Спецпроекты

Maxpatrol SIEM научилась выявлять попытки закрепления атакующих в инфраструктурах на базе Linux

Безопасность Новости поставщиков

В систему выявления инцидентов Positive Technologies Maxpatrol SIEM загружен пакет экспертизы, предназначенный для выявления подозрительных изменений системных объектов на узлах с ОС семейства Linux. Теперь пользователи Maxpatrol SIEM могут обнаружить действия злоумышленника, который уже проник в инфраструктуру, — его попытки закрепиться в ней, повысить привилегии или скрыть следы.

Linux-системы — лакомая цель для злоумышленников: они часто выступают в роли веб-серверов или могут содержать критически важные для бизнеса активы, например базы данных, SAP или «1C». Интерес атакующих к ним объясняется и тем, что Linux-системы, как правило, разворачивают на периметре организации, поэтому их взлом нередко сразу приводит злоумышленников во внутреннюю сеть. Чтобы помочь компаниям с Linux-инфраструктурой обеспечить безопасность, эксперты Positive Technologies разработали набор специфических способов обнаружения угроз.

Ранее в систему выявления инцидентов Maxpatrol SIEM уже был загружен пакет экспертизы для выявления атак в ОС семейства Linux. Новая серия правил детектирования дополняет предыдущие.

Правила, вошедшие в состав восемнадцатого пакета экспертизы, детектируют применение техник «Получение учетных данных» (Credential Access) и «Закрепление» (Persistence) по матрице MITRE ATT&CK и помогают обнаружить попытки злоумышленников: получить информацию, позволяющую авторизоваться в системе от имени легитимного пользователя (например, SSH-ключи пользователя ОС); изменить системные файлы, например, сценарии запуска ОС, конфигурационные файлы ОС, системные библиотеки или исполняемые файлы для того, чтобы обеспечить постоянный беспрепятственный доступ (бэкдор) в скомпрометированную систему или повысить привилегии.

Таким образом, пользователи смогут обнаружить злоумышленника, который уже проник в систему, и детектировать его дальнейшее продвижение. Выявление подозрительных изменений системных объектов может оказаться последней возможностью заметить злоумышленника в конкретной системе. Иначе киберпреступникам удастся получить все необходимые привилегии, чтобы надежно закрепиться, и тогда обнаружить их станет практически невозможно.

Кроме того, эксперты Positive Technologies обновили предыдущий пакет экспертизы, изменения коснулись удобства работы с правилами при обработке инцидентов.