Новая версия MaxPatrol SIEM выявляет угрозы класса WannaCry и NotPetya

Новая версия MaxPatrol SIEM выявляет угрозы класса WannaCry и NotPetya

Новая версия MaxPatrol SIEM выявляет угрозы класса WannaCry и NotPetya

Компания Positive Technologies представила новую версию MaxPatrol SIEM — системы, предназначенной для выявления инцидентов ИБ в реальном времени. Обновленные механизмы продукта оперативно обнаруживают и локализуют эпидемии типа WannaCry и NotPetya.

Пользователи системы также могут создавать стойкие и растянутые во времени правила корреляции, что позволяет обнаружить даже многолетние APT-атаки несмотря на изменения в IТ-инфраструктуре компании.

«За последние пару месяцев жертвами вирусов-вымогателей стали сотни компаний по всему миру: автозаводы, банки, розничные сети, фармацевтические и судоходные компании. Мы стараемся оперативно реагировать на подобные события, поэтому основные изменения в новой версии MaxPatrol SIEM связаны с обнаружением и локализацией эпидемий криптолокеров. Новые технологии проверки сетевой достижимости, гибкой работы с активами и событиями сетевого взаимодействия позволят значительно проще выявлять любые угрозы такого типа. Кроме того, наши эксперты оперативно создали соответствующие правила корреляции для обнаружения атак WannaCry и NotPetya», —отметил директор по развитию бизнеса в России Positive Technologies Максим Филиппов.

Распознавание активов с новыми параметрами

Новый алгоритм идентификации аппаратных и программных элементов IТ-инфраструктуры (активов) учитывает десятки параметров актива и дает им разный «вес». В результате MaxPatrol SIEM распознает актив даже после изменения IP-адреса, MAC-адреса, hostname или других параметров, что особенно важно при использовании DHCP-сервера и работе за NAT. Таким образом, MaxPatrol SIEM теперь строит еще более точную модель IТ-инфраструктуры и позволяет создавать стойкие правила корреляции.

Локализация очагов эпидемий

Реализованная в новой версии MaxPatrol SIEM технология проверки сетевой достижимости позволит быстро понять, доступны ли тот или иной узел или сеть, с точностью до протокола и порта. И если в большой территориально распределенной сети началась эпидемия вируса и известны варианты его распространения, например определенные порты, администратор сможет быстро локализовать очаг и сохранить информацию на десятках тысяч компьютеров — либо убедиться, что критической инфраструктуре предприятия эпидемия этого вируса не угрожает.

«Для противодействия атакам типа WannaCry или NotPetya необходимо следовать прописным истинам, содержащимся в каждой политике безопасности: сегментация сети, фильтрация по протоколам и т. п. Но действительность вносит в эти правила свои коррективы, и на практике нередко оказывается, что там, где по данным ИБ-службы доступа нет, трафик "гуялет" без каких-либо ограничений, — объясняет Владимир Бенгин, директор департамента поддержки продаж Positive Technologies. — А в результате, как это было во время эпидемии NotPetya, сотрудники служб безопасности, изучая информацию о новой угрозе и будучи уверены, что связи по протоколу SMB между головной компанией и ее дочерними подразделениями нет, — ошибаются в выборе контрмер и вынуждены сражаться уже с последствиями инцидента».

MaxPatrol SIEM не только представит актуальные маршруты до искомого актива на карте сети, но и подсветит все доступные альтернативы. Это позволит быстро обнаружить ошибки в конфигурации сетевых устройств и не допустить нарушения политик доступа. Кроме того, для проверки наличия в сети зараженных WannaCry или NotPetya узлов достаточно нескольких секунд за счет новой функции группировки сетевых событий по нескольким признакам (например, по отправителям и получателям пакетов на порт 445, за исключением файловых серверов общего доступа).

Группировка активов по сложным правилам

MaxPatrol SIEM теперь позволяет формировать динамические группы активов по правилам, включающим логику И, ИЛИ, НЕ, и настраивать на них точные правила корреляции для обнаружения инцидентов ИБ и реагирования на них. Например, можно создать группу подверженных уязвимости WannaCry активов, добавив три условия: наличие уязвимости CVE-2017-0145 и открытых портов 139 или 445, а также отсутствие антивируса на узле.

Выявление APT за счет растянутых во времени корреляций

В новой версии MaxPatrol SIEM можно создавать табличные списки, которые существенно расширяют возможности привнесения экспертизы Positive Technologies в продукт. Теперь инциденты ИБ могут выявляться на основе сложных корреляций длиной до нескольких лет, что особенно важно для обнаружения advanced persistent threats, при которых среднее «время жизни» злоумышленника в организации составляет 3 года.

Помимо новых возможностей по выявлению и анализу инцидентов, система получила множественные улучшения в интерфейсе и стала значительно удобнее в работе. Появились новые виджеты с возможностью просмотра подробной информации по двойному щелчку мыши, отображение событий на топологии IТ-инфраструктуры, выгрузка карты сети в векторном и растровом форматах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

54% атак на облака связаны с компрометацией учётных записей

За первые шесть месяцев 2025 года специалисты Yandex B2B Tech зафиксировали более 25 тысяч попыток атак на облачные и гибридные инфраструктуры. При этом злоумышленники всё чаще используют не сложные уязвимости, а легитимные учётные данные. В 54% случаев атака начиналась с подбора паролей или использования уже украденных логинов.

Чаще всего под удар попадали компании-разработчики ПО и SaaS-сервисы (35%). Это связано с возможностью атаковать их клиентов через цепочку поставок.

На втором месте — электронная коммерция и ретейл (22%), где в зоне риска персональные данные покупателей, включая данные лояльности и платежи. Далее — консалтинг, научные институты и финорганизации (по 15% каждая).

Эксперты отмечают, что главные угрозы в облаке связаны с компрометацией учётных записей, злоупотреблением легитимным доступом, ошибками в настройках или игнорированием встроенных функций безопасности.

«Мы видим рост атак, которые начинаются с компрометации корпоративных аккаунтов. Всё реже хакеры идут по пути сложного взлома и всё чаще используют украденные пароли или доступ через подрядчиков. Поэтому компаниям важно защищать учётные данные, внедрять многофакторную аутентификацию и мониторить активность пользователей», — пояснил Евгений Сидоров, директор по информационной безопасности в Yandex Cloud.

Аналитики также отмечают изменение мотивации киберпреступников. Если раньше атаки чаще были направлены на нанесение репутационного ущерба или разрушение инфраструктуры, то в первой половине 2025 года уже 61% случаев связаны с вымогательством: шифрованием данных с последующим требованием выкупа или их перепродажей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru