В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы.
Он включает в себя правила обнаружения признаков компрометации межсетевых экранов, маршрутизаторов и коммутаторов. Скомпрометировав такие сетевые устройства, злоумышленники могут быстро развить атаку внутри сети и добраться до своих целей.
Установив пакет экспертизы, пользователи MaxPatrol SIEM смогут выявлять индикаторы компрометации межсетевых экранов Cisco ASA и Check Point с операционной системой GAiA, маршрутизаторов и коммутаторов MikroTik и Cisco с операционной системой IOS. Новые правила позволят оперативно локализовать атаку до того, как злоумышленники изменят политики доступа в сети и получат доступ в закрытые сегменты.
Добавленный пакет экспертизы MaxPatrol SIEM включил десять индикаторов компрометации, в том числе:
- попытки подключения или успешное подключение к серверу управления Check Point GAiA с помощью утилиты SmartConsole с недоверенного сетевого узла (не входит в список тех, с которых разрешено администрирование устройства);
- изменение параметров логирования на устройстве Cisco ASA, при которых в случае неудачной аутентификации логины пользователей сохраняются в журнале в открытом виде — это позволит злоумышленникам перехватить учетные данные, включая пароли, если пользователь по ошибке введет пароль в поле логина;
- попытка подключения к устройству MikroTik c недоверенного узла с помощью утилиты для администрирования Winbox.
Для выявления некоторых признаков компрометации в сетевых устройствах пользователям пригодится система анализа трафика PT Network Attack Discovery (PT NAD). PT NAD разбирает содержание сетевых пакетов, передающихся в трафике.
Вместе продукты дают более полную картину IT-инфраструктуры и позволяют точнее выявлять инциденты:
- изменение конфигурационного файла на устройствах Cisco IOS с недоверенного сетевого узла;
- передачу ICMP-пакета большого размера, что может использоваться злоумышленниками для передачи данных, в том числе полезной нагрузки;
- попытки эксплуатации критически опасной уязвимости CVE-2018-0171 в технологии Cisco Smart Install, которая позволяет автоматизировать процесс первоначальной загрузки образа операционной системы некоторых коммутаторов Cisco Systems. Воспользовавшись этой уязвимостью, злоумышленник сможет без аутентификации перезагрузить сетевое оборудование, вызвать временный отказ в обслуживании или выполнить произвольный код.
Ранее в MaxPatrol SIEM были загружены пакеты экспертизы для выявления подозрительной активности, связанной с сетевыми устройствами, и сетевых аномалий при удаленной работе. Теперь MaxPatrol SIEM покрывает еще больше тактик злоумышленников.
Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версий 6.1 или 6.2 и установить правила из пакета экспертизы.
