В MaxPatrol SIEM добавлены 62 новых правила обнаружения угроз. С их помощью система мониторинга событий ИБ выявляет среди прочего активность шифровальщиков и еще больше признаков работы хакерских инструментов. Всего получили обновления следующие пакеты экспертизы: «Атаки с помощью специализированного ПО», «Атаки методом перебора», «Расследование запуска процессов в Windows», «Сетевые устройства. Индикаторы компрометации», тактики «Получение учетных данных», «Выполнение», «Предотвращение обнаружения», «Сбор данных», «Деструктивное воздействие», «Перемещение внутри периметра», «Закрепление», «Повышение привилегий», «Организация управления», «Изучение».
Киберпреступники не стоят на месте: каждый день они совершенствуют методы атак, разрабатывают новые инструменты, чтобы их действия оставались незамеченными для средств защиты. Эксперты Positive Technologies непрерывно следят за трендами кибератак, изучают специализированные форумы по разработке и продаже вредоносного ПО и инструментария, а также анализируют публичные отчеты по расследованию инцидентов (в том числе выпускаемые собственным экспертным центром безопасности). На основе актуальных данных о том, как атакуют злоумышленники, Positive Technologies регулярно обновляет экспертизу в MaxPatrol SIEM.
Наиболее важные правила в опубликованных обновлениях позволяют пользователям MaxPatrol SIEM обнаруживать:
- типичные действия шифровальщиков, например массовую генерацию файлов или их изменение одним и тем же процессом;
- дополнительные признаки активности хакерских инструментов, ранее уже покрытых детектами; среди них, например, PPLBlade, Powermad, NimExec и SharpHound, который по-прежнему активно используется в атаках;
- популярные техники «Загрузка сторонних DLL-библиотек» (вредоносное ПО и APT-группировки применяют ее для проникновения в сеть и повышения привилегий) и «Подмена родительского PID» (используется атакующими для сокрытия вредоносных действий путем изменения родителя процесса) тактики «Предотвращение обнаружения» по матрице MITRE ATT&CK.
«Опыт расследований PT Expert Security Center показывает: инциденты, связанные с шифрованием или затиранием данных на узлах корпоративной инфраструктуры, были одними из наиболее часто встречающихся в 2021–2023 годах (21% случаев). В тройке самых популярных — Black Basta, Rhysida и LockBit, причем операторы вымогателей продолжают расширять арсенал, — комментирует Никита Баженов, младший специалист базы знаний и экспертизы информационной безопасности Positive Technologies. — Шифровальщики отличаются тем, что быстро распространяются с одного узла на другие. С обновленным пакетом экспертизы пользователи MaxPatrol SIEM получат сигнал уже о первом атакованном шифровальщиком компьютере. Своевременно удалив вирус, они смогут остановить атаку на ранней стадии и оперативно расследовать инцидент».
Чтобы начать использовать новые правила и механизмы обогащения событий, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить обновления пакетов экспертизы.