Пакет экспертизы для безопасной удаленной работы в MaxPatrol SIEM пополнился новыми сценариями

Пакет экспертизы [1] для выявления сетевых аномалий при удаленной работе получил второе обновление. Теперь он покрывает еще пять сценариев, среди которых случаи подозрительной активности в сети при организации удаленного доступа с помощью межсетевого экрана Palo Alto Networks.

По результатам опроса специалистов по ИТ и ИБ, проведенного Positive Technologies , межсетевой экран Palo Alto Networks входит в пятерку наиболее популярных способов организации удаленного доступа в крупных компаниях. Поэтому специалисты Positive Technologies разработали правила обнаружения угроз, актуальные для такой системы, и загрузили их в MaxPatrol SIEM.

Теперь MaxPatrol SIEM выявляет атаки методом перебора на подсистему VPN межсетевого экрана Palo Alto (это может помешать злоумышленникам завладеть паролем для подключения в корпоративную сеть) и обнаруживает дублирующиеся VPN-подключения к межсетевому экрану, что свидетельствует о нелегитимном доступе.

Для тех компаний, в которых удаленный доступ организован с помощью межсетевого экрана Palo Alto или других популярных firewall, актуален сценарий выявления прямых VPN-подключений между двумя клиентскими узлами. Такая подозрительная активность в числе прочего свидетельствует о том, что устройство сотрудника скомпрометировано из внешней сети.

«За месяц нам удалось собрать набор правил для выявления аномалий в работе самых популярных систем для организации удаленного доступа: OpenVPN, RDG, межсетевые экраны Cisco ASA, Check Point и Palo Alto, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — С учетом двух обновлений пакет экспертизы покрывает 16 сценариев».

Обновление пакета экспертизы также актуально для компаний, в которых удаленный доступ организован с помощью Remote Desktop Gateway. Теперь MaxPatrol SIEM выявляет случаи, когда злоумышленники перемещаются внутри сети по RDP: продукт обнаруживает подключения через RDG к сетевому узлу, от которого есть RDP-соединения на другие узлы. Оперативное реагирование на такую активность позволит предотвратить развитие атаки внутри сети.

Еще один новый сценарий, требующий оперативного реагирования и выявляемый с помощью пакета экспертизы, — обнаружение повторных подключений от одного имени пользователя к серверу VPN на базе ОС Windows Server.

28 мая специалисты Positive Technologies расскажут, как правильно настроить пакет экспертизы для безопасной удаленной работы, разберут сценарии выявления аномалий и реагирования на них. Для участия в вебинаре зарегистрируйтесь по ссылке .

[1] В MaxPatrol SIEM доступны 17 пакетов экспертизы, которые содержат 370 правил обнаружения атак. Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.