ГРУППА ПОЗИТИВ [новости]
НОВОСТИ АКЦИЙ РОССИИ
Группа Позитив: Система мониторинга событий ИБ MaxPatrol SIEM дополнена новыми правилами обнаружения угроз
7 632
MaxPatrol SIEM: Более 60 новых правил для обнаружения актуальных атак. MaxPatrol SIEM, система мониторинга событий информационной безопасности, получила значительное обновление, включающее свыше 60 новых правил, направленных на обнаружение современных угроз. В рамках масштабного обновления были обновлены 18 пакетов экспертизы, которые теперь помогают выявлять актуальные техники атак на Microsoft Active Directory и Microsoft Exchange, а также активность хакерских фреймворков и действия злоумышленников, использующих тактики, описанные в матрице MITRE ATT&CK1. Кроме того, система стала обнаруживать сетевые аномалии, возникающие во время удаленной работы. Ежедневно хакеры разрабатывают новые методы нападений, совершенствуют уже существующие и ищут альтернативы тем инструментам, которые были ранее обнаружены системами безопасности. Чтобы обеспечить эффективную защиту и своевременно предупреждать инциденты информационной безопасности, специалисты Positive Technologies внимательно следят за тенденциями и последними разработками злоумышленников, постоянно расширяя экспертный контент MaxPatrol SIEM. В рамках масштабного обновления было разработано 60 правил корреляции и нормализации, которые теперь позволяют системе выявлять: * Современные сетевые аномалии при удаленной работе, включая нетипичные для корпоративной инфраструктуры подключения по VPN или RDG из регионов, отличных от России, подозрительные действия на узлах, исходящие от специализированных программ для удаленного администрирования, а также создание файлов, которые злоумышленники могут отправить на целевой узел для дальнейшего развития атаки; * Дополнительные признаки работы ранее детектируемых хакерских утилит Cobalt Strike и Covenant, которые продолжают использоваться для постэксплуатации и сокрытия нелегитимной активности на конечных точках; * Новейшие сценарии атак на Microsoft Active Directory — службу каталогов для операционных систем семейства Windows: с обновленным пакетом экспертизы MaxPatrol SIEM будет сообщать оператору о попытках получения сертификатов для целевой учетной записи в результате ретрансляции NTLM-аутентификации2, выпуска TGT-билетов3 на имя другого пользователя вследствие злоупотребления сопоставлением сертификатов и других угрозах, связанных с переоформлением сертификатов; * Способы атак на корпоративный почтовый сервер Microsoft Exchange: среди добавленных детектируемых событий — скачивание с помощью функции Microsoft ActiveSync содержимого почтового ящика пользователя, учетные данные которого уже находятся в распоряжении злоумышленников, а также получение перечня опубликованных каталогов Microsoft Exchange с последующими попытками подключения по протоколу SMB4 к каждому из них. Кроме того, специалисты Positive Technologies актуализировали ранее выпущенные пакеты для обнаружения техник атакующих, относящихся к матрице MITRE ATT&CK к тактикам «Получение учетных данных» (Credential Access), «Разведка» (Discovery), «Повышение привилегий» (Privilege Escalation), «Закрепление» (Persistence) и другим. Чтобы начать использовать новые правила, необходимо обновить MaxPatrol SIEM до версии 8.2 и установить обновления пакетов экспертизы. * Матрица MITRE ATT&CK описывает тактики и техники, используемые злоумышленниками в атаках на корпоративную инфраструктуру. * NTLM — протокол сетевой аутентификации, разработанный Microsoft для Windows NT. * TGT — билет проверки подлинности Kerberos. * SMB — сетевой протокол прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия. Источник: www.ptsecurity.com
0
