zhema
Опытный user
- Регистрация
- 19 Окт 2019
- Сообщения
- 130
- Реакции
- 1
В систему выявления инцидентов MaxPatrol SIEM добавлен пакет экспертизы для выявления атак в различных ОС Linux. Этот пакет позволяет найти подозрительную сетевую активность программ и учётных записей, что даёт возможность принять меры в самом начале проведения атаки.
Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов информационной безопасности в виде алгоритмов, которые обнаруживают даже самые сложные и нетипичные атаки. Соответствующие наборы правил и рекомендаций формируют специалисты Positive Technologies, они постоянно анализируют актуальные угрозы, исследуют атаки и придумывают методы их обнаружения.
Пользователь может сам выбрать нужные для него пакеты и использовать их в в процессе установки защиты.
Система Linux является очень частоиспользуемой ОС на рынках облачных сервисов, суперкомпьютеров и веб-серверов. Её поддерживает примерно 70 процентов веб-сайтов из самых популярных 10 млн доменов по рейтингу Alexa. Эти серверы могут жертвой взлома и позволить взломщикам попасть в сеть предприятия, если в установленных на них веб-программах присутствуют уязвимости. Чтобы помочь организациям с Linux-инфраструктурой обеспечить себе безопасность, сотрудники Positive Technologies создали способы обнаружения актуальных угроз.
Выпущенный пакет экспертизы объединил правила, направленные на детектирование подозрительных действий на IT-активах с ОС Linux. Они дают возможность определить использование ряда техник по матрице MITRE ATT&CK, которые применяются взломщиками для закрепления, разведки и взаимодействия с командным центром.
Таким образом, правила обнаруживают:
- запуск средств удалённого подключения, которые применяются для управления скомпрометированной системой на этапе закрепления;
- активность приложений от имени служебных учётных записей, которые атакующие могут использовать для получения данных о взломанном узле и его сетевом окружении на этапе разведки;
- системные вызовы, типичные для создания туннелированных соединений, которые нужны для создания канала связи со взломанным узлом.
Новые пакеты экспертизы для ОС Linux будут изданы в следующем году и дадут возможность находить следы взлома по подозрительным изменениям системных объектах и действиям пользователей.
Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов информационной безопасности в виде алгоритмов, которые обнаруживают даже самые сложные и нетипичные атаки. Соответствующие наборы правил и рекомендаций формируют специалисты Positive Technologies, они постоянно анализируют актуальные угрозы, исследуют атаки и придумывают методы их обнаружения.
Пользователь может сам выбрать нужные для него пакеты и использовать их в в процессе установки защиты.
Система Linux является очень частоиспользуемой ОС на рынках облачных сервисов, суперкомпьютеров и веб-серверов. Её поддерживает примерно 70 процентов веб-сайтов из самых популярных 10 млн доменов по рейтингу Alexa. Эти серверы могут жертвой взлома и позволить взломщикам попасть в сеть предприятия, если в установленных на них веб-программах присутствуют уязвимости. Чтобы помочь организациям с Linux-инфраструктурой обеспечить себе безопасность, сотрудники Positive Technologies создали способы обнаружения актуальных угроз.
Выпущенный пакет экспертизы объединил правила, направленные на детектирование подозрительных действий на IT-активах с ОС Linux. Они дают возможность определить использование ряда техник по матрице MITRE ATT&CK, которые применяются взломщиками для закрепления, разведки и взаимодействия с командным центром.
Таким образом, правила обнаруживают:
- запуск средств удалённого подключения, которые применяются для управления скомпрометированной системой на этапе закрепления;
- активность приложений от имени служебных учётных записей, которые атакующие могут использовать для получения данных о взломанном узле и его сетевом окружении на этапе разведки;
- системные вызовы, типичные для создания туннелированных соединений, которые нужны для создания канала связи со взломанным узлом.
Новые пакеты экспертизы для ОС Linux будут изданы в следующем году и дадут возможность находить следы взлома по подозрительным изменениям системных объектах и действиям пользователей.
