серьезную угрозу для организаций, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Ранее в MaxPatrol SIEM был загружен пакет, позволяющий выявлять сетевые аномалии при удаленной работе. Теперь MaxPatrol SIEM покрывает еще больше тактик злоумышленников. В наших планах — постепенно расширять набор правил корреляции для выявления аномальной сетевой активности. |
Загрузка пакета для обнаружения вредоносных техник «Повышение привилегий» и «Управление и контроль»
В систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы, позволяющий выявлять злоумышленников на этапе, когда они связываются с атакованными машинами или пытаются повысить привилегии в системе до уровня администратора, чтобы развивать атаку. Об этом 29 июня 2020 года сообщила компания Positive Technologies (Позитив Текнолоджиз).
Правила, вошедшие в состав девятнадцатого пакета экспертизы, детектируют применение техник «Повышение привилегий» (privilege escalation) и «Управление и контроль» (сommand and control) по модели MITRE ATT&CK2. Текущий пакет экспертизы — это шестой пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик.
Применение техник повышения привилегий говорит о попытках злоумышленников получить в атакуемой системе разрешения более высокого уровня. Для этого они эксплуатируют ошибки конфигурации и уязвимости. Техники "Управление и контроль" применяются тогда, когда атакующим нужно связаться с подконтрольными системами в сети жертвы, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов безопасности Positive Technologies (PT Expert Security Center). — Чтобы скрыть следы, злоумышленники имитируют обычное поведение в трафике, используют встроенные инструменты операционных систем. Представленный пакет экспертизы поможет специалистам обнаружить эти действия и вовремя принять меры. |
Пакет экспертизы включает в себя правила детектирования, которые помогают выявить следующие подозрительные действия: создание зловредной библиотеки, запуск исполняемых файлов от имени другого пользователя, запуск командной строки от имени системы, загрузку и запуск вредоносного ПО, проксирование портов, нелегитимное интернет-соединение, идущее от исполняемых файлов. Своевременное выявление этих действий позволит предотвратить дальнейшее продвижение злоумышленников и не даст им закрепиться в инфраструктуре.
Также эксперты Positive Technologies обновили пакеты экспертизы, покрывающие тактики выполнения (execution) и закрепления (persistence). Теперь пользователи смогут выявлять попытки использования злоумышленниками стандартных приложений Windows для нелегитимных действий и подмены или модификации исполняемого файла.
Появление в MaxPatrol SIEM 6 чек-листа для быстрой настройки продукта
23 июня 2020 года компания Positive Technologies сообщила о выпуске шестой версии системы выявления инцидентов безопасности MaxPatrol SIEM. Разработчики продукта продолжают снижать трудозатраты специалистов на работу в SIEM-системах. Для этого они добавили в следующую версию чек-лист для настройки продукта, упростили работу с ложными срабатываниями и улучшили уведомления.
По данным опроса Positive Technologies, 25% специалистов проводят в SIEM-системах от двух до четырех часов ежедневно, а 22% опрошенных — больше половины рабочего дня. Причем 62% респондентов отметили, что за последний год это время увеличилось.
Последний год наши усилия направлены на то, чтобы продукт получил как можно больше функций, позволяющих снижать требования к специалистам для работы с продуктом и сокращать их трудозатраты. Для этого, в частности, мы ежемесячно поставляем в продукт пакеты экспертизы с готовыми правилами корреляции, добавили конструктор для написания собственных правил, а в новой версии выпустили чек-лист для настройки системы и упростили работу с ложными срабатываниями, — комментирует управляющий директор департамента исследований и разработки Positive Technologies Алексей Андреев |
Чтобы пользователи MaxPatrol SIEM смогли получить работающую систему, не изучая много документации, в следующей версии появился чек-лист настройки. В нем 11 шагов, необходимых для старта системы. Для каждого шага есть инструкция, которую нужно выполнить, и ссылки на подробные материалы.
Самая трудоемкая задача при работе в SIEM-системе — обработка ложных срабатываний. Пользователи MaxPatrol SIEM 6 смогут в пару кликов добавлять исключения для правил обнаружения угроз, что позволит быстро исключить повторные ложные срабатывания. Для этого пользователю нужно отметить в событиях параметры, на которые правило в дальнейшем не будет реагировать, например адрес сетевого узла или имя конкретного пользователя.
Еще одно изменение: теперь пользователи MaxPatrol SIEM будут получать уведомления о необходимости донастроить систему или о новых пакетах экспертизы — прямо в интерфейсе. Кликнув на такое уведомление, пользователь увидит соответствующий раздел продукта. Новые пакеты экспертизы теперь отмечаются специальным маркером.
В следующей версии пользователи могут создавать виджеты по табличным спискам. Это поможет отследить обновление списков и при необходимости быстро отреагировать на происходящее. Например, можно мониторить пополнение списка сотрудников, учетные записи которых были активны ночью или в выходные, или отслеживать список адресов электронной почты, с которых сотрудникам приходит много спама.
Также в следующую версию добавлена поддержка операционных систем Windows Server 2016 и Windows Server 2019 для развертывания MaxPatrol SIEM.
SIEM-системы стали одной из ключевых технологий в обеспечении ИБ и основным инструментом работы security operations centers (SOC). Число компаний, использующих MaxPatrol SIEM, за последние пять лет достигло 260. В общем финансовом результате 2019 года Positive Technologies на долю MaxPatrol SIEM приходится около 30%.
Запуск сервисов по мониторингу событий CyberART на базе MaxPatrol SIEM
Оператор сервисов киберзащиты CyberART (входит в ГК InnoSTage) запустил коммерческие сервисы по мониторингу событий ИБ на базе MaxPatrol SIEM. Об этом InnoSTage сообщил 8 июня 2020 года. Подробнее здесь.
Загрузка пакета выявления попыток закрепления атакующих в инфраструктурах на базе операционной системы Linux
В систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы, предназначенный для выявления подозрительных изменений системных объектов на узлах с ОС семейства Linux. Теперь пользователи MaxPatrol SIEM могут обнаружить действия злоумышленника, который уже проник в ИТ-инфраструктуру, — его попытки закрепиться в ней, повысить привилегии или скрыть следы. Об этом 27 мая 2020 года сообщила компания Positive Technologies.
Linux-системы — цель для злоумышленников: они часто выступают в роли веб-серверов или могут содержать критически важные для бизнеса активы, например базы данных, SAP или «1C». Интерес атакующих к ним объясняется и тем, что Linux-системы, как правило, разворачивают на периметре организации, поэтому их взлом нередко сразу приводит злоумышленников во внутреннюю сеть. Чтобы помочь компаниям с Linux-инфраструктурой обеспечить безопасность, эксперты Positive Technologies разработали набор специфических способов обнаружения угроз.
Ранее в систему выявления инцидентов MaxPatrol SIEM уже был загружен пакет экспертизы для выявления атак в ОС семейства Linux. Обновленная серия правил детектирования дополняет предыдущие.
Правила, вошедшие в состав восемнадцатого пакета экспертизы, детектируют применение техник «Получение учетных данных» (Credential Access) и «Закрепление» (Persistence) по матрице MITRE ATT&CK и помогают обнаружить попытки злоумышленников:
- получить информацию, позволяющую авторизоваться в системе от имени легитимного пользователя (например, SSH-ключи пользователя ОС);
- изменить системные файлы, например сценарии запуска ОС, конфигурационные файлы ОС, системные библиотеки или исполняемые файлы для того, чтобы обеспечить постоянный беспрепятственный доступ (бэкдор) в скомпрометированную систему или повысить привилегии.
Таким образом, пользователи смогут обнаружить злоумышленника, который уже проник в систему, и детектировать его дальнейшее продвижение. Выявление подозрительных изменений системных объектов может оказаться последней возможностью заметить злоумышленника в конкретной системе. Иначе киберпреступникам удастся получить все необходимые привилегии, чтобы надежно закрепиться, и тогда обнаружить их станет практически невозможно.
Кроме того, эксперты Positive Technologies обновили предыдущий пакет экспертизы, изменения коснулись удобства работы с правилами при обработке инцидентов.
Solar JSOC выявил десять целевых атак с помощью MaxPatrol SIEM
13 мая 2020 года компания «Ростелеком-Солар» сообщила, что Solar JSOC выявил десять целевых атак с помощью MaxPatrol SIEM. Подробнее здесь.
Загрузка пакета выявления сценариев подозрительной активности в сети при организации удаленного доступа с помощью Palo Alto Networks
8 мая 2020 года Positive Technologies сообщила, что пакет экспертизы для выявления сетевых аномалий при удаленной работе получил второе обновление. Теперь он покрывает еще пять сценариев, среди которых случаи подозрительной активности в сети при организации удаленного доступа с помощью межсетевого экрана Palo Alto Networks.
По результатам опроса специалистов по ИТ и ИБ, проведенного Positive Technologies, межсетевой экран Palo Alto Networks входит в пятерку наиболее популярных способов организации удаленного доступа в крупных компаниях. Поэтому специалисты Positive Technologies разработали правила обнаружения угроз, актуальные для такой системы, и загрузили их в MaxPatrol SIEM.
Теперь MaxPatrol SIEM выявляет атаки методом перебора на подсистему VPN межсетевого экрана Palo Alto (это может помешать злоумышленникам завладеть паролем для подключения в корпоративную сеть) и обнаруживает дублирующиеся VPN-подключения к межсетевому экрану, что свидетельствует о нелегитимном доступе.
Для тех компаний, в которых удаленный доступ организован с помощью межсетевого экрана Palo Alto или других популярных firewall, актуален сценарий выявления прямых VPN-подключений между двумя клиентскими узлами. Такая подозрительная активность в числе прочего свидетельствует о том, что устройство сотрудника скомпрометировано из внешней сети.
За месяц нам удалось собрать набор правил для выявления аномалий в работе самых популярных систем для организации удаленного доступа: OpenVPN, RDG, межсетевые экраны Cisco ASA, Check Point и Palo Alto, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — С учетом двух обновлений пакет экспертизы покрывает 16 сценариев. |
Обновление пакета экспертизы также актуально для компаний, в которых удаленный доступ организован с помощью Remote Desktop Gateway. Теперь MaxPatrol SIEM выявляет случаи, когда злоумышленники перемещаются внутри сети по RDP: продукт обнаруживает подключения через RDG к сетевому узлу, от которого есть RDP-соединения на другие узлы. Оперативное реагирование на такую активность позволит предотвратить развитие атаки внутри сети.
Еще один сценарий, требующий оперативного реагирования и выявляемый с помощью пакета экспертизы, — обнаружение повторных подключений от одного имени пользователя к серверу VPN на базе ОС Windows Server.
Выпуск версии MaxPatrol 8
7 мая 2020 года компания Positive Technologies сообщила о выпуске следующей версии системы контроля защищенности и соответствия стандартам безопасности MaxPatrol 8. Внутреннее тестирование, проведенное специалистами Positive Technologies, подтвердило: за счет оптимизации алгоритмов сканирования скорость работы продукта в режиме контроля соответствия стандартам (Compliance) увеличилась в среднем на 30%.
Одной из задач команды разработки MaxPatrol 8 было сокращение времени генерации отчетов. На проведенных внутренних тестах на больших данных удалось получить ускорение примерно в 30 раз — за счет добавления возможности генерации отчетов в отдельных процессах (до пяти одновременно), а благодаря реализованным механизмам отказоустойчивости генерация отчетов продолжается даже при нештатной перезагрузке ядра.
В релиз вошли функциональные возможности, которые призваны упростить работу с продуктом и уменьшить ручную настройку решения. Например, теперь пользователи могут выбрать необходимые стандарты при настройке профиля сканирования. Также при генерации отчета можно включить и исключить каждый тип данных отдельно. Кроме того, при создании расписания сканирования можно задать фильтрацию по принадлежности к подсети — это поможет разделить инвентаризацию активов и поиск уязвимостей.
Задача команды разработки — ускорить выполнение проверок. Уже вышли обновления, которые увеличили производительность продукта в режиме Compliance. Это особенно актуально в случае больших инсталляций. При этом мы не собираемся останавливаться и также планируем сократить время сканирования в режиме Audit, — комментирует Павел Бухтияров, руководитель разработки MaxPatrol 8 |
В рамках работ по увеличению производительности продукта при работе с большими данными была оптимизирована функция консолидации результатов сканирования. Консолидация ускорилась в два раза — по сети, а также примерно на 50% — в файл. Результаты зависят от скорости жесткого диска: чем она быстрее, тем выше производительность.
Помимо релизов с обновленной функциональностью, дважды в неделю выходят плановые обновления в MaxPatrol 8: пополняется база уязвимостей, реализуется поддержка новых систем, добавляются новые стандарты безопасности и обновляется существующая экспертиза.
Загрузка пакета экспертизы для выявления подозрительной активности в сети
14 апреля 2020 года Positive Technologies сообщила, что в MaxPatrol SIEM загружен пакет экспертизы для выявления подозрительной активности в сети, что особенно актуально в связи с удаленной работой пользователей. Пакет покрывает девять аномалий, требующих оперативного расследования.
Из-за перехода компаний на удаленный режим работы у злоумышленников появляются возможности для проникновения в локальную сеть. Чтобы вовремя выявить нелегитимные подключения из-за периметра компании, эксперты Positive Technologies выпустили пакет экспертизы с набором правил для оперативного обнаружения признаков активности злоумышленников.
Примеры аномалий, которые теперь выявляет MaxPatrol SIEM:
- сетевые подключения через туннели,
- попытки подключений к критически важным сегментам сети,
- дублирующиеся удаленные сессии,
- многократные неудачные попытки подключения к узлу с ПО OpenVPN,
- многократные неудачные попытки подключения к межсетевому экрану Cisco ASA,
- включение на локальном межсетевом экране правила доступа, разрешающего устанавливать подключение по RDP,
- подключение по протоколу RDP от сетевого узла с ОС семейства Unix,
- добавление учетной записи пользователя в значимые для ИБ группы ОС Windows,
- повторное подключение по VPN к узлу с ОС Windows.
Поскольку для большинства компаний актуальны угрозы, связанные с удаленным режимом работы, мы решили помочь им усилить безопасность сети с помощью нашей экспертизы. Пакет экспертизы для выявления подозрительной активности в сети, связанной с удаленной работой пользователей, будет пополняться еженедельно, покрывая все больше возможных техник атакующих, комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies
|
Для выбора приоритетов в разработке способов обнаружения угроз Positive Technologies проводит специальный опрос специалистов по ИТ и ИБ. В первую очередь эксперты будут разрабатывать правила корреляции под наиболее распространенные системы организации удаленного доступа.
Загрузка пакета выявления атак на СУБД Microsoft SQL Server
6 апреля 2020 года Positive Technologies сообщила, что очередной пакет экспертизы в MaxPatrol SIEM поможет пользователям выявить подозрительную активность в системах управления базами данных Microsoft SQL Server. В состав пакета вошли правила, которые позволяют обнаружить атаку на разных стадиях — от разведки в скомпрометированной системе до воздействия на отдельные процессы в СУБД и на систему в целом.
Microsoft SQL Server используют 64% компаний крупного бизнеса и государственного сектора. Поскольку в СУБД |хранятся критически важные данные компании (финансовая отчетность, персональные данные клиентов и сотрудников, информация о поставщиках и обязательствах), она может стать объектом внимания злоумышленников. Это подтверждается исследованиями Positive Technologies: по итогам 2019 года в 60% всех инцидентов мотивом злоумышленников была именно кража информации.
Чтобы пользователи MaxPatrol SIEM смогли выявлять факты компрометации базы данных Microsoft SQL до потери критически важных данных, специалисты Positive Technologies подготовили специальный пакет экспертизы. Он включает 23 правила корреляции событий ИБ, которые позволяют выявить подозрительную активность, например: изменение параметров СУБД, влияющих на безопасность системы; получение логинов и паролей учетных записей СУБД; большое количество неудачных попыток входа в систему; создание резервной копии базы данных; отключение аудита для сокрытия действий; создание резервной копии ключа или сертификата шифрования базы данных; чтение и редактирование реестра Windows.
Мы добавили уже второй пакет экспертизы, направленный на выявление атак на популярные СУБД. Наша команда следит за актуальными видами атак на такие системы, чтобы пользователи MaxPatrol SIEM смогли выявить факт компрометации до того, как злоумышленник получит доступ к конфиденциальным данным или выведет систему и бизнес-процессы из строя, комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies
|
Загрузка пакета с 55 правилами для выявления признаков работы распространенных инструментов киберпреступников
19 марта 2020 года компания Positive Technologies сообщила, что в MaxPatrol SIEM загружен очередной (пятнадцатый) пакет экспертизы с 55 правилами для выявления признаков работы распространенных инструментов киберпреступников. Правила детектирования нацелены на обнаружение многофункциональных инструментов — фреймворков, часто используемых злоумышленниками, в том числе в целевых атаках. Пакет экспертизы поможет пользователям MaxPatrol SIEM выявлять активные действия злоумышленников в сети до достижения ими целей атаки.
Злоумышленники используют фреймворки для выполнения задач на разных этапах атаки, от получения доступа в сеть до кражи данных и воздействия на ИТ-инфраструктуру. Для этого фреймворки могут задействовать встроенные утилиты операционных систем или запускать собственные зловредные модули.
Правила в составе пакета экспертизы детектируют активность отдельных модулей распространенных инструментов. В частности, среди этих инструментов Cobalt Strike (используется злоумышленниками для скрытой коммуникации, проведения фишинговых атак и атак через веб-приложения, для закрепления на ресурсах и развития присутствия внутри сети; группировка Cobalt с его помощью атаковала банки), Koadic и Sliver (свободно распространяемое ПО с большим набором функций, от удаленного выполнения команд до повышения привилегий), SharpSploit (набор инструментов для постэксплуатации), SharpWMI (ПО, которое использует механизм Windows Management Instrumentation для удаленного выполнения команд через подписки на события WMI), Rubeus (инструмент для атак на инфраструктуру, использующую протокол Kerberos для аутентификации).
Наши исследования хакерских фреймворков показывают, что в одном инструменте могут сочетаться несколько подходов, которые усложняют детектирование его работы. Один из популярных методов атак — living off the land, когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Второй метод, набирающий популярность, — bring your own land, когда атакующие создают и доставляют на взломанный узел свои собственные инструменты. Мы учли эти методы при разработке правил детектирования, которые выявляют активность хакерских инструментов на разных этапах, в том числе в момент запуска их модулей или отправки команд, комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center
|
MaxPatrol SIEM 5.1
12 марта 2020 года компания Positive Technologies выпустила обновленную версию системы для выявления инцидентов MaxPatrol SIEM. Обновление до MaxPatrol SIEM 5.1 позволит специалистам по ИБ снизить время реагирования на похожие инциденты, гибко управлять ролями пользователей и увеличить скорость обработки данных.
Со слов разработчика, переход на седьмую версию базы данных Elasticsearch увеличил скорость работы продукта более чем на треть. Предыдущая версия MaxPatrol SIEM обрабатывала до 30 тысяч событий в секунду (events per second – EPS), в обновленной версии показатель EPS превышает 40 тысяч на одной инсталляции. За счет архитектуры базы данных Elasticsearch пользователи MaxPatrol SIEM 5.1 могут оперативно извлекать архивные данные и работать с ними без потребности восстановления событий из резервных копий.
В MaxPatrol SIEM 5.1 появилась гибкая модель управления ролями пользователей. Если ранее в системе можно было задать две роли — «Администратор» или «Оператор», то в представленной версии SIEM-администраторы смогут создавать дополнительные роли, предоставляя или ограничивая доступ к определенным разделам продукта. Такая функциональность особенно актуальна для компаний с иерархической или географически распределенной инфраструктурой, когда необходимо дать возможность пользователям работать только с теми данными, которые относятся к их области мониторинга, считают в Positive Technologies.
Согласно заявлению разработчика, в обновленной версии MaxPatrol SIEM появился еще один способ обнаружить атаку, которая произошла в прошлом. Ранее система ретроспективно выявляла инциденты с помощью индикаторов компрометации, теперь это также возможно по правилам корреляции (правилам детектирования угроз). Так, создав новое правило или загрузив очередной пакет экспертизы, пользователи могут проверять полученные ранее события на наличие в них угроз безопасности.
Использование и загрузка пакетов экспертизы стали удобнее. Для установки пакета из базы знаний достаточно двух кликов, а описание состава пакета с рекомендациями по настройке и реагированию на инциденты доступно прямо в интерфейсе продукта, подчеркнули в Positive Technologies.
Чтобы помочь пользователям снизить трудозатраты на реагирование на схожие подозрительные события, в MaxPatrol SIEM была реализована возможность настройки их агрегации в один инцидент (ранее инциденты объединялись только автоматически). Для этого пользователю нужно задать условия агрегации по любым параметрам событий. К примеру, несколько последовательных срабатываний на попытки подбора пароля к одной учетной записи можно задать как один инцидент.
Для анализа и обработки событий ИБ из разных систем события нужно привести к единому формату. Для этого в SIEM-системах используются формулы нормализации. Ранее пользователи MaxPatrol SIEM видели только события, уже приведенные к единому формату. С обновленной версией им доступна возможность просмотра «сырых» событий до их нормализации. Это важно, поскольку системы, подключенные к SIEM, регулярно обновляются, что может повлиять на формат передаваемых данных. Анализ «сырых» событий поможет пользователям MaxPatrol SIEM выявить ошибки и учесть их в формулах нормализации, чтобы получать все необходимые данные для выявления инцидентов в полном объеме, утверждают в Positive Technologies.
Для перехода на MaxPatrol SIEM 5.1 необходимо обратиться к партнерам Positive Technologies или в техническую поддержку.
Загрузка пакета детектирования 15 популярных техник разведки
Пользователи системы MaxPatrol SIEM теперь могут выявлять злоумышленников на этапе, когда они собирают данные о скомпрометированной сети, чтобы развивать свою атаку. Об этом 28 января 2020 года сообщила компания Positive Technologies. Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK[1].
После получения постоянного доступа к сети жертвы злоумышленникам требуется определить, где в инфраструктуре они находятся, что их окружает и что они могут контролировать. Во время разведки атакующие собирают данные о скомпрометированной системе и внутренней сети, и это помогает им сориентироваться, чтобы решить, как действовать дальше. Для этого злоумышленники часто используют встроенные инструменты операционных систем.
Обновленный пакет экспертизы[2] включает в себя правила детектирования 15 популярных техник разведки. Теперь пользователи смогут обнаружить активность злоумышленников еще во время их попыток получить список учетных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты.
Отличить активность атакующих, которые проводят разведку, от легитимных запросов обычных пользователей непросто. Если злоумышленники действуют под учетной записью реального пользователя и используют встроенные утилиты, то их активность, как правило, теряется в потоке событий. Данный пакет экспертизы поможет обратить внимание специалистов по ИБ на события, которые на первый взгляд могут не вызывать подозрений, комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center
|
Пакет экспертизы, посвященный тактике «Разведка» (Discovery), — это пятый пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик. Пакеты, ранее загруженные в MaxPatrol SIEM, продолжают пополняться правилами по мере появления способов обнаружения атак[3]. Так, одновременно с выходом пятого пакета экспертизы первый пакет из серии получил 14 правил корреляции для выявления техник выполнения кода и обхода защиты.
2019
Загрузка пакета экспертизы для выявления атак в операционных системах семейства Linux
26 ноября 2019 года компания Positive Technologies сообщила, что в систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы для выявления атак в операционных системах семейства Linux. Он помогает обнаружить подозрительную сетевую активность приложений и учетных записей, что позволит предотвратить развитие атаки.
Linux является популярной операционной системой на рынках облачных сервисов, суперкомпьютеров, а также веб-серверов. По данным исследованиякомпании W3Techs, Linux поддерживает 70% веб-сайтов из наиболее популярных 10 миллионов доменов по рейтингу Alexa. Такие серверы могут стать точкой проникновения злоумышленников в сеть организации, если в развернутых на них веб-приложениях есть уязвимости. Чтобы помочь компаниям с Linux-инфраструктурой обеспечить ее безопасность, эксперты Positive Technologies разработали способы обнаружения популярных угроз.
Linux-системы часто выступают в роли интернет-серверов, в том числе крупных организаций. Этим объясняется интерес к ним злоумышленников: взлом Linux на периметре нередко приводит атакующего во внутреннюю сеть предприятия. Более того, штатные средства типичной Linux-системы весьма удобны для дальнейшего развития атаки. Чтобы помешать злоумышленникам, мы разработали серию правил детектирования для MaxPatrol SIEM, комментирует Помзов Михаил, директор департамента базы знаний и экспертизы Positive Technologies
|
Добавленный пакет экспертизы объединил правила, направленные на детектирование подозрительных действий на ИТ-активах с операционной системой семейства Linux. Они позволяют выявить применение нескольких техник по матрице MITRE ATT&CK, которые используются злоумышленниками для закрепления (persistence), разведки (discovery) и взаимодействия с командным центром (command and control). Так, правила обнаруживают:
- запуск средств удаленного подключения web shell, reverse shell, bind shell, которые используются злоумышленниками для управления целевой системой на этапе закрепления;
- активность утилит от имени служебных учетных записей, которые атакующие могут применять для получения информации о скомпрометированном узле и его сетевом окружении на этапе разведки;
- системные вызовы, характерные для создания туннелированных соединений (они нужны злоумышленникам для создания канала связи со скомпрометированным узлом).
Следующие пакеты экспертизы под Linux выйдут в 2020 году и позволят выявлять злоумышленников по подозрительным изменениям системных объектов и действиям пользователей.
Выпуск пакета экспертизы для выявления атак на систему управления предприятием SAP ERP
28 октября 2019 года компания Positive Technologies выпустила пакет экспертизы MaxPatrol SIEM, предназначенный для выявления атак на систему управления предприятием SAP ERP. Правила, вошедшие в него, помогут детектировать подозрительную активность пользователей в системе. Это позволит обнаружить присутствие злоумышленника в SAP ERP до того, как он украдет критически важные бизнес-данные или деньги.
Поскольку ERP-системы всегда являются объектом повышенного интереса злоумышленников, мы сформировали экспертную команду, которая специализируется на исследовании уязвимостей бизнес-систем и на разработке способов обнаружения угроз в них. Специалисты этой группы глубоко погружены в архитектуру всех популярных бизнес-систем, в том числе и SAP ERP, они знают, как злоумышленники "ломают" такие системы, отслеживают изменения в сценариях взлома и появление нового инструментария. На основе этих знаний они и создают специализированные пакеты экспертизы. Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies |
В пакет вошли 13 правил корреляции событий ИБ. Они позволяют выявить активность злоумышленников в SAP ERP, которая выглядит как легитимные действия пользователей, а на самом деле позволяет атакующим максимально замаскироваться в системе, повысить привилегии учетной записи, получить права администратора или доступ к конфиденциальной информации. Среди таких действий:
- использование для входа в SAP временно разблокированной учетной записи,
- назначение пользователем или администратором привилегий самому себе,
- копирование конфиденциальной информации из отчетов или таблиц,
- выпуск отчета c конфиденциальной информацией,
- вход в SAP под именем учетной записи уволенного сотрудника,
- скачивание большого объема данных из отчета или таблицы.
Одновременно с выходом очередного пакета экспертизы предыдущий пакет правил для выявления атак на SAP ERP пополнился еще 12 правилами детектирования. Они помогут выявить следующие угрозы:
- атака типа «отказ в обслуживании»;
- сбор злоумышленниками информации о зарегистрированных программах, уязвимостях системы, разрешенных командах;
- попытки зарегистрировать вредоносную программу;
- выполнение злоумышленником команд ОС без авторизации в системе;
- отключение журналирования событий (приводит к невозможности выявить активность злоумышленника);
- перенаправление трафика к серверу SAP на сервер подставной системы.
В MaxPatrol SIEM можно настроить правила с учетом классов систем в SAP ERP, что позволит снизить число ложных срабатываний. Например, правило для уведомления об использовании для входа в SAP временно разблокированной учетной записи рекомендовано активировать для систем класса тестирования и продуктивного класса и не использовать для систем класса разработки.
Начиная с февраля 2019 года, пользователи MaxPatrol SIEM уже получили восемь пакетов экспертизы, которые позволяют оперативно выявлять попытки брутфорса, аномалии в активности пользователей, атаки на критически важные бизнес-системы, применение атакующими тактик по модели MITRE ATT&CK.
Загрузка пакета экспертизы для выявления атак на Oracle Database
5 сентября 2019 года компания Positive Technologies сообщила, что в MaxPatrol SIEM загружен очередной пакет экспертизы[4]: добавленные правила корреляции событий информационной безопасности выявляют подозрительную активность в системах управления базами данных Oracle. Это поможет пользователям оперативно локализовать атаки, не допуская утечки данных или вывода СУБД из строя.
По мнению аналитической компании Gartner, Oracle — лидер мирового рынка систем управления данными. СУБД, как правило, хранят персональные данные сотрудников и клиентов, финансовую и платежную информацию, интеллектуальную собственность; все это может быть интересно злоумышленникам. По итогам анализа актуальных киберугроз за второй квартал 2019 года аналитики Positive Technologies отмечают, что более половины всех киберпреступлений за этот период совершались именно с целью кражи информации. При этом в пятерку наиболее часто похищаемых данных вошли персональные, учетные данные и данные платежных карт, а также коммерческая тайна и медицинская информация. На их долю пришлось 88% всех похищенных данных.
Целью атаки злоумышленника на СУБД может быть не только доступ к конфиденциальным данным, но и вывод системы из строя, для того чтобы скрыть свои действия или же просто нанести ущерб. Поскольку СУБД зачастую подключена ко многим другим системам, нарушение ее работоспособности может привести к полной остановке целого бизнес-процесса. Поэтому критически важно обеспечивать защиту баз данных, комментирует Антон Столяров, руководитель отдела безопасности баз данных Positive Technologies
|
Чтобы не допустить утечек данных и вывода из строя Oracle Database, команда R&D Positive Technologies создала специальный пакет экспертизы с 13 правилами корреляции. С их помощью пользователи MaxPatrol SIEM могут выявить следующие подозрительные действия, каждое из которых требует расследования:
- определение версии СУБД (это первое действие злоумышленника при атаке на систему);
- подбор названия баз данных (явно свидетельствует о начале атаки на СУБД);
- изменение записей в таблице аудита, их удаление или добавление (обман или попытка злоумышленника пустить расследование по ложному следу);
- операции с аудитом — отключение или удаление аудита, его системных правил, политики детального аудита;
- аудит действий привилегированных пользователей (SYSDBA);
- чтение таблиц, содержащих пароли.
MaxPatrol SIEM 5.0
29 июля 2019 года компания Positive Technologies сообщила об обновлении системы выявления инцидентов MaxPatrol SIEM. Версия (5.0) позволяет проводить ретроспективный анализ и мониторинг информационной безопасности в распределенных инфраструктурах. Также в продукте появились конструкторы правил корреляции и отчетов и ряд улучшений, упрощающих работу оператора системы.
Со слов разработчика, одно из ключевых изменений — конструктор правил корреляции: собственные правила пользователь MaxPatrol SIEM может создавать в несколько кликов, не используя какой-либо специальный язык программирования. В конструкторе используются макросы для быстрой подстановки часто применяемых или сложных для самостоятельного написания фрагментов программного кода. Набор предустановленных макросов регулярно пополняется и может расширяться пользователем самостоятельно.
В системе появилась возможность проводить ретроспективный анализ по индикаторам компрометации. С его помощью MaxPatrol SIEM поможет обнаружить атаку, произошедшую в прошлом, и предотвратить ее дальнейшее развитие. Продукт содержит ежедневно пополняемую базу индикаторов Positive Technologies, а также поддерживает индикаторы компрометации, разработанные «Лабораторией Касперского» и Group-IB. Пользователь системы должен разово активировать функцию проверки событий ИБ с помощью индикаторов компрометации, а далее MaxPatrol SIEM в автоматическом режиме запускает ретроспективный анализ при каждом пополнении базы индикаторов, подчеркнули в Positive Technologies.
Расширились возможности мониторинга для компаний с крупной иерархической инфраструктурой: можно получать актуальные данные о состоянии ИБ во всей организации в любой момент и выявлять распределенные атаки на инфраструктуру отдельного подразделения или целого предприятия. Инструментарий системы позволяет визуализировать архитектуру и иерархию развернутых конфигураций MaxPatrol SIEM и настроить прозрачные правила обмена информации между ними, утверждают в Positive Technologies.
Согласно заявлению разработчика, в представленной версии MaxPatrol SIEM пользователи смогут формировать собственные отчеты с данными об активах, событиях и инцидентах в выбранный интервал времени (при этом рекомендованный производителем системы срок хранения данных составляет три месяца, в архивах — до полугода). Информация в отчет подгружается в виде виджетов (доступны стандартные и пользовательские виджеты). Структура и внешний вид отчета настраиваются в удобном конструкторе с привычным интерфейсом, аналогичным Microsoft Word.
Как отметили в Positive Technologies, сделаны и другие улучшения, нацеленные на повышение удобства работы с продуктом. Расшились варианты визуализации данных: появились дополнительные диаграммы и табличная форма представления информации на дашбордах. Упростились наиболее актуальные сценарии работы оператора: например, в представленной версии пользователь может создавать задачи сбора событий и сканирования активов путем копирования уже существующих, что позволило сократить время внедрения SIEM в крупной инфраструктуре почти в два раза. Еще одно дополнение: возможность сравнивать состояния актива, информация о которых была собрана в разные моменты времени, или просмотреть все последовательные изменения его состояния между этим моментами. Это позволит сократить трудозатраты при расследовании инцидентов или анализе причин изменения уровня защищенности, а также уменьшить число необходимых для этого инструментов.
«MaxPatrol SIEM — уже зрелый продукт. Поэтому мы сфокусировались на том, чтобы упростить процессы, которые ранее были сложными и занимали много времени. С этой задачей, например, справляются конструкторы правил корреляции и отчетов, которые появились в обновленной версии», |
Загрузка пакета экспертизы для выявления горизонтального перемещения атакующих в инфраструктуре
16 июля 2019 года компания Positive Technologies сообщила, что в MaxPatrol SIEM загружен второй пакет экспертизы, выявляющий атаки с применением одной из тактик модели MITRE ATT&CK для операционной системы Windows. Благодаря чему пользователи MaxPatrol SIEM могут детектировать активность злоумышленников не только с использованием тактик «Выполнение» и «Обход защиты», но и тактики «Горизонтальное перемещение». Это позволяет обнаружить попытки расширения присутствия атакующих в сети до того, как они получат контроль над инфраструктурой.
Злоумышленники используют техники горизонтального перемещения для получения доступа и управления удаленными системами в сети, установки вредоносных программ и постепенного расширения присутствия в инфраструктуре. Основная цель атакующих — определение администраторов в сети, их компьютеров, ключевых активов и данных, чтобы в конечном счете получить полный контроль над инфраструктурой. В пакет экспертизы вошли 18 правил корреляции, которые помогают выявить наиболее актуальные техники, отметил разработчик.
«Критически важно детектировать активность атакующего на начальных этапах горизонтального перемещения. Если он завладеет административными привилегиями, то сможет получить доступ к любым учетным записям и серверам и таким образом быстро расширить свое присутствие вплоть до контроля над инфраструктурой. Для пользователей MaxPatrol SIEM мы разработали набор правил, который позволяет выявлять самые распространенные шаги злоумышленников», отметил Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center |
Со слов разработчика, загруженный в MaxPatrol SIEM пакет экспертизы позволяет выявить следующие действия злоумышленников в рамках горизонтального перемещения:
- Нелегитимное подключение к системам по протоколу удаленного рабочего стола Remote Desktop Protocol (RDP).
- Попытки перехвата сеанса пользователя по протоколу RDP.
- Использование учетных записей уровня администратора для удаленного доступа к системам через протокол Server Messаge Block (SMB), с тем чтобы передавать файлы и запускать их.
- Удаленное копирование файлов на систему жертвы для развертывания хакерских инструментов и удаленного их выполнения.
- Использование связующего программного обеспечения Distributed Component Object Model (DCOM). С его помощью злоумышленники, работающие от имени пользователя с соответствующими привилегиями, могут удаленно выполнять команды.
- Применение механизма администрирования Windows Remote Management (WinRM) для работы с удаленными системами, например для запуска исполняемого файла, изменения системного реестра или приложений Windows.
Дополнительно в пакет включены правила, которые выявляют техники атакующих, относящиеся по матрице ATT&CK к тактике «Выполнение». Практика расследований, проводимых командой PT Expert Security Center, показывает, что такие техники применяются и для горизонтального перемещения. Например, удаленное создание задач, применение утилиты администрирования WinExec для выполнения команд и расширения присутствия, использование Windows Management Instrumentation (WMI) для управления и доступа к удаленным системам, попытки доступа к файловым ресурсам на удаленных системах.
Как отметили в Positive Technologies, это второй пакет экспертизы из специальной серии, в создании которой участвует команда PT Expert Security Center — для покрытия всех 12 тактик матрицы MITRE ATT&CK. Каждый пакет из серии будет направлен на выявление атак с применением одной или нескольких тактик.
Пакеты экспертизы, загруженные в MaxPatrol SIEM, пополняются правилами по мере появления новых техник, тактик и процедур атак. Так, одновременно с выходом пакета экспертизы для выявления горизонтального перемещения первый пакет из серии дополнен двумя правилами корреляции, подчеркнул разработчик.
Загрузка пакета экспертизы для выявления атак по модели MITRE ATT&CK в ОС Windows
4 июня 2019 года стало известно, что в MaxPatrol SIEM загружен обновленный пакет экспертизы: правила корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход защиты») по модели MITRE ATT&CK для операционной системы Windows. Теперь пользователи MaxPatrol SIEM могут обнаружить активные действия злоумышленника после проникновения его в ИТ-инфраструктуру.
MITRE ATT&CK — база знаний с описанием тактик, техник и процедур атак злоумышленников. Специалисты экспертного центра безопасности Positive Technologies (PT Security Expert Center) создадут специальную серию пакетов экспертизы для MaxPatrol SIEM, каждый из которых выявляет атаки с применением одной или нескольких тактик в соответствии с матрицей ATT&CK for Enterprise. В планах PT Expert Security Center — постепенно покрыть все 12 тактик матрицы.
Первый пакет из серии включает 15 правил корреляции событий ИБ, помогающих выявить наиболее актуальные техники атак, присущие тактикам «Выполнение» и «Обход защиты». В тактику «Выполнение» входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Они используются, среди прочего, для горизонтального перемещения, чтобы расширить доступ к удаленным системам в сети. Тактика «Обход защиты» объединяет техники, с помощью которых злоумышленник может скрыть вредоносную активность и избежать обнаружения средствами защиты.
Классические SIEM-системы не способны выявлять атаки злоумышленников, в которых используются эксплойты нулевого дня, поэтому их целесообразнее "ловить" на последующих этапах атаки. Классическим шагом злоумышленников является выполнение вредоносного кода и попытки обхода средств средств защиты для успешного достижения своих целей. Поэтому в первую очередь мы подготовили пакет экспертизы, покрывающий тактики "Выполнение" и "Обход защиты" по модели MITRE ATT&CK. Как правило, эти тактики используются на этапах проникновения злоумышленника в инфраструктуру,
комментирует Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)
|
Правила корреляции, среди прочего, выявляют техники с применением метода living off the land (LOTL): когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Такой метод все чаще используют APT-группировки; например, группировки Cobalt Group и MuddyWater использовали встроенную в Windows утилиту «Установщик профилей диспетчера подключений» для запуска вредоносного ПО. Метод LOTL позволяет действовать под видом легитимной работы системного администратора, что снижает вероятность обнаружения атаки традиционными средствами безопасности и, следовательно, ее блокировки.
До конца 2019 года в MaxPatrol SIEM будут загружены пакеты экспертизы для выявления тактик получения первоначального доступа (Initial Access), закрепления (Persistence), получения учетных данных (Credential Access) и горизонтального перемещения (Lateral Movement). Все пакеты экспертизы будут пополняться правилами по мере обнаружения техник, тактик и процедур атак.
Загрузка пакета экспертизы для выявления аномалии в активности пользователей в Microsoft Active Directory
10 апреля 2019 года компания Positive Technologies сообщила о загрузке пакета экспертизы в MaxPatrol SIEM, который позволяет выявлять аномалии в активности пользователей в Microsoft Active Directory. Такие активности внутри сети могут свидетельствовать о развитии атаки на IT-инфраструктуру организации, что может привести к неограниченному контролю в управлении учетными записями и компьютерами локальной сети.
Появившиеся правила корреляции, вошедшие в пакет экспертизы, выявляют действия злоумышленника с помощью профилирования активности пользователей. Для каждой учетной записи и сетевого узла в инфраструктуре автоматически формируется модель поведения на основе истории легитимных действий. Когда пользователь совершит отклоняющееся от модели действие, MaxPatrol SIEM зарегистрирует аномалию.
На апрель 2019 года реализовано три сценария:
- вход в систему Windows,
- обращение к сетевым ресурсам общего доступа и именованным каналам,
- запрос сессионных билетов для аутентификации через Kerberos.
Если любой из перечисленных выше сценариев выполнен успешно и реализуется от имени учетной записи или с сетевого узла, которые не выполняли таких действий на протяжении длительного времени, оператор MaxPatrol SIEM получит уведомление об инциденте ИБ с описанием типа и ключевых атрибутов аномалии.
Эксперты Positive Technologies планируют постепенно расширять набор правил корреляции для выявления аномальной активности в инфраструктуре. В течение месяца будет добавлено правило для выявления запуска подозрительных для узла процессов от имени учетной записи с максимальными привилегиями в системе.
Повышение точности выявления попыток брутфорса
1 марта 2019 года Positive Technologies сообщил, что в систему выявления инцидентов MaxPatrol SIEM загружен очередной пакет экспертизы, позволяющий эффективнее выявлять попытки взлома учетных записей путем подбора логина и пароля (или методом «грубой силы», англ. brute force). Правила корреляции, вошедшие в пакет, позволили повысить точность выявления инцидентов, связанных с брутфорсом, и снизить потребление памяти системы на 20%.
Специалисты компании Positive Technologies пересмотрели концепцию идентификации брутфорса. В результате написаны правила, которые помогут пользователям MaxPatrol SIEM выявлять попытки взлома, используя минимальное количество информации: данные о попытках аутентификации, объектах и субъектах брутфорса и особенностях инфраструктуры.
Если атака на конкретный субъект или с конкретного объекта продолжительная, MaxPatrol SIEM создаст один инцидент за сутки (частоту создания можно менять), а в самом инциденте сохранит статистику обо всех попытках подбора учетных данных, связанных с участниками атаки. Это снижает число уведомлений, значительно упрощает и ускоряет анализ инцидента.
С представленным пакетом экспертизы появилась возможность создавать белые списки сетевых узлов и пользователей, которые используют техники перебора логина и пароля в легитимных целях, и автоматически отключать срабатывания правил по инцидентам с их участием. Например, в их числе могут оказаться узлы сканеров уязвимостей, разделяемые учетные записи, сетевые узлы в DMZ.
Правила были оптимизированы с целью более равномерного распределения нагрузки между компонентами MaxPatrol SIEM и протестированы на потоке в 30 000 событий в секунду. В итоге потребление памяти снижено на 20% в сравнении с обработкой аналогичного потока событий предыдущими правилами корреляции.
2018
MaxPatrol SIEM сертифицирован для использования в Республике Беларусь
21 июня 2018 года стало известно, что система мониторинга событий ИБ и выявления инцидентов MaxPatrol SIEM успешно прошла испытания на соответствие требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) как серийно выпускаемая продукция.
Теперь MaxPatrol SIEM доступен к приобретению на территории республики. Сертификат действует до 29 мая 2023 года.
В ходе сертификации был испытан сам продукт MaxPatrol SIEM и проанализировано состояние его производства. В частности, было проверено функционирование системы менеджмента качества в разработке и производстве MaxPatrol SIEM, наличие производственных мощностей и испытательной лаборатории, технологическое оборудование и средства контроля, квалификация персонала.
Сертификация продукта позволяет компаниям Беларуси использовать MaxPatrol SIEM для создания систем защиты информации, распространение или предоставление которой ограничено, а также для создания систем безопасности критически важных объектов информатизации и обеспечения целостности и подлинности электронных документов в государственных информационных системах.
Это необходимый шаг по выводу MaxPatrol SIEM на рынок Беларусии. Мы видим серьезный интерес к продукту среди государственных органов, банков, промышленных предприятий и уверены, что MaxPatrol SIEM поможет оперативно выявлять атаки и таким образом повысит уровень их защищенности. Александр Панков, директор по развитию бизнеса в Республике Беларусь
|
Positive Technologies планирует поэтапно выводить на рынок Беларуссии все экспертные сервисы ― от тестов на проникновение и аудита защищенности до реагирования и расследования инцидентов безопасности, а также полный портфель продуктов компании. На 21 июня 2018 года в Оперативно-аналитическом центре при Президенте Республики Беларусь сертифицировано три продукта Positive Technologies: MaxPatrol 8, MaxPatrol SIEM и PT Application Firewall. На территории республики Positive Technologies представляет официальный дистрибутор — компания Axoft.
Выпуск версии 4.0
Компания Positive Technologies 26 апреля 2018 года представила очередную версию системы выявления инцидентов ИБ в реальном времени ― MaxPatrol SIEM 4.0. Обновленный продукт получил полноценный механизм получения и обновления экспертизы ИБ, обладает расширенными возможностями по обогащению данных об активах и детектированию атак в трафике. Благодаря этому обеспечиваются высокие точность и скорость выявления действий злоумышленника в корпоративной сети и противодействие новым типам угроз, сообщили в компании.
Особенностью представленной версии системы стала регулярная автоматизированная передача в нее компетенций в области обнаружения инцидентов информационной безопасности в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формирует команда экспертного центра безопасности Positive Technologies (PT Expert Security Center), которая непрерывно анализирует актуальные угрозы, исследует полный цикл атак и разрабатывает способы их обнаружения и предотвращения. Наборы правил и рекомендаций объединяются в пакеты экспертизы и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь системы может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.
Регулярно поставляемые в PT KB обновления включают в себя готовые правила корреляции по выявлению инцидентов, актуальные правила нормализации и агрегации, а также рекомендации по тонкой настройке аудита на источниках событий для точного выявления атак и по расследованию выявленных инцидентов.
Механизм был протестирован на предыдущей версии системы, когда в нее были добавлены правила, нацеленные на выявление продвинутых кибератак на Microsoft Active Directory. Пока Positive Technologies планирует выпуск экспертных пакетов не реже одного раза в два месяца. Ожидается, что к концу 2018 года временной зазор между ними сократится до одного месяца. В отдельных случаях предусмотрен оперативный выпуск наборов правил вне графика: например, во время глобальных атак уровня WannaCry или NotPetya.
В MaxPatrol SIEM 4.0 оптимизированы механизмы обогащения данных об активах — ключевых элементах модели ИТ-инфраструктуры в MaxPatrol SIEM. В числе прочего знания об активе теперь автоматически дополняются данными о программном и аппаратном обеспечении информационных ресурсов, об операционных системах, установленных обновлениях, конфигурации инфраструктуры, получаемыми из Microsoft System Center Configuration Manager (SCCM) и системы контроля защищенности MaxPatrol 8.
Дополнительно каждый актив обогащается данными из собственного сенсора MaxPatrol SIEM, предназначенного для анализа сетевого трафика. Он выявляет сетевые узлы в трафике и передает MaxPatrol SIEM информацию об открытых портах; на основе полученных данных могут быть созданы новые активы. Расширенный объем сведений об активах помогает службе ИБ лучше понимать защищаемую ИТ-инфраструктуру, ее уязвимые места и точнее просчитывать возможные векторы развития атак, упрощает расследование инцидента, помогает определить использованную уязвимость и предотвратить аналогичные атаки.
Также обновленная версия системы отличается расширенной функциональностью встроенного компонента Network Sensor, предназначенного для комплексного анализа трафика, в том числе передаваемых по сети файлов. Network Sensor получил собственную базу сигнатур для детектирования эксплуатации уязвимостей и работы вредоносного программного обеспечения. Сигнатуры пишутся на основании проведенных командой PT Expert Security Center расследований, анализа угроз и уязвимостей, актуальных для организаций из различных сфер бизнеса. Благодаря этому пользователь MaxPatrol SIEM 4.0 получает возможность выявлять аномалии, вредоносную активность в сети и источники подозрительного трафика, предупреждать атаки.
Для управления ИБ на стратегическом и тактическом уровнях используется специальный модуль PT Security Intelligence Portal. Это инструмент визуализации данных, глубокого анализа процессов информационной безопасности, работы подразделения ИБ и используемых средств защиты. PT Security Intelligence Portal содержит готовые наборы показателей и метрик эффективности, что позволяет руководству компании оценить, насколько результативны принимаемые меры ИБ и достаточно ли ресурсов для достижения поставленных целей. Специалистам по ИБ и ИТ инструмент поможет спрогнозировать возможные инциденты, приоритизировать задачи и проводить расследования, отметили в Positive Technologies.
Наконец, в MaxPatrol SIEM 4.0 оптимизирован процесс установки ― по словам разработчиков, минимизирована вероятность возникновения ошибок и на 60% сокращено количество действий, необходимых для развертывания системы.
Выявление продвинутых кибератак на Active Directory
В систему управления ИБ-событиями MaxPatrol SIEM добавлены 26 правил обнаружения инцидентов, позволяющих выявлять продвинутые кибератаки на Microsoft Active Directory, сообщили 16 апреля 2018 года в компании Positive Technologies. Их использование делает возможным выявление атак на самых ранних стадиях, в том числе уже на этапе разведки. В конечном счете, окно присутствия злоумышленника в инфраструктуре может быть сокращено до нескольких часов, утверждают разработчики.
Создание специального пакета правил стало результатом работы экспертного центра безопасности (Expert Security Center) компании Positive Technologies: эксперты проанализировали полный цикл атак на Active Directory и выявили цепочку событий ИБ и запросы в сетевом трафике, которые свидетельствуют о присутствии злоумышленников в инфраструктуре. Далее для автоматического анализа событий на наличие признаков таких атак и для уведомления ИБ-подразделения при помощи MaxPatrol SIEM был разработан пакет с алгоритмами обнаружения аномалий (правила корреляции). Теперь ИБ-специалисты, использующие систему, смогут выявлять атаки на Active Directory на стадии разведки, продвижения внутри сети и удаленного исполнения команд.
Как показывает опыт расследования инцидентов, Microsoft Active Directory — главная цель злоумышленников во время любой атаки на корпоративные информационные системы. Его взлом позволяет получить неограниченный контроль в управлении учетными записями и компьютерами локальной сети. Несмотря на усиление проактивных систем защиты, злоумышленники и профессиональные пентестеры находят новые векторы атак на Active Directory, которые сложно обнаружить в ИТ-инфраструктуре, — отметил директор по развитию бизнеса в России Positive Technologies Максим Филиппов. — За счет реализованной нами технологии передачи экспертизы в продукты компании-пользователи могут в режиме реального времени выявлять действия злоумышленника в своей инфраструктуре. В том числе в случае использования ими новейших техник и инструментов для атаки. Теперь же пользователи MaxPatrol SIEM смогут автоматически выявлять и продвинутые атаки на Microsoft Active Directory. |
2017
Выпуск модуля расширения PT Security Intelligence Portal
21 ноября 2017 года компания Positive Technologies сообщила о выпуске модуля MaxPatrol SIEM - Security Intelligence Portal.
Инструмент предназначен для работы ИБ-руководителей и визуализации их деятельности в адаптированном для топ-менеджмента виде. Модуль расширяет возможности управления информационной безопасностью на стратегическом, тактическом и операционном уровнях.
PT Security Intelligence Portal на основе данных MaxPatrol SIEM об активах, событиях и инцидентах позволяет выстроить процесс управления информационной безопасностью в соответствии с бизнес-целями компании. С его помощью можно анализировать действующие ИБ-процессы, работу средств защиты и ИБ-подразделения в организации любого масштаба, доступно и наглядно представить результаты анализа топ-менеджменту.
Инструмент поможет ИБ-руководителям оценить защищенность инфраструктуры и достаточность мер защиты. Чтобы сразу начать работать с системой и получить первые результаты, в PT Security Intelligence Portal включен готовый набор показателей эффективности и метрик для их расчета, оценки эффективности систем, персонала и процессов, которые можно настраивать исходя из потребностей организации.
В основу модуля MaxPatrol SIEM заложены знания, накопленные в ходе разработки портала аналитической отчетности для MaxPatrol 8 — PT Reporting Portal, опыт экспертного центра безопасности (PT ESC), результаты сотрудничества с ключевыми клиентами Positive Technologies.
PT Security Intelligence Portal - часть разрабатываемой компанией комплексной технологической платформы.
Интеграция с Solar Dozor
Компании Solar Security и Positive Technologies сообщили в октябре о завершении проекта по интеграции DLP-решения Solar Dozor и MaxPatrol SIEM ― системы, предназначенной для выявления инцидентов ИБ в реальном времени. Теперь Solar Dozor передает данные в MaxPatrol SIEM, благодаря чему офицер безопасности получает полную картину событий и инцидентов ИБ в компании, включая данные о передаче конфиденциальной информации по различным каналам, из одного источника.
Совместимость с Dallas Lock 8.0 редакций «К» и «С»
Компании Positive Technologies и «Конфидент» 17 августа объявили о том, что по итогам проведенных испытаний подтверждена корректность совместной работы системы выявления инцидентов ИБ в режиме реального времени MaxPatrol SIEM cо СЗИ Dallas Lock 8.0 редакций «К» и «С» (включая защитные модули НСД, СКН, МЭ, СОВ).
Интеграция двух решений стала возможной благодаря доработке MaxPatrol SIEM по добавлению нового источника событий, в качестве которого используется база данных событий ИБ Dallas Lock 8.0. Данная функциональность стала доступна конечным заказчикам в последнем релизе продукта.
Теперь пользователи получили возможность реализовать с помощью MaxPatrol SIEM централизованный сбор и корреляцию событий информационной безопасности, генерируемых СЗИ Dallas Lock 8.0 и другими установленными в организации средствами защиты.
Тестирование решений Dallas Lock на совместимость c решениями других производителей СЗИ — важная составляющая деятельности Центра защиты информации. Благодаря интеграции двух решений конечные пользователи получили действенный инструмент для централизованного сбора и анализа событий безопасности, — заявил Егор Кожемяка, директор Центра защиты информации «Конфидент». |
Мы непрерывно совершенствуем продукт MaxPatrol SIEM, в том числе расширяя число поддерживаемых источников событий как зарубежных, так и российских разработчиков. Благодаря этому конечный пользователь системы получает цельную картину защищенности инфраструктуры в любой момент времени и может выявлять происходящие в ней инциденты ИБ вне зависимости от использующихся средств защиты информации, — подчеркнул Алексей Голдбергс, руководитель направления по работе с технологическими партнёрами Positive Technologies. |
СЗИ Dallas Lock сертифицирована ФСТЭК России:
- в версии 8.0-K — на соответствие 4 уровню контроля отсутствия НДВ, 5 классу защищенности от НСД, 3 классу защищенности МЭ, 4 классу защиты СОВ, 4 классу защиты СКН и имеет сертификат соответствия ФСТЭК России № 2720 от 25.09.2012 г., который действителен до 25.09.2018 г.
- в версии 8.0-С — на соответствие 2 уровню контроля отсутствия НДВ, 3 классу защищенности от НСД, 3 классу защищенности МЭ, 4 классу защиты СОВ, 2 классу защиты СКН и имеет сертификат соответствия ФСТЭК России № 2945 от 16.08.2013 г., который действителен до 16.08.2019 г.
MaxPatrol SIEM сертифицирован ФСТЭК России на соответствие 4 уровню контроля отсутствия НДВ и имеет сертификат соответствия ФСТЭК России № 3734 от 12.04.2017 г., действительный до 12.04.2020 г.
Обновленный MaxPatrol SIEM защитит от угроз класса WannaCry и NotPetya
В июле компания Positive Technologies представила очередную версию MaxPatrol SIEM. Обновленные механизмы продукта оперативно обнаруживают и локализуют эпидемии типа WannaCry и NotPetya. Пользователи системы также могут создавать стойкие и растянутые во времени правила корреляции, что позволяет обнаружить даже многолетние APT-атаки несмотря на изменения в ИТ-инфраструктуре компании.
«За последние пару месяцев жертвами вирусов-вымогателей стали сотни компаний по всему миру: автозаводы, банки, розничные сети, фармацевтические и судоходные компании. Мы стараемся оперативно реагировать на подобные события, поэтому основные изменения в новой версии MaxPatrol SIEM связаны с обнаружением и локализацией эпидемий криптолокеров. Технологии проверки сетевой достижимости, гибкой работы с активами и событиями сетевого взаимодействия позволят проще выявлять любые угрозы такого типа. Кроме того, наши эксперты оперативно создали соответствующие правила корреляции для обнаружения атак WannaCry и NotPetya», — рассказал директор по развитию бизнеса в России Positive Technologies Максим Филиппов.
Распознавание активов с новыми параметрами
Новый алгоритм идентификации аппаратных и программных элементов ИТ-инфраструктуры (активов) учитывает десятки параметров актива и дает им разный «вес». В результате MaxPatrol SIEM распознает актив даже после изменения IP-адреса, MAC-адреса, hostname или других параметров, что важно при использовании DHCP-сервера и работе за NAT. Таким образом, MaxPatrol SIEM теперь строит более точную модель ИТ-инфраструктуры и позволяет создавать стойкие правила корреляции.
Локализация очагов эпидемий
Реализованная в новой версии MaxPatrol SIEM технология проверки сетевой достижимости позволит быстро понять, доступны ли тот или иной узел или сеть, с точностью до протокола и порта. И если в большой территориально распределенной сети началась эпидемия вируса и известны варианты его распространения, например определенные порты, администратор сможет быстро локализовать очаг и сохранить информацию на десятках тысяч компьютеров либо убедиться, что критической инфраструктуре предприятия эпидемия этого вируса не угрожает.
По словам разработчиков, MaxPatrol SIEM не только представит актуальные маршруты до искомого актива на карте сети, но и подсветит все доступные альтернативы. В свою очередь, это позволит быстро обнаружить ошибки в конфигурации сетевых устройств и не допустить нарушения политик доступа. Кроме того, для проверки наличия в сети зараженных WannaCry или NotPetya узлов достаточно нескольких секунд за счет новой функции группировки сетевых событий по нескольким признакам (например, по отправителям и получателям пакетов на порт 445, за исключением файловых серверов общего доступа).
Группировка активов по сложным правилам
MaxPatrol SIEM теперь позволяет формировать динамические группы активов по правилам, включающим логику И, ИЛИ, НЕ, и настраивать на них точные правила корреляции для обнаружения инцидентов ИБ и реагирования на них. Например, можно создать группу подверженных уязвимости WannaCry активов, добавив три условия: наличие уязвимости CVE-2017-0145 и открытых портов 139 или 445, а также отсутствие антивируса на узле.
Выявление APT за счет растянутых во времени корреляций
В обновленной системе MaxPatrol SIEM можно создавать табличные списки, которые расширяют возможности привнесения экспертизы Positive Technologies в продукт. Теперь инциденты ИБ могут выявляться на основе сложных корреляций длиной до нескольких лет, что особенно важно для обнаружения advanced persistent threats, при которых среднее «время жизни» злоумышленника в организации составляет 3 года.
Помимо новых возможностей по выявлению и анализу инцидентов, система получила множественные улучшения в интерфейсе. Появились новые виджеты с возможностью просмотра подробной информации по двойному щелчку мыши, отображение событий на топологии ИТ-инфраструктуры, выгрузка карты сети в векторном и растровом форматах.
Сертификат ФСТЭК России
MaxPatrol SIEM ─ система, предназначенная для управления инцидентами ИБ в реальном времени ─ прошла сертификационные испытания и получила сертификат соответствия ФСТЭК России №3734 от 12 апреля 2017 года. Полученный сертификат подтверждает, что система управления ИБ и контроля защищенности соответствует требованиям и техническим условиям ФСТЭК России по 4-му уровню контроля на отсутствие недекларированных возможностей и может быть применена в автоматизированных системах, содержащих конфиденциальную информацию, до класса 1Г включительно, а также – в информационных системах персональных данных до 1-го уровня защищенности, государственных информационных системах и АСУ ТП до 1-го класса.
Обновление весны 2017 года MaxPatrol SIEM
13 апреля 2017 года компания Positive Technologies сообщила о выпуске релиза MaxPatrol SIEM. В этой версии продукта увеличена скорость обнаружения активов и построения топологии сети, темпы обработки событий безопасности (нормализация, агрегация, корреляция) выросли на 40%, заявила компания.
В состав модернизированной системы вошли механизмы комплексного анализа сетевого трафика и файловой активности на компьютерах и серверах, собирательные метрики значимости, позволяющие автоматически обеспечивать адресный контроль критически важных рабочих станций.
Комплексный анализ сетевого трафика
С появлением компонента Network Sensor, стал доступен комплексный анализ сетевого взаимодействия на всех уровнях модели OSI — от канального (L2) до уровня приложений (L7). Этот компонент позволяет точнее и быстрее выявлять ИТ-активы и строить топологию сети, видеть актуальную модель ИТ-инфраструктуры в режиме реального времени. Эта информация может использоваться в правилах корреляции для обнаружения широкого спектра атак, выявления нарушений политик сетевого доступа, таких как применение небезопасного протокола Telnet, передача большого объема данных от клиента или сервера, загрузка вредоносных файлов, наличие приложений для удаленного доступа (TeamViewer и др.), неправильное сегментирование внутрисетевых ресурсов и т.п.
Мониторинг файловой активности
Для получения информации об активах, которую невозможно обнаружить аудитом сетевой инфраструктуры, в последней версии системы реализован компонент Endpoint Monitor — агент, функционирующий на уровне драйверов Windows и контролирующий файловую активность в сегментах с критичной для компании информацией – файловых серверах и рабочих станциях.
MaxPatrol SIEM использует целый ряд механизмов для построения наиболее полной картины состояния ИТ-инфраструктуры в динамике, что позволяет увеличить стойкость правил корреляции и оперативно обнаруживать атаки. Это касается и компонентов Network Sensor и Endpoint Monitor, благодаря которым информация о каждом активе постоянно обогащается свежими данными о файловых изменениях, протоколах и приложениях. Функциональность дает возможность создавать более точные правила корреляции и собирать максимум данных об инфраструктуре уже на этапе запуска системы. Алексей Андреев, директор Positive Technologies по разработке MaxPatrol SIEM |
Повышенное внимание к ключевым активам
Появление в последней версии MaxPatrol SIEM собирательной (единой) метрики значимости актива позволяет назначить приоритеты инцидентам в соответствии с важностью актива и, как следствие, сократить время реагирования на инцидент.
Автоматизация формирования отчетов
MaxPatrol SIEM поддерживает автоматическое формирование отчетов по расписанию в распространенных форматах (PDF, DOCX, HTML, XLS, CSV, JSON, XML). Это дает руководству и специалистам без доступа в SIEM, но имеющим потребность, получить оперативную информацию из системы. Сформированный отчет может автоматически отправляться администраторам посредством электронной почте по заданному графику.
В этой версии MaxPatrol SIEM добавлены пользовательские виджеты, журналы действий администраторов системы, шаблоны мониторинга компонентов системы и ряд других дополнений.
2016
Интеграция с InfoWatch Traffic Monitor Enterprise
8 декабря 2016 года компания Positive Technologies и группа компаний InfoWatch сообщили о завершении работ по интеграции технологии InfoWatch Traffic Monitor Enterprise 6.1 и системы MaxPatrol SIEM.
Партнеры заявили о начале программы поддержки системой MaxPatrol SIEM последующих версий решения InfoWatch Traffic Monitor.
В следствие интеграции поступающие из DLP-системы InfoWatch Traffic Monitor данные, стали доступны для обработки и анализа в MaxPatrol SIEM. Пользователи SIEM-решения получили возможность отслеживать историю передачи конфиденциальной информации через корпоративную электронную почту и различные веб-ресурсы, системы обмена сообщениями и средства общего доступа к файлам, блокировать несанкционированные действия сотрудников.
Методы действий злоумышленников совершенствуются с каждым днем, поэтому производители средств защиты вынуждены постоянно расширять функциональные возможности своих систем в ответ на современные угрозы. Не является исключением и проблема утечки информации. Зачастую для оперативного выявления таких инцидентов используется связка решений классов SIEM и DLP. На сегодняшний день MaxPatrol SIEM поддерживает средства защиты большинства отечественных производителей, в том числе компании InfoWatch. Мы продолжаем начатую работу по адаптации MaxPatrol SIEM для работы с InfoWatch Traffic Monitor. В частности, мы нацелены на расширение списка поддерживаемых версий DLP-системы, сбор новых типов событий, упрощение этого процесса для конечного пользователя и максимальную его автоматизацию. Алексей Голдбергс, руководитель направления по работе с технологическими партнерами компании Positive Technologies |
Основной задачей интеграции InfoWatch Traffic Monitor и MaxPatrol SIEM является защита бизнес-процессов организаций от неправомерных действий злоумышленников на ранней стадии их планирования. Интеграция позволяет службе информационной безопасности компании не только оперативно выявлять распределенные атаки, коррелируя информацию от DLP-решения с другими средствами защиты, но и блокировать целевые атаки, направленные на хищение конфиденциальной информации. Минимизация финансовых, операционных и репутационных потерь клиентов — главный драйвер партнерства InfoWatch и Positive Technologies. |
MaxPatrol SIEM Limited Edition
20 сентября 2016 года компания Positive Technologies представила MaxPatrol SIEM Limited Edition (LE) — полнофункциональный программно-аппаратный комплекс для выявления инцидентов информационной безопасности в реальном времени.
Продукт ориентирован на использование в ИТ-инфраструктурах малого и среднего масштаба.
В составе продукта аппаратная платформа, рассчитанная на хранение данных в течение 15 месяцев. Для больших объемов данных и их длительного хранения (до 5 лет) объем хранилища может увеличиваться посредством аппаратной опции архивного хранения.
Новый продукт является наиболее быстрым и доступным способом внедрения SIEM-системы корпоративного уровня. Благодаря поддержке Positive Technologies и реализованным в продукте техническим инновациям миграция с других решений на MaxPatrol SIEM LE осуществляется быстро и безболезненно для бизнес-процессов. |
MaxPatrol SIEM LE может использоваться как отдельный комплекс, так и для масштабирования существующей системы MaxPatrol SIEM — устанавливаться в территориальных подразделениях и работать как часть единой системы.
В последние годы наблюдается весьма тревожная тенденция, связанная с ростом внимания хакеров к небольшим и средним компаниям. В среднем три из пяти кибернападений нацелены на инфраструктуры малого бизнеса. Это подтверждают и аналитики Positive Technologies, и специалисты других компаний в области безопасности. Злоумышленников привлекает относительно невысокий уровень защищенности таких предприятий. В России данный тренд хорошо заметен в финансовой сфере, где вместо массовых атак на пользователей злоумышленники все чаще используют сложные целевые атаки против кредитных организаций среднего размера. |
Продукт обладает всеми возможностями полной версии MaxPatrol SIEM и имеет ограничения только по масштабируемости. Требования к команде эксплуатации SIEM снижаются благодаря автоматизации процедур администрирования, построению полной модели инфраструктуры и топологии сети, использованию комплексной платформы MaxPatrol вместо множества разнородных ИБ-решений. MaxPatrol SIEM оперирует не отдельными IP-адресами или hostname, но и более высокоуровневыми категориями — активами и динамическими группами активов. В результате работоспособность правил сохраняется даже после изменений инфраструктуры, что является ключевым отличием от других SIEM-систем.
В комплексе MaxPatrol SIEM LE отсутствуют искусственные ограничения по производительности, она полностью определяется характеристиками оборудования.
Продукт поможет обеспечить соответствие действующим отраслевым нормативным требованиям. В частности, в финансовой отрасли − федеральному закону «О национальной платежной системе» 161-Ф3 (Положение Банка России № 382-П), стандарту Банка России СТО БР ИББС 2.5 (п. 6.5.2), федеральному закону 152-ФЗ «О персональных данных». Продукт входит в реестр отечественного ПО.
MaxPatrol 8.0 сертифицирован для использования в Республики Беларусь
Оперативно-аналитический центр при Президенте Республики Беларусь подтвердил соответствие системы требованиям технического регламента ТР 2013/027/BY (СТБ 34.101.1-2014, СТБ 34.101.2-2014 и СТБ 34.101.3-2014). Сертификат соответствия выдан ООО «Аксофтбел» и действителен до 12 июня 2020 года включительно.
Полученный сертификат позволяет использовать MaxPatrol 8.0 на объектах информатизации класса А2, Б2, В2, А3, Б3 и В3, то есть для защиты информационных систем, обрабатывающих или содержащих открытую информацию, данные, распространение и (или) предоставление которых ограничено, а также информацию, охраняемую в соответствии с законодательством Республики Беларусь.
Объем продаж MaxPatrol SIEM по итогам 2015 года составил 180 млн рублей
Объем продаж MaxPatrol SIEM по итогам года составил около 180 млн руб., в 2016 году компания планирует увеличить его до 400 млн, а в 2017 году вывести продукт на европейский рынок.
«Продукт быстро прогрессирует, — отмечает Максим Филиппов, директор Positive Technologies по развитию бизнеса в России. — Мы научились качественно проводить пилотные проекты, наладили процесс поддержки любых источников заказчика (этого нет ни у кого), сформировали систему разработки мирового уровня и понятные планы развития продукта. Обучили 113 специалистов компаний-партнеров. Наша цель — в 2017 году сравняться с лидерами российского рынка классических SIEM-систем. Мы прогнозируем рост российского рынка в этом сегменте с 2,2 млрд руб. в 2016 году до 3,2 млрд в 2018-м, и ставим перед собой задачу занять на этом рынке лидирующую позицию».Создание продукта такого уровня потребовало от специалистов Positive Technologies отказаться от концепции каскадной разработки и перейти к более гибким практикам, что позволило повысить скорость и эффективность выпуска обновлений продукта — соответствуя требованиям рынка, а в ряде случаев и опережая их.
«Продукт такого уровня потребовал трансформации процесса разработки. Для нас это был не только внешний, но и внутренний вызов. Если раньше все наши продукты создавались группой энтузиастов, которые были частично хакерами, частично разработчиками, то столкнувшись с продуктом уровня SIEM, мы поняли, что разработку надо выделять в отдельное направление. Сегодня MaxPatrol SIEM создают 80 разработчиков и инженеров по качеству. Мы перешли на организацию микрокоманд по модели Two Pizza Team, доказавшей свою эффективность в компаниях мирового уровня. Такие команды легко взаимодействуют между собой, быстро принимают решения и реализуют изменения, кардинально улучшая продукт от пользовательского интерфейса до бэкенд-логики», — комментирует Алексей Андреев, директор по разработке MaxPatrol SIEM.
Подход компании Positive Technologies подразумевает создание платформы, ключевым элементом которой является MaxPatrol SIEM. Построенная на активоцентрическом подходе, данная платформа должна быть управляема, адаптируема к динамично изменяющейся инфраструктуре организации и решать ее реальные задачи. В соответствии с уникальным видением развития индустрии SIEM и новой эры решений класса Threat Intelligence сформированы планы развития продукта на ближайшие три года, включающие четыре ключевых релиза ежегодно. Так, к третьему кварталу 2016 года выйдет релиз, в котором появится облачный механизм обновления данных об уязвимостях, а к осени запланировано внедрение механизма автокорреляций на основе моделирования векторов атак. Быстрый выпуск обновлений позволяет оперативно вносить исправления и доработки по результатам пилотных внедрений.
На весну 2016 году завершено 26 и находятся в работе еще 25 «пилотов» MaxPatrol SIEM, реализовано 15 коммерческих проектов. MaxPatrol SIEM используют российские Министерство обороны и Министерство транспорта, энергетическая компания «Россети», Департамент информационных технологий Москвы, Комитет по информатизации и связи Санкт-Петербурга.
В реестр российских программ
Система мониторинга событий информационной безопасности MaxPatrol SIEM и защитный экран уровня приложений PT Application Firewall приказом Минкомсвязи РФ внесены в начале июня 2016 года в единый реестр российских программ для электронных вычислительных машин и баз данных. В соответствии с решением уполномоченного органа с 14 июня 2016 года система PT Application Firewall включена в класс ПО, к которому относятся средства обеспечения информационной безопасности предприятия. MaxPatrol SIEM помимо этого включен в класс систем мониторинга и управления и системы сбора, хранения, обработки, анализа, моделирования и визуализации массивов данных.
С мая 2016 года в единый реестр отечественного ПО также входят сканер уязвимостей XSpider (в классе средств обеспечения ИБ) и флагманское решение компании Positive Technologies – MaxPatrol 8.0 (в классе систем мониторинга и управления информационной безопасностью предприятия).
MaxPatrol SIEM подключён к InfoWatch Traffic Monitor Enterprise
В начале лета 2016 года Positive Technologies сообщила о подключении системы InfoWatch Traffic Monitor Enterprise версии 4.1 в качестве источника событий информационной безопасности для системы MaxPatrol SIEM.
Эксперты Positive Technologies развернули стенд системы контроля утечки данных с воспроизведением типовых событий информационной безопасности, разработали правила преобразования получаемых от DLP-системы данных в формат MaxPatrol SIEM. В результате интеграции пользователи SIEM-системы получили возможность отслеживать на единой панели мониторинга события из DLP-системы. В том числе передачу конфиденциальной информации через корпоративную почту, интернет-ресурсы, средства общего доступа к файлам и системы обмена сообщениями.
MaxPatrol SIEM поддерживает также средства защиты большинства отечественных производителей: «Доктор Веб», «Лаборатория Касперского», «Код безопасности», «С-Терра СиЭсПи», «Смарт Лайн Инк», InfoWatch, «ИнфоТеКС» и др.
MaxPatrol SIEM 2.0 совместима со средствами защиты российских производителей
29 апреля 2016 года компания Positive Technologies сообщила о выходе версии MaxPatrol SIEM 2.0 системы сбора и анализа событий информационной безопасности.
Версию отличают упрощенный подход к формированию корреляционных правил и расширенные возможности по расследованию инцидентов, основанному на ретроспективном мониторинге состояния всех активов ИТ-инфраструктуры. В результате снижается число ложных срабатываний системы при работе с большими объемами данных. Также в MaxPatrol SIEM 2.0 была расширена база знаний о поддерживаемых источниках данных (в том числе отечественных).
MaxPatrol SIEM 2.0 оперирует не только событиями ИБ, но и реальными сущностями инфраструктуры в любой момент времени — аккумулирует информацию о сети, ее узлах и конфигурациях (в том числе о виртуальных машинах), позволяя построить полную модель ИТ-инфраструктуры и видеть всю картину происходящего.
Система позволяет использовать в правилах корреляции информацию об активах (от перечня установленного ПО, прав доступа до списка уязвимостей) и оценивать степень риска каждого инцидента. Благодаря этому в разы снижается частота ложных срабатываний системы, а ИБ-специалисты получают инструмент оперативного расследования инцидентов безопасности с привязкой к конкретным объектам наблюдения.
Обновленный интерфейс системы обеспечивает гибкую работу с данными (включая механизмы сортировки, группировки, фильтрации, поиска, переработанные в соответствии с насущными потребностями ИБ-специалиста) и позволяет формировать отчеты различной сложности, отражающие реальное состояние информационной безопасности (в том числе «из коробки»).
В данной версии реализована возможность создания правил корреляции, в соответствии с которыми разрозненные события объединяются в инциденты, прямо из веб-интерфейса. В результате процесс ручного создания правил в некоторых случаях сократился до нескольких минут.
Продукт обладает базой знаний о поддерживаемых источниках (совместим с оборудованием ведущих зарубежных вендоров, позволяет подключать в качестве источников событий средства защиты большинства отечественных производителей: Dr.Web, Kaspersky Business Space Security,С-Терра СиЭсПи, InfoWatch (ИнфоВотч), Secret Net, ИнфоТеКС (Infotecs)) и имеет более 100 преднастроенных правил корреляции.
MaxPatol SIEM 2.0 является решением enterprise-уровня, соответствующим всем требованиям по стабильности и производительности в условиях высоконагруженных корпоративных систем.
Технические инновации и полностью открытый API MaxPatol SIEM 2.0 позволяют осуществлять его внедрение или переход с других решений класса SIEM практически незаметно для бизнес-процессов организации.
MaxPatrol и DeviceLock
12 апреля 2016 года Positive Technologies и «Смарт Лайн Инк» сообщили о реализации объединения технологических возможностей продуктов MaxPatrol и DeviceLock для защиты корпоративных ресурсов.
В результате совместных действий партнеров MaxPatrol SIEM получила возможность автоматически подключать DeviceLock DLP Suite в качестве источника событий информационной безопасности.
Количество поддерживаемых источников — одна из ключевых характеристик SIEM-системы. Но заказчику важна не сама эта цифра, а уверенность в том, что будут поддержаны источники событий именно его ИТ-инфраструктуры. А для российского заказчика в приоритете поддержка средств защиты информации отечественного производства. Отвечая этим вызовам, MaxPatrol SIEM уже сейчас поддерживает десятки систем отечественных производителей, и мы продолжаем расширять их перечень. Угроза утечки конфиденциальных данных всегда актуальна, и многие компании активно используют DLP-системы — в том числе и пользователи MaxPatrol SIEM. Поэтому мы начали адаптацию MaxPatrol SIEM к нюансам работы DLP-систем, первой из которых стал российский программный комплекс обнаружения и предотвращения утечек конфиденциальных и критически важных данных DeviceLock DLP Suite, широко используемый в государственных учреждениях, в финансовых, энергетических и телекоммуникационных компаниях. Максим Филиппов, директор Positive Technologies по развитию бизнеса в России
|
Доработка MaxPatrol SIEM проведена совместно с компанией «Смарт Лайн Инк». Эксперты Positive Technologies развернули тестовый стенд системы контроля утечки данных, воспроизвели события подключения внешних носителей и сделали расшифровку и описание событий в журналах из базы данных DLP-системы.
Специалисты «Смарт Лайна» дали необходимые пояснения о типах и формате событий, генерируемых DLP-системой, обеспечили возможность подключения к БД. По итогам работ были разработаны правила преобразования данных, получаемых от DLP-системы, в формат MaxPatrol SIEM. В результате доработки система мониторинга и корреляции событий информационной безопасности обеспечивает сбор информации из базы DeviceLock DLP Suite, в том числе и событиях присоединения к рабочим компьютерам флэш-накопителей, смартфонов и других устройств.
Ценные корпоративные данные могут быть скопированы с рабочих компьютеров на флэш-накопители, мобильные устройства, в облачные хранилища или переданы третьим лицам по электронной почте и через другие каналы. DeviceLock DLP Suite осуществляет контроль доступа к устройствам хранения и обработки данных, контроль пользовательских каналов коммуникации и фильтрацию содержимого передаваемых файлов. Подключение системы PT MaxPatrol SIEM к DeviceLock DLP Suite позволит выводить на единую панель мониторинга все необходимые корреляции от DLP-системы, что принципиально повысит оперативность реагирования служб безопасности на инциденты, связанные с утечкой информации, и позволит проводить расследования по горячим следам. Сергей Вахонин, директор по решениям АО «Смарт Лайн Инк»
|
SurfPatrol интегрирован с решениями "Крипто-Про"
Весной 2016 года Positive Technologies и «Крипто-Про» объявили о начале сотрудничества. Результатом совместной работы стала интеграция онлайн-сервиса SurfPatrol от Positive Technologies, с помощью которого можно проверять защищенность веб-браузера, и решений «Крипто-Про», предназначенных для формирования электронной подписи — «КриптоПро ЭЦП Browser plug-in», «КриптоПро DSS» и «КриптоПро DSS Lite». Объединение этих технологий позволит клиентам «Крипто-Про» снизить риск подмены подписываемых данных при формировании электронной подписи.
Как отмечается, решения «Крипто-Про» используются для работы с системами электронного документооборота: с помощью электронной подписи заверяются документы на сайтах госуслуг, клиентских порталах, в системах интернет-банкинга, осуществляются закупки на электронных торговых площадках. Так, «КриптоПро ЭЦП Browser plug-in» служит для формирования и проверки электронных подписей на веб-страницах. Программно-аппаратный комплекс «КриптоПро DSS» обеспечивает защищенное хранение закрытых ключей пользователей и предоставляет аутентифицированный доступ к ним для формирования электронной подписи. Его облегченная версия «КриптоПро DSS Lite» предназначена для подписания документов наиболее распространенных форматов на различных платформах в веб-браузере.
Вместе с тем, использование электронной подписи напрямую в веб-браузере влечет за собой потенциальные риски: и браузер, и его расширения часто содержат критически опасные уязвимости, которые злоумышленники могут использовать для подмены подписываемых данных. Цена подобной атаки в случае ее успешной реализации — серьезные репутационные и финансовые потери. Поэтому одна из основных задач, стоящих перед «Крипто-Про» и ее клиентами — контроль защищенности веб-браузера при формировании электронной подписи, указали в компании.
Интеграция онлайн-сервиса SurfPatrol от Positive Technologies в средства формирования электронной подписи «Крипто-Про» обеспечивает защиту от атак, направленных на использование уязвимостей веб-браузера. Теперь при обращении пользователя к «КриптоПро ЭЦП Browser plug-in», «КриптоПро DSS» или «КриптоПро DSS Lite» SurfPatrol автоматически проанализирует работу веб-браузера и его расширений и выдаст вердикт об их защищенности. При обнаружении уязвимостей пользователи будут проинформированы об угрозах безопасности, а также получат рекомендации по их устранению, подчеркнули в Positive Technologies.
2015
MaxPatrol сертифицирована по стандарту ISO 15408
22 июня 2015 года компания Positive Technologies сообщила о завершении сертификации системы контроля защищенности и соответствия стандартам безопасности MaxPatrol по стандарту ISO 15408 в Германии.
Международный сертификат по требованиям безопасности выдан немецким Федеральном ведомством по безопасности в сфере информационных технологий (BSI) — аналог ФСТЭК в России.
Стандарт ISO 15408 «Common Criteria for Information Technology Security Evaluation» (сокращенно Common Criteria или CC) принят в 1999 году, как унифицированный международный стандарт сертификации информационных систем по требованиям безопасности. Стандарт позволяет формировать задания по безопасности — унифицированные документы, с помощью которых могут изложить требования к безопасности продукта, разработчики могут заявить о свойствах безопасности своего продукта, эксперты по безопасности — определить, удовлетворяет ли продукт этим заявлениям, а потребители оценить, пригоден ли продукт для их компьютерных систем. Таким образом, стандарт обеспечивает условия, в которых процесс описания, разработки и проверки продукта на требования по безопасности производится с необходимой скрупулёзностью.
Процедура сертификации, предусмотренная ISO 15408, имеет два важных отличия от других видов оценки соответствия:
- в отличие, например, от сертификации на соответствие техническим условиям, разработчик сертифицируемого продукта обязан не только декларировать функции безопасности своего решения, но и обосновать достаточность этих функций для противодействия угрозам, характерным для условий, в которых предполагается эксплуатация.
- в сертификате указывается уровень доверия (Evaluation Assurance Level, EAL), позволяющий потребителю сертифицированного решения судить о том, насколько глубоко это решение исследовано в ходе сертификационных испытаний.
Сертификат системы MaxPatrol подтверждает: функции безопасности системы предотвращают несанкционированный доступ к результатам сканирования, настройкам и иной важной информации, обрабатываемой системой.
Испытания проводились в соответствии с уровнем доверия EAL2, предусматривающим тестирование продукта испытательной лабораторией и детальное изучение проектной документации, процессов разработки и тестирования, поиск уязвимостей в файлах дистрибутива системы.
«Это первая успешная сертификация программного продукта российской компании за рубежом в рамках соглашения CCRA. Не скрою, когда мы только начали эту работу, у нас были некоторые опасения, что политические осложнения помешают ее завершить. Но они, к счастью, не оправдались, — заявил Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. — Сравнивая опыт зарубежной и российской сертификации, мы не заметили каких-либо существенных различий в работе немецкой и российских испытательных лабораторий. Основной сложностью, пожалуй, оказалась необходимость разработать комплект документации по форме, которая установлена требованиям ISO 15408: состав и содержание документов кардинально отличаются от того, что предписывается российским разработчикам привычными стандартами ЕСПД».
MaxPatrol интегрирован с продуктами "С-Терра"
1 декабря 2015 года компании «С-Терра СиЭсПи» и Positive Technologies сообщили о завершении тестирования возможностей интеграции продуктов С-Терра Шлюз и С-Терра Клиент в систему PT MaxPatrol SIEM.
Пользователи MaxPatrol SIEM получили возможность просмотра событий безопасности от устройств С-Терра вместе с инцидентами от продуктов других производителей.
Теперь системы безопасности, созданные на платформе продуктов С-Терра, интегрируются с универсальной платформой средств безопасности от Positive Technologies, основной элемент которой - MaxPatrol SIEM.
Христофор Газаров, технический директор ООО «С-Терра СиЭсПи», заявил:
- Совместимость с системой MaxPatrol SIEM компании Positive Technologies - это важный шаг навстречу пользователю, который хочет не только надежно защищать свою сеть продуктами С-Терра, но и контролировать события системы в реальном времени. Интеграция наших продуктов сделала управление информационной безопасностью корпоративной сети еще эффективнее.
Сергей Павлов, директор по сетевым технологиям компании Positive Technologies, отметил:
- Компания Positive Technologies всегда идет навстречу своим клиентам. Известно, что для полноценной защиты любой инфраструктуры требуется поддержка всех средств защиты информации. Продукты С-Терра используются во многих крупных российских компаниях, например, Почта России, ГМК Норильский Никель, СО ЕЭС. Поддержка данных продуктов в MaxPatrol SIEM обеспечивает расширение горизонта видимости атак и корреляцию событий на более высоком уровне.
Согласно заявлению компаний, интеграция РТ MaxPatrol SIEM и продуктов С-Терра Шлюз, С-Терра Клиент обеспечивает возможность выявления инцидентов информационной безопасности, проведения расследования инцидентов и выявления злоумышленников.
2014
Интеграция с IBM Security QRadar SIEM
7 июля 2014 года компания Positive Technologies сообщила об интеграции системы контроля защищенности и соответствия стандартам MaxPatrol с решением IBM Security QRadar SIEM, предназначенным для управления событиями и инцидентами ИБ.
Совместимость этих продуктов поможет облегчить создание системы управления информационной безопасностью.
Разработчики сообщили о корреляции данных, поступающих с сетевых устройств, систем безопасности, серверов, конечных точек, приложений и сканеров уязвимостей, приложением IBM Security QRadar SIEM, после чего оповещает администраторов об инцидентах и помогает службам безопасности и ИТ в принятии решений.
MaxPatrol объединяет механизмы системных проверок, тестирования на проникновение, контроля соответствия стандартам в сочетании с поддержкой анализа сетевого оборудования, операционных систем, СУБД, прикладных и ERP-систем и веб-приложений. Система позволяет сформировать непротиворечивые корпоративные стандарты, автоматизировать процессы инвентаризации, контроля изменений, оценивать ИТ- и ИБ-процессы с помощью ключевых показателей эффективности.
Сведения об уязвимостях и соответствии требованиям стандартов, собираемые MaxPatrol, могут автоматически передаваться в QRadar, расширяя возможности этой SIEM.
Positive Technologies получила сертификат SAP
Система контроля защищенности и соответствия стандартам MaxPatrol, разработанная Positive Technologies, прошла сертификационные испытания компании SAP, разработчика ERP-систем и бизнес-приложений, и получила статус SAP Certified Integration with SAP NetWeaver.
Наличие сертификата подтверждает корректную работу MaxPatrol с продуктом SAP NetWeaver (версии 7.0 и выше) и соответствие интеграционным стандартам SAP. Техники и методы получения данных, которые применяются в MaxPatrol, проверены и полностью одобрены специалистами немецкой компании, а Positive Technologies включена в число сертифицированных партнеров SAP AG.
Сотрудничество Positive Technologies и SAP продолжается не первый год. Эксперты Positive Technologies проводят специализированные тесты на проникновения и аудит безопасности ERP-систем и помогают устранять выявленные уязвимости. Все знания, полученные в ходе таких работ, и связанные с ними проверки включаются в базу знаний MaxPatrol, при этом часть недостатков безопасности обнаруживается эвристическими механизмами системы.
Система MaxPatrol еще в 2009 году, одной из первых в своем классе, получила механизмы выявления недостатков безопасности и проверки конфигураций в соответствии с рекомендациями ISACA и SAP Security Guides. В настоящее время MaxPatrol используют более чем в 1000 компаний по всему миру, а крупнейшие инсталляции SAP, защищаемые с помощью продуктов Positive Technologies, насчитывают более 700 экземпляров системы и обеспечивают взаимодействие более чем 400 тысяч пользователей.
Возможности MaxPatrol не ограничиваются проверкой базовых компонентов SAP: новые расширения позволяют контролировать безопасность модулей SAP HCM (Human Capital Management, управление человеческим капиталом), SAP MM (Material Management, управление материалами), SAP SRM (Supplier Relationship Management, управление отношениями с поставщиками) и SAP ERP (Enterprise Resource Planning, управление ресурсами предприятия) и контролировать безопасность важных для бизнеса приложений на всех уровнях, начиная с сетевой инфраструктуры и заканчивая прикладными элементами.
В 2013 году компания Positive Technologies выпустила Application Inspector и Application Firewall — новые продукты, обеспечивающие анализ исходных кодов приложений собственной разработки и проактивную защиту критических приложений от компьютерных атак и фрода. Оба продукта учитывают специфику SAP: PT AI поддерживает анализ приложений на языках SAP ABAP и SAP Java, а PT AF содержит специализированные модули для блокирования атак нулевого дня, направленных на SAP Portal.
2013
MaxPatrol сертифицирован организацией Center for Internet Security
Компания Positive Technologies объявила весной 2013 года о получении системой контроля защищенности и соответствия стандартам MaxPatrol сертификата соответствия CIS Security Software Certification for CIS Security Benchmarks некоммерческой организации Center for Internet Security, которая играет ведущую роль в стандартизации в области информационной безопасности в США. Получение данного сертификата означает, что реализация режима Compliance вMaxPatrol соответствуют требованиям, которые предъявляются CIS к автоматизированным системам контроля конфигураций и анализа защищенности. В настоящее время в поставку MaxPatrol включены проверки по более чем 150 стандартам для широкого спектра различных систем, от сетевого оборудования до АСУ ТП, SAP- и ERP-систем, причем около половины используемых стандартов являются стандартами CIS.
Именно подразделение Security Benchmarks занимается разработкой стандартов и рекомендаций информационной безопасности на основе консенсуса о лучших практиках, который вырабатывается внутри IT-сообщества многочисленными экспертами по ИБ. Эти рекомендации помогают миллионам компаний по всему миру адекватно оценивать степень защищенности своих информационных ресурсов иполучать самую актуальную информацию о безопасной настройке различных систем. Эксперты Positive Technologies активно участвуют в разработке требований безопасности для стандартов CIS.
2010
В июле 2010 года компания-разработчик сообщила, что разработала модуль анализа защищенности и контроля соответствия стандартам для операционной системы HP-UX, систем и приложений на ее основе. Модуль включен в стандартную поставку системы контроля защищенности и соответствия стандартам MaxPatrol.
Использование модуля позволяет снизить издержки на поддержание систем HP-UX в защищенном состоянии, затраты на обеспечение соответствия требованиям отраслевых, государственных и международных стандартов, таких как Федеральный Закон «О персональных данных», PCI DSS, SOX, ISO В текущей реализации система MaxPatrol позволяет обнаруживать и контролировать устранение более 200 ошибок, связанных с управлением обновлениями и настройками системы HP-UX. В режиме Compliance реализован контроль около 100 ключевых параметров конфигурации ОС и приложений, связанных с выполнением требований стандартов.
При разработке системы проверки использовалась среда, предоставленная компанией НР по программе HP Partner Virtualization Program (HP PVP).
Функциональные возможности системы MaxPatrol позволяют обеспечить непрерывный технический аудит защищенности всей информационной системы и отдельных ее компонентов. Основными преимуществами решения MaxPatrol являются:
- проактивная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности;
- автоматизированный контроль соответствия системы безопасности отраслевым и международным стандартам;
- автоматизация процессов управления уязвимостями, инвентаризации ресурсов, контроля соответствия политикам безопасности и контроля изменений;
- комплексный анализ сложных систем, включая сетевое оборудование Cisco, платформы Windows, Linux, Unix, СУБД Microsoft SQL, Oracle, сетевые приложения и web-службы собственной разработки;
- возможность мониторинга информационной системы на соответствие корпоративным требованиям и политикам безопасности.
Решения на базе MaxPatrol поставляется средним и крупным организациям, в которых число автоматизированных рабочих мест превышает 300. В таких компаниях анализ защищенности – трудоёмкий комплекс мероприятий. В него входит инвентаризация оборудования, контроль состава ПО и актуальности его версий, анализ данных об узлах сетевой инфраструктуры, мониторинг уязвимостей и рисков кражи конфиденциальных данных, оценка защищенности веб-приложений и актуальности антивирусных баз, контроль конфигураций сетевых устройств. Все эти мероприятия усложнены необходимостью выполнять требования корпоративных политик безопасности, регуляторов, стандартов безопасности, сравнивать и согласовывать их нормы.
Пользуясь решениями на базе MaxPatrol, компании переходят от решения этого набора задач к системному мониторингу защищенности: формируют непротиворечивые корпоративные стандарты безопасности, автоматизируют процессы инвентаризации, контроля изменений, управления уязвимостями и контроля соответствия, оценивают эффективность ИТ- и ИБ-процессов с помощью установленных показателей. За счет автоматизации множества задач компании смогут уменьшить трудоёмкость мониторинга информационной безопасности и снизить эксплуатационные затраты на поддержание необходимого уровня защищенности ИТ-инфраструктуры.
Основной продукт компании Positive Technologies — система контроля защищенности и соответствия стандартам MaxPatrol — официально сертифицирован в начале 2012 года некоммерческой корпорацией MITRE в качестве CVE-Compatible. Это означает, что MaxPatrol признан совместимым с CVE и удовлетворяет всем требованиям, предъявляемым создателями стандарта.
Общепризнанная классификация уязвимостей Common Vulnerabilities and Exposures (CVE) позволяет участникам рынка информационной безопасности разговаривать на одном языке. В рамках данного проекта каждой уязвимости или угрозе дается имя и краткое описание по строго определенным правилам.
Поддержка идентификаторов CVE открывает перед специалистами в области информационной безопасности широкие возможности для интеграции MaxPatrol с другими системами, а также позволяет предметно сравнить его по эффективности с аналогичными продуктами других производителей — при использовании в рамках одной и той же информационной инфраструктуры — и оценить суммарную эффективность их совместной эксплуатации. Некоммерческая корпорация MITRE с 1999 года поддерживает и развивает единый стандарт CVE, пополняя открытую базу уязвимостей. Данный проект стал ответом на неразбериху, долгое время царившую в сфере информационной безопасности, при которой у разных производителей ИБ-контента одна и та же уязвимость могла иметь совершенно различные наименования. Зная CVE-идентификатор конкретной уязвимости и используя любой из продуктов, имеющих статус CVE-Compatible, можно получить информацию о данной проблеме безопасности. С момента запуска стандарта количество организаций, поддерживающих CVE, быстро растет; сегодня их более 150. Полный список таких организаций и их разработок представлен на официальном сайте стандарта.
Примечания
- ↑ База знаний с описанием тактик, техник и процедур атак злоумышленников.
- ↑ Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base, которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.
- ↑ Предыдущие пакеты экспертизы покрывают тактики «Выполнение», «Обход защиты», «Перемещение внутри периметра», «Закрепление» и «Получение учетных данных».
- ↑ Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Наборы правил и рекомендаций объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь системы может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1204)
Смарт-Софт (Smart-Soft) (5)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Другие (71)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
Аксофт (Axoft) (2)
Deiteriy (Дейтерий) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (720, 500)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
Научно-производственное объединение Адаптивные промышленные технологии (Апротех) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
Check Point Software Technologies (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Вебмониторэкс (ранее WebmonitorX) (1, 2)
Другие (7, 8)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 673
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
Другие 16
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (66)
Softline (Софтлайн) (57)
SearchInform (СёрчИнформ) (54)
ДиалогНаука (44)
Информзащита (40)
Другие (924)
Инфосистемы Джет (5)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Другие (61)
Солар (ранее Ростелеком-Солар) (8)
SearchInform (СёрчИнформ) (4)
А-Реал Консалтинг (3)
Информзащита (3)
Национальный аттестационный центр (НАЦ) (2)
Другие (44)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SearchInform (СёрчИнформ) (19, 58)
InfoWatch (ИнфоВотч) (14, 49)
Солар (ранее Ростелеком-Солар) (4, 48)
FalconGaze (Фалконгейз) (1, 38)
Positive Technologies (Позитив Текнолоджиз) (8, 37)
Другие (410, 310)
R-Vision (Р-Вижн) (1, 4)
Инфосекьюрити (Infosecurity) (2, 2)
Солар (ранее Ростелеком-Солар) (2, 2)
SETERE Group (быв. Security Technology Research -ТБИ (Технологии Безопасность Исследования)) (1, 2)
Makves (Маквес) (1, 2)
Другие (10, 13)
Солар (ранее Ростелеком-Солар) (2, 7)
SearchInform (СёрчИнформ) (2, 4)
А-Реал Консалтинг (1, 3)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
Makves (Маквес) (1, 2)
Другие (5, 6)
SearchInform (СёрчИнформ) (2, 2)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Colizeum Langame Software, CLS (Колизеум Лангейм Софт) (1, 1)
Makves (Маквес) (1, 1)
Инфосекьюрити (Infosecurity) (1, 1)
Другие (8, 8)
SearchInform (СёрчИнформ) (2, 16)
Перспективный мониторинг (1, 4)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
Crosstech Solutions Group (Кросстех Солюшнс Групп) (1, 1)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1)
Другие (3, 3)
Распределение систем по количеству проектов, не включая партнерские решения
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 52
InfoWatch Traffic Monitor Enterprise (IWTM) - 46
FalconGaze SecureTower - 38
MaxPatrol SIEM - 33
DeviceLock Endpoint DLP Suite - 31
Другие 347
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Kickidler Система учета рабочего времени - 2
MaxPatrol SIEM - 2
Makves DCAP (Data-Centric Audit and Protection) - 2
SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2
Другие 12
Solar Dozor DLP-система - 4
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Softscore UG: Anwork Бизнес-коммуникатор - 2
Другие 10