Спецпроекты

Безопасность Новости поставщиков

Maxpatrol SIEM научилась выявлять сетевые аномалии при удаленной работе

В систему Maxpatrol SIEM компании Positive Technologies загружен пакет экспертизы для выявления подозрительной активности в сети, что особенно актуально в связи с удаленной работой пользователей. Пакет покрывает девять аномалий, требующих оперативного расследования.

Из-за перехода компаний на удаленный режим работы у злоумышленников появляются новые возможности для проникновения в локальную сеть. Чтобы вовремя выявить нелегитимные подключения из-за периметра компании, эксперты Positive Technologies выпустили пакет экспертизы с набором правил для оперативного обнаружения признаков активности злоумышленников.

Примеры аномалий, которые теперь выявляет Maxpatrol SIEM: сетевые подключения через туннели; попытки подключений к критически важным сегментам сети; дублирующиеся удаленные сессии; многократные неудачные попытки подключения к узлу с ПО OpenVPN; многократные неудачные попытки подключения к межсетевому экрану Cisco ASA; включение на локальном межсетевом экране правила доступа, разрешающего устанавливать подключение по RDP; подключение по протоколу RDP от сетевого узла с ОС семейства Unix; добавление учетной записи пользователя в значимые для ИБ группы ОС Windows; повторное подключение по VPN к узлу с ОС Windows.

«Поскольку для большинства компаний актуальны угрозы, связанные с удаленным режимом работы, мы решили помочь им усилить безопасность сети с помощью нашей экспертизы, — сказал Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Пакет экспертизы для выявления подозрительной активности в сети, связанной с удаленной работой пользователей, будет пополняться еженедельно, покрывая все больше возможных техник атакующих».

Для выбора приоритетов в разработке способов обнаружения угроз Positive Technologies проводит специальный опрос специалистов по ИТ и ИБ. В первую очередь эксперты будут разрабатывать правила корреляции под наиболее распространенные системы организации удаленного доступа.

Короткая ссылка