Спецпроекты

Безопасность Администратору

Maxpatrol SIEM научилась выявлять атаки на платформу SAP Netweaver Application Server для Java-приложений

В систему выявления инцидентов Maxpatrol SIEM загружен новый пакет экспертизы. Он обнаруживает подозрительную активность пользователей в платформе для приложений SAP Netweaver Application Server Java. Новые правила позволят вовремя предотвратить доступ злоумышленников к системе SAP, атаки типа «отказ в обслуживании» и повышение привилегий до уровня администратора.

«Крупнейшие компании используют бизнес-приложения SAP для управления финансовыми потоками, жизненным циклом продуктов, взаимодействием с поставщиками и клиентами, ресурсами предприятия, критически важными бизнес-процессами. Поэтому защищенность хранящейся в системах SAP информации имеет огромное значение, а нарушение ее конфиденциальности может привести к катастрофическим для бизнеса последствиям», — отметил специалист отдела безопасности бизнес-систем и баз данных Positive Technologies Станислав Завгородний.

По данным на 2019 г., доля вендора на мировом рынке бизнес-приложений составляет 7,7%. Платформа SAP Netweaver Application Server выполняет роль сервера популярных бизнес-приложений SAP. На языке Java из них написаны портал для внутренних коммуникаций SAP Portal и SAP Process Integration, которое интегрирует SAP- и другие приложения.

Эксперты Positive Technologies разработали специальный пакет экспертизы для выявления атак на SAP Netweaver Application Server Java. В него вошли 10 правил обнаружения угроз. Правила позволяют выявить применение нескольких техник атак из матрицы MITRE ATT&CK, которые используются злоумышленниками для повышения привилегий, получения учетных данных и воздействия на скомпрометированные системы. Например, с помощью этого пакета пользователи могут обнаружить случаи, когда злоумышленники: пытаются подобрать пароль к учетным записям; добавляют пользователя в группу администраторов системы SAP, чтобы повысить свои привилегии; пытаются войти в систему SAP под одной учетной записью с разных устройств; сбрасывают пароль для одной учетной записи несколько раз в течение 5 минут; реализуют атаку «отказ в обслуживании», намеренно вводя неверные пароли к учетным записям пользователей для их автоматической блокировки.

Ранее в Maxpatrol SIEM были загружены два пакета экспертизы для выявления атак на SAP ERP.

Чтобы начать использовать новый пакет экспертизы, нужно обновить Maxpatrol SIEM до версии 6.1 и установить правила из пакета экспертизы.

Дмитрий Степанов

Короткая ссылка