MaxPatrol SIEM выявляет попытки закрепления атакующих в инфраструктурах на базе операционной системы Linux

В систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы, предназначенный для выявления подозрительных изменений системных объектов на узлах с ОС семейства Linux. Теперь пользователи MaxPatrol SIEM могут обнаружить действия злоумышленника, который уже проник в инфраструктуру, — его попытки закрепиться в ней, повысить привилегии или скрыть следы.

Linux-системы — лакомая цель для злоумышленников: они часто выступают в роли веб-серверов или могут содержать критически важные для бизнеса активы, например базы данных, SAP или «1C». Интерес атакующих к ним объясняется и тем, что Linux-системы, как правило, разворачивают на периметре организации, поэтому их взлом нередко сразу приводит злоумышленников во внутреннюю сеть. Чтобы помочь компаниям с Linux-инфраструктурой обеспечить безопасность, эксперты Positive Technologies разработали набор специфических способов обнаружения угроз.

Ранее в систему выявления инцидентов MaxPatrol SIEM уже был загружен пакет экспертизы для выявления атак в ОС семейства Linux. Новая серия правил детектирования дополняет предыдущие.

Правила, вошедшие в состав восемнадцатого пакета экспертизы, детектируют применение техник «Получение учетных данных» (Credential Access) и «Закрепление» (Persistence) по матрице MITRE ATT&CK и помогают обнаружить попытки злоумышленников:

  • получить информацию, позволяющую авторизоваться в системе от имени легитимного пользователя (например, SSH-ключи пользователя ОС);
  • изменить системные файлы, например сценарии запуска ОС, конфигурационные файлы ОС, системные библиотеки или исполняемые файлы для того, чтобы обеспечить постоянный беспрепятственный доступ (бэкдор) в скомпрометированную систему или повысить привилегии.

Таким образом, пользователи смогут обнаружить злоумышленника, который уже проник в систему, и детектировать его дальнейшее продвижение. Выявление подозрительных изменений системных объектов может оказаться последней возможностью заметить злоумышленника в конкретной системе. Иначе киберпреступникам удастся получить все необходимые привилегии, чтобы надежно закрепиться, и тогда обнаружить их станет практически невозможно.

Кроме того, эксперты Positive Technologies обновили предыдущий пакет экспертизы, изменения коснулись удобства работы с правилами при обработке инцидентов.

  1. Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют атаки и разрабатывают способы их обнаружения. Наборы правил и рекомендаций объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта. Данный пакет экспертизы ― восемнадцатый по счету.
  2. Linux — семейство Unix-подобных операционных систем, которые основаны на свободном и открытом программном обеспечении.
09.06.2020

Какие IT-решения актуальны в кризис?