MaxPatrol SIEM обнаруживает продвинутые способы маскировки злоумышленников

Пн 26 Сентябрь 2022 10:42

Система мониторинга событий информационной безопасности MaxPatrol SIEM получила обновление ранее загруженных пакетов экспертизы для выявления техник сокрытия злоумышленников и признаков работы популярных хакерских инструментов . Правила детектирования нацелены на обнаружение продвинутых методов маскировки киберпреступников в инфраструктуре и активности фреймворков, часто используемых в целевых атаках.

Злоумышленники постоянно модифицируют свои инструменты, техники и методы атак, а также разрабатывают новые способы обхода средств защиты и сокрытия своего присутствия в инфраструктуре скомпрометированных компаний. MaxPatrol SIEM включил 42 новых правила, добавленные в ранее загруженные пакеты экспертизы. Они позволяют пользователям MaxPatrol SIEM выявлять наиболее актуальные техники атак и способы маскировки вредоносной активности. Среди них, в частности:

«Техники и инструменты атакующих активно развиваются, а вместе с ними и средства защиты, которые необходимо регулярно пополнять актуальной экспертизой для противодействия новым способам атак. Наши исследования киберугроз и популярных хакерских фреймворков показывают, что злоумышленники сегодня уделяют все больше внимания маскировке: хорошо зная современные методы детектирования, они изобретают новые, которые максимально усложняют обнаружение вредоносной активности. А значит, требуется глубже и тщательнее изучать события ИБ, чем раньше, — комментирует Кирилл Кирьянов, ведущий специалист отдела экспертных сервисов развития экспертного центра безопасности Positive Technologies (PT ESC). — Например, событие Sysmon 10 свидетельствует о том, что атакующие пытаются получить учетные данные через доступ к памяти процесса lsass.exe. Чтобы выявить данную киберугрозу, средства ИБ затачивают исключительно под ловлю этого события. Однако сегодня злоумышленники модернизировали техники получения доступа к этому процессу так, чтобы исключить прямое обращение к памяти lsass.exe и генерацию события Sysmon 10. Такие, скажем, продвинутые техники уже невозможно обнаружить классическими способами, поэтому мы написали дополнительные правила, покрывающие новые методы сокрытия. Обновления помогут пользователям MaxPatrol SIEM своевременно выявить подозрительную активность и предотвратить развитие атаки».

Чтобы начать использовать добавленные правила, нужно обновить продукт до версии 7.0 и установить правила из пакета экспертизы.

Реклама. Рекламодатель: АО "Позитив Текнолоджиз", ОГРН 1077761087117.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 255 дней 11 часов 22 минуты 40 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.