Выпущен новый пакет экспертизы¹ MaxPatrol SIEM, предназначенный для выявления атак на систему управления предприятием SAP ERP². Правила, вошедшие в него, помогут детектировать подозрительную активность пользователей в системе. Это позволит обнаружить присутствие злоумышленника в SAP ERP до того, как он украдет критически важные бизнес-данные или деньги.
«Поскольку ERP-системы всегда являются объектом повышенного интереса злоумышленников, мы сформировали экспертную команду, которая специализируется на исследовании уязвимостей бизнес-систем и на разработке способов обнаружения угроз в них, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Специалисты этой группы глубоко погружены в архитектуру всех популярных бизнес-систем, в том числе и SAP ERP, они знают, как злоумышленники "ломают" такие системы, отслеживают изменения в сценариях взлома и появление нового инструментария. На основе этих знаний они и создают специализированные пакеты экспертизы».
В пакет вошли 13 новых правил корреляции событий ИБ. Они позволяют выявить активность злоумышленников в SAP ERP, которая выглядит как легитимные действия пользователей, а на самом деле позволяет атакующим максимально замаскироваться в системе, повысить привилегии учетной записи, получить права администратора или доступ к конфиденциальной информации. Среди таких действий:
- использование для входа в SAP временно разблокированной учетной записи,
- назначение пользователем или администратором привилегий самому себе,
- копирование конфиденциальной информации из отчетов или таблиц,
- выпуск отчета c конфиденциальной информацией,
- вход в SAP под именем учетной записи уволенного сотрудника,
- скачивание большого объема данных из отчета или таблицы.
Одновременно с выходом нового пакета экспертизы предыдущий пакет правил для выявления атак на SAP ERP пополнился еще 12 правилами детектирования. Они помогут выявить следующие угрозы:
- атака типа «отказ в обслуживании»;
- сбор злоумышленниками информации о зарегистрированных программах, уязвимостях системы, разрешенных командах;
- попытки зарегистрировать вредоносную программу;
- выполнение злоумышленником команд ОС без авторизации в системе;
- отключение журналирования событий (приводит к невозможности выявить активность злоумышленника);
- перенаправление трафика к серверу SAP на сервер подставной системы.
В MaxPatrol SIEM можно настроить правила с учетом классов систем в SAP ERP, что позволит снизить число ложных срабатываний. Например, правило для уведомления об использовании для входа в SAP временно разблокированной учетной записи рекомендовано активировать для систем класса тестирования и продуктивного класса и не использовать для систем класса разработки.
Начиная с февраля 2019 года пользователи MaxPatrol SIEM уже получили восемь пакетов экспертизы, которые позволяют оперативно выявлять попытки брутфорса, аномалии в активности пользователей, атаки на критически важные бизнес-системы, применение атакующими тактик по модели MITRE ATT&CK.
- Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют атаки и разрабатывают способы их обнаружения. Наборы правил и рекомендаций объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.
- SAP ERP (Enterprise Resource Planning) — система для оптимизации процессов на предприятии: в отделах закупок, производства, обслуживания, продаж, финансов и кадров. Ориентирована на крупные и средние предприятия. По данным IDC, по итогам 2017 года SAP остается в лидерах российского рынка информационных систем управления предприятием.