MaxPatrol SIEM видит еще больше инцидентов, связанных с сетевыми устройствами31.08.2021 В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы. Он включает в себя правила обнаружения признаков компрометации межсетевых экранов, маршрутизаторов и коммутаторов. Скомпрометировав такие сетевые устройства, злоумышленники могут быстро развить атаку внутри сети и добраться до своих целей. Установив пакет экспертизы, пользователи MaxPatrol SIEM смогут выявлять индикаторы компрометации межсетевых экранов Cisco ASA и Check Point с операционной системой GAiA, маршрутизаторов и коммутаторов MikroTik и Cisco с операционной системой IOS. Новые правила позволят оперативно локализовать атаку до того, как злоумышленники изменят политики доступа в сети и получат доступ в закрытые сегменты. Добавленный пакет экспертизы MaxPatrol SIEM включил десять индикаторов компрометации, в том числе: - попытки подключения или успешное подключение к серверу управления Check Point GAiA с помощью утилиты SmartConsole с недоверенного сетевого узла (не входит в список тех, с которых разрешено администрирование устройства); - изменение параметров логирования на устройстве Cisco ASA, при которых в случае неудачной аутентификации логины пользователей сохраняются в журнале в открытом виде — это позволит злоумышленникам перехватить учетные данные, включая пароли, если пользователь по ошибке введет пароль в поле логина; - попытка подключения к устройству MikroTik c недоверенного узла с помощью утилиты для администрирования Winbox. Для выявления некоторых признаков компрометации в сетевых устройствах пользователям пригодится система анализа трафика PT Network Attack Discovery (PT NAD). PT NAD разбирает содержание сетевых пакетов, передающихся в трафике. Вместе продукты дают более полную картину IT-инфраструктуры и позволяют точнее выявлять инциденты: - изменение конфигурационного файла на устройствах Cisco IOS с недоверенного сетевого узла; - передачу ICMP-пакета большого размера, что может использоваться злоумышленниками для передачи данных, в том числе полезной нагрузки; - попытки эксплуатации критически опасной уязвимости CVE-2018-0171 в технологии Cisco Smart Install, которая позволяет автоматизировать процесс первоначальной загрузки образа операционной системы некоторых коммутаторов Cisco Systems. Воспользовавшись этой уязвимостью, злоумышленник сможет без аутентификации перезагрузить сетевое оборудование, вызвать временный отказ в обслуживании или выполнить произвольный код. Ранее в MaxPatrol SIEM были загружены пакеты экспертизы для выявления подозрительной активности, связанной с сетевыми устройствами, и сетевых аномалий при удаленной работе. Теперь MaxPatrol SIEM покрывает еще больше тактик злоумышленников. Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версий 6.1 или 6.2 и установить правила из пакета экспертизы. Пресс-служба Positive Technologies Тема:Soft |
© 2014. ИТ-Текст. Все права защищены.