Публикации
Технологии кэширования данных современных СХД, статья
End-to-end NVMe AFA-массивы Huawei, статья
FusionStorage 8.X: облачное хранилище для ЦОД нового поколения, статья
Микросхемы ускорения вычислений нейросетей, статья
MAX Data: SCM для ускорения БД, статья
Persistent Memory: новый уровень хранения данных, статья
Как строить озера данных? , статья
Violin Systems: новые решения для новых вызовов, статья
SweRV Core – первое RISC-V процессорное ядро Western Digital, статья
Преимущества использования SCM-кэша в составе внешних СХД HPE, статья
Intel: новые флэш-устройства, статья
HPE InfoSight – искусственный интеллект для центров обработки данных, статья
 
Обзоры
Все обзоры в Storage News
 
Тематические публикации
Flash-память
Облачные вычисления/сервисы
Специализ. СХД для BI-хранилищ, аналитика "больших данных", интеграция данных
Современные СХД
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
MaxPatrol SIEM выявляет попытки закрепления атакующих по модели MITRE ATT&CK

4, июнь 2019  —  В MaxPatrol SIEM загружен новый пакет экспертизы: правила корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход защиты») по модели MITRE ATT&CK для операционной системы Windows. Теперь пользователи MaxPatrol SIEM могут обнаружить активные действия злоумышленника после проникновения его в инфраструктуру.

MITRE ATT&CK — база знаний с описанием тактик, техник и процедур атак злоумышленников. Специалисты экспертного центра безопасности Positive Technologies ( PT Security Expert Center ) создадут специальную серию пакетов экспертизы для MaxPatrol SIEM, каждый из которых выявляет атаки с применением одной или нескольких тактик в соответствии с матрицей ATT&CK for Enterprise . В планах PT Expert Security Center — постепенно покрыть все 12 тактик матрицы.

Первый пакет из серии включает 15 правил корреляции событий ИБ, помогающих выявить наиболее актуальные техники атак, присущие тактикам «Выполнение» и «Обход защиты». В тактику «Выполнение» входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Они используются, среди прочего, для горизонтального перемещения, чтобы расширить доступ к удаленным системам в сети. Тактика «Обход защиты» объединяет техники, с помощью которых злоумышленник может скрыть вредоносную активность и избежать обнаружения средствами защиты.

« Классические SIEM-системы не способны выявлять атаки злоумышленников, в которых используются эксплойты нулевого дня, поэтому их целесообразнее "ловить" на последующих этапах атаки , — комментирует Алексей Новиков , директор экспертного центра безопасности Positive Technologies ( PT Expert Security Center ) . — Классическим шагом злоумышленников является выполнение вредоносного кода и попытки обхода средств средств защиты для успешного достижения своих целей. Поэтому в первую очередь мы подготовили пакет экспертизы, покрывающий тактики "Выполнение" и "Обход защиты" по модели MITRE ATT&CK. Как правило, эти тактики используются на этапах проникновения злоумышленника в инфраструктуру».

Правила корреляции, среди прочего, выявляют техники с применением метода l iving off the land (L OT L): когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Такой метод все чаще используют APT-группировки; например, группировки Cobalt Group и MuddyWater использовали встроенную в Windows утилиту «Установщик профилей диспетчера подключений» для запуска вредоносного ПО. Метод L OT L позволяет действовать под видом легитимной работы системного администратора, что снижает вероятность обнаружения атаки традиционными средствами безопасности и, следовательно, ее блокировки.

До конца 2019 года в MaxPatrol SIEM будут загружены пакеты экспертизы для выявления тактик получения первоначального доступа (Initial Access), закрепления (Persistence), получения учетных данных (Credential Access) и горизонтального перемещения (Lateral Movement). Все пакеты экспертизы будут пополняться правилами по мере обнаружения новых техник, тактик и процедур атак.


Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телеком-операторов. Подробнее — на ptsecurity.com , facebook.com/PositiveTechnologies , facebook.com/PHDays .

Публикации по теме
Информационная безопасность (ИБ), борьба с мошенничеством
 
Новости Positive Technologies

© "Storage News" journal, Russia&CIS
Редакция: 115516, Москва, а/я 88; тел./факс - (495) 233-4935;
www.storagenews.ru; info@storagenews.ru.