В MaxPatrol SIEM загружен пакет экспертизы для выявления подозрительной активности в сети, что особенно актуально в связи с удаленной работой пользователей. Пакет покрывает девять аномалий, требующих оперативного расследования.
Из-за перехода компаний на удаленный режим работы у злоумышленников появляются новые возможности для проникновения в локальную сеть. Чтобы вовремя выявить нелегитимные подключения из-за периметра компании, эксперты Positive Technologies выпустили пакет экспертизы с набором правил для оперативного обнаружения признаков активности злоумышленников.
Примеры аномалий, которые теперь выявляет MaxPatrol SIEM:
- сетевые подключения через туннели,
- попытки подключений к критически важным сегментам сети,
- дублирующиеся удаленные сессии,
- многократные неудачные попытки подключения к узлу с ПО OpenVPN,
- многократные неудачные попытки подключения к межсетевому экрану Cisco ASA,
- включение на локальном межсетевом экране правила доступа, разрешающего устанавливать подключение по RDP,
- подключение по протоколу RDP от сетевого узла с ОС семейства Unix,
- добавление учетной записи пользователя в значимые для ИБ группы ОС Windows,
- повторное подключение по VPN к узлу с ОС Windows.
«Поскольку для большинства компаний актуальны угрозы, связанные с удаленным режимом работы, мы решили помочь им усилить безопасность сети с помощью нашей экспертизы, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Пакет экспертизы для выявления подозрительной активности в сети, связанной с удаленной работой пользователей, будет пополняться еженедельно, покрывая все больше возможных техник атакующих».
Для выбора приоритетов в разработке способов обнаружения угроз Positive Technologies проводит специальный опрос специалистов по ИТ и ИБ. В первую очередь эксперты будут разрабатывать правила корреляции под наиболее распространенные системы организации удаленного доступа.
