MaxPatrol SIEM выявляет еще семь сетевых аномалий23.07.2020 В систему выявления инцидентов MaxPatrol SIEM загружен двадцатый пакет экспертизы. Он позволяет выявить семь подозрительных активностей по анализу событий от сетевых устройств. Это поможет пользователям MaxPatrol SIEM оперативно локализовать атаки до того, как произойдет утечка данных, вывод из строя оборудования или запуск вредоносного ПО. Источниками событий могут быть маршрутизаторы и коммутаторы Cisco, межсетевые экраны Check Point с операционной системой GAiA, Cisco ASA, FortiGate, Palo Alto Networks PAN-OS, Juniper Junos OS. Теперь MaxPatrol SIEM выявляет следующие потенциально опасные сетевые активности: - Попытки эксплуатации уязвимости CVE-2018-0156 в технологии Cisco Smart Install, которая позволяет автоматизировать процесс первоначальной загрузки образа операционной системы некоторых коммутаторов Cisco Systems. Воспользовавшись этой уязвимостью, злоумышленник сможет без аутентификации перезагрузить сетевое оборудование, изменить его настройки и вызвать временный отказ в обслуживании. - Подключение к сторонним почтовым сервисам. Такие действия могут быть запрещены политиками безопасности организации. - Ошибки аутентификации протоколов семейства FHRP (протоколы резервирования основного шлюза). Ошибка возникает в случае мисконфигурации на сетевом оборудовании или атаки на FHRP-протокол. Успешная реализация атаки позволит злоумышленнику получить доступ к сетевому трафику организации. - Запрос информации по протоколу SNMP. Это событие свидетельствует о попытках атакующего подобрать пароль для доступа к оборудованию или получить информацию о сети предприятия. - Фрагментированный UDP-трафик. Фрагментация часто используется при попытках обойти системы обнаружения атак, поэтому фрагментированные пакеты подлежат фильтрации. - Подключение к внешним VPN-серверам. Организация туннелей из корпоративной сети может свидетельствовать о нарушении периметра и попытках злоумышленника передать вовне информацию с атакованного узла. - Использование сторонних DNS-серверов. С помощью DNS злоумышленники могут перенаправить трафик на свои ресурсы. Также DNS может быть использован как канал управления вредоносным ПО. «Сетевые атаки не пользуются большой популярностью у злоумышленников в силу сложности их выполнения. Однако, по нашему опыту, встречаются в качестве одного из этапов целевой атаки и по своим последствиям представляют серьезную угрозу для организаций, - комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. - Ранее в MaxPatrol SIEM был загружен пакет, позволяющий выявлять сетевые аномалии при удаленной работе. Теперь MaxPatrol SIEM покрывает еще больше тактик злоумышленников. В наших планах — постепенно расширять набор правил корреляции для выявления аномальной сетевой активности». Пресс-служба Positive Technologies Тема:Soft |
© 2014. ИТ-Текст. Все права защищены.