Среди детектируемых событий — отключение пароля пользователя, манипуляции с критически важными данными и ролями сервера, вход под учетными записями из черного списка
Система выявления инцидентов MaxPatrol SIEM компании Positive Technologies получила новый пакет экспертизы. Добавленные в систему правила выявляют подозрительную активность пользователей в любых конфигурациях системы «1С:Предприятие» («1С:Бухгалтерия», «1С:ERP Управление предприятием» и других) начиная с версии 8.3 и позволяют предотвратить доступ злоумышленников к критически важным активам компании и конфиденциальной информации.
По данным IDC, компания «1C» занимает лидирующие позиции на российском рынке корпоративного ПО. По оценкам аналитического центра TAdviser, «1С» входил в десятку крупнейших ИТ-компаний России в 2021 году (8-е место в ранкинге TAdviser100).
«Продукты компании „1С“, такие, например, как „1С:Бухгалтерия“ и „1С:ERP Управление предприятием“, традиционно являются целевыми системами для злоумышленников, а с учетом роста импортозамещения на российском рынке распространенность решений „1С“ и общая поверхность атак будут увеличиваться. Пользователям MaxPatrol SIEM мы рекомендуем как можно скорее начать использовать новый пакет экспертизы. Нарушение конфиденциальности данных в подобных системах может привести к серьезным последствиям для бизнеса», — отметил Петр Ковчунов, специалист департамента базы знаний и экспертизы информационной безопасности Positive Technologies.
В новый пакет экспертизы MaxPatrol SIEM вошли 12 правил обнаружения угроз. С их помощью пользователи смогут обнаружить различные аномалии в системе «1С:Предприятие», в частности:
- использование разных учетных записей с одного устройства;
- вход под учетной записью из черного списка;
- вход в систему пользователя, только что получившего к ней доступ;
- несколько попыток входа в систему с разных устройств;
- блокировка пользователя после нескольких неудачных попыток входа;
- отключение пароля пользователя;
- создание пользователя без пароля;
- манипуляции с критически важными ролями;
- массовая блокировка учетных записей;
- массовая разблокировка учетных записей;
- многократное изменение пароля учетной записи;
- манипулирование критически важными данными.