06.11.2020 | MaxPatrol SIEM выявляет атаки на СУБД PostgreSQL |
Система выявления инцидентов MaxPatrol SIEM пополнилась пакетом экспертизы для выявления подозрительной активности в системах управления базами данных PostgreSQL. Правила в составе пакета помогут пользователям оперативно обнаружить злоумышленников и не допустить кражи данных и вывода системы из строя. PostgreSQL — третья по распространенности СУБД в российских государственных учреждениях и крупных компаниях; в 2019 году ее использовали в 51% таких организаций. По данным Positive Technologies , получение данных было главным мотивом действий злоумышленников во втором квартале 2020 года. Чаще всего крадут учетные и персональные данные, информацию, относящуюся к коммерческой тайне, и базы данных клиентов — на долю таких сведений пришлось 80% хищений. Подобные данные обычно содержатся в системах управления базами данных, поэтому СУБД часто становятся целью атак злоумышленников. Для пользователей MaxPatrol SIEM, в чьих инфраструктурах есть СУБД PostgreSQL, команда R&D Positive Technologies выпустила пакет экспертизы с правилами для выявления атак, проводимых с помощью запросов к СУБД. Правила помогают обнаружить такие подозрительные действия, как: · отправка команд для определения версии базы данных (свидетельствует о начале атаки на СУБД), · чтение таблиц, содержащих хеш-суммы паролей, · отключение аудита, · изменение уровня важности сообщений аудита для сокрытия действий, · изменение метода аутентификации для повышения вероятности компрометации пользователя или роли в системе, · отключение политики защиты строк для таблицы, · отключение шифрования канала передачи данных (SSL), · перезагрузка конфигурации сервера, · запуск встроенных приложений операционной системы с возможностью выполнения произвольных команд. Каждое из перечисленных действий требует расследования. Это третий пакет экспертизы в MaxPatrol SIEM, созданный для детектирования подозрительной активности в популярных в России СУБД. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на Oracle Database и Microsoft SQL Server . Как получить пакет Чтобы начать использовать новый пакет экспертизы , нужно обновить MaxPatrol SIEM до версии 23 или выше. Установка пакета выполняется автоматически при обновлении Knowledge Base согласно инструкциям Руководства по внедрению . Откройте базу знаний Knowledge Base, в которой хранятся все правила корреляции, добавьте правила из пакета экспертизы в набор для установки и нажмите кнопку «Установить в MaxPatrol SIEM». Для корректной работы всех правил корреляции пакета нужно настроить аудит в соответствии с инструкцией в руководстве по установке и использованию пакета экспертизы . |
Проверить безопасность сайта