В систему выявления инцидентов MaxPatrol SIEM компании Positive Technologies загружен третий пакет экспертизы для выявления атак в операционных системах семейства Linux. Он позволит обнаружить действия, которые могут свидетельствовать о компрометации системы и развитии атаки на ИТ-инфраструктуру организации.

Новая серия правил дополняет два предыдущих пакета экспертизы, посвященных Linux-системам: для выявления подозрительной сетевой активности и изменений системных объектов. В состав пакета вошли правила обнаружения угроз, которые позволяют пользователям MaxPatrol SIEM выявить локальную разведку при входе в Linux-систему, просмотр содержимого чужих домашних каталогов, запуск команд для повышения привилегий и использование хакерских утилит для дальнейшего развития атаки.

Linux является популярной операционной системой на рынках облачных сервисов, суперкомпьютеров, а также веб-серверов. По данным исследования компании W3Techs, Linux поддерживает 70% веб-сайтов из наиболее популярных 10 млн доменов по рейтингу Alexa. Такие серверы могут стать точкой проникновения злоумышленников в сеть организации, если в развернутых на них веб-приложениях есть уязвимости.

«Новый пакет экспертизы — это расширение покрытия матрицы MITRE ATT&CK и укрепление еще одного эшелона защиты Linux-систем, — сказал Кирилл Антоненко, руководитель отдела безопасности систем семейства Unix, Positive Technologies. — Злоумышленники могут попасть в систему различными способами, которые трудно отличить от легитимных действий пользователей и которые не вызывают срабатывания SIEM-систем. Но если они начнут проводить локальную разведку, пытаться повышать привилегии, закрепляться в системе или развивать атаку, правила корреляции в составе двух последних пакетов помогут вовремя это выявить и остановить атаку».

Новый пакет экспертизы доступен пользователям MaxPatrol SIEM версии 6.0. Установка пакета выполняется автоматически при обновлении Positive Technologies Knowledge Base.

Источник