Разработчики MaxPatrol SIEM добавили в систему дополнительный пакет экспертизы. Его предназначение – обнаружение киберпреступников на стадии их связи с атакованными устройствами или при попытке увеличения привилегий до администраторского уровня для дальнейшего развития кибератаки.
Регламент, добавленный в 19-й пакет экспертизы для MaxPatrol SIEM, обнаруживает следующие действия киберпреступников: «Повышение привилегий», «Управление и контроль». Это уже 6-й пакет от специалистов Positive Technologies для MaxPatrol SIEM, выстроенный по модели Mitre Att&ck (общее количество прописанных тактик в матрице – 12).
Антон Тюрин, начальник департамента экспертных сервисов безопасности PT, отметил: «Использование техник увеличения привилегий свидетельствует о желании киберпреступников заполучить в скомпрометированной сети максимальные разрешения и полномочия. Для реализации своих задумок они пользуются уязвимостями и ошибками конфигурации. «Управление и контроль» используется в том случае, если киберпреступнику требуется обеспечить связь со скомпрометированными системами в корпоративной сети. Для устранения следов киберпреступники применяют интегрированные инструменты ОС, создают имитацию стандартного поведения в веб-трафике».
Новый добавленный пакет экспертизы состоит из правил обнаружения, помогающих детектировать определенные подозрительные активности:
- добавление вредоносной библиотеки;
- запуск командной строки от имени администратора, исполняемых файлов от имени иных пользователей;
- проксирование портов;
- загрузка и запуск вредоносов;
- исходящее от исполняемых файлов нелегитимное веб-соединение.
Специалисты компании Positive Technologies выпустили обновления для пакетов экспертизы, которые покрывают тактики выполнения и закрепления. Сейчас пользователи имеют возможность обнаруживать попытки эксплуатации киберпреступниками встроенных программ Windows для совершения нелегитимных действий, замены или изменения исполняемых файлов.
MaxPatrol SIEM предоставляет полную наглядность ИТ-инфраструктуры и обнаруживает инциденты кибербезопасности. Продукт постоянно наполняется знаниями специалистов Positive Technologies о методах обнаружения актуальных киберугроз и адаптируется к переменам в защищаемой сети.
