В MaxPatrol SIEM 4.0 автоматизировали создание правил корреляции

В MaxPatrol SIEM 4.0 автоматизировали создание правил корреляции

Одним из главных изменений в MaxPatrol SIEM 4.0 стало автоматизированное подключение так называемых экспертных пакетов. Они представляют собой модули дополнительных настроек источников событий, правила корреляции, нормализации и агрегации данных и рекомендации по реагированию на инциденты.  Наборы правил и рекомендации формирует команда экспертного центра безопасности компании Positive Technologies (PT Expert Security Center), которая на постоянной основе занимается мониторингом актуальных угроз и разрабатывает методы их обнаружения и предотвращения.

Механизм экспертных пакетов был впервые протестирован в предыдущей версии MaxPatrol SIEM (для обнаружения шифровальщиков, обнаружения аномалий на конечных точках сети, обнаружения атак на Active Directory). В новой версии экспертные пакеты будут поставляться клиентам бесплатно на регулярной основе. Экспертные пакеты загружаются из облака в Positive Technologies Knowledge Base (PT KB), входящую в состав системы, и активируются несколькими кликами мыши. Планируется выход новых пакетов с обновлениями раз в несколько месяцев.

Также в  MaxPatrol SIEM 4.0 усовершенствованы механизмы обогащения данных об активах — ключевых элементах IT-инфраструктуры. В числе прочего знания об активе теперь автоматически дополняются данными о программном и аппаратном обеспечении информационных ресурсов, об операционных системах, установленных обновлениях, конфигурации инфраструктуры, получаемыми из Microsoft System Center Configuration Manager (SCCM) и системы контроля защищенности MaxPatrol 8.

Дополнительно каждый актив обогащается данными из собственного сенсора MaxPatrol SIEM, предназначенного для анализа сетевого трафика. Он выявляет сетевые узлы в трафике и передает MaxPatrol SIEM информацию об открытых портах; на основе полученных данных могут быть созданы новые активы. Расширенный объем сведений об активах помогает службе ИБ лучше понимать защищаемую IT-инфраструктуру, ее уязвимые места и точнее просчитывать возможные векторы развития атак, упрощает расследование инцидента, помогает определить использованную уязвимость и предотвратить аналогичные атаки.

Помимо экспертных пакетов от самой Positive Technologies в новой версии MaxPatrol SIEM 4.0 стало возможных подключать фиды с информацией о новейших угрозах от сторонних вендоров, например, «Лаборатории Касперского».

Также обновление затронуло встроенный компонент Network Sensor, предназначенный для комплексного анализа сетевого трафика, в том числе передаваемых по сети файлов. Компонент лицензируется отдельно и представляет собой средство обнаружения вторжений (IDS) и глубокий анализ сетевых пакетов (DPI) c дополнительным обогащением событий данными геолокации.

Network Sensor новой версии получил собственную базу сигнатур для детектирования эксплуатации уязвимостей и работы вредоносного программного обеспечения. Сигнатуры пишутся командой PT Expert Security Center на основании проведенных расследований, анализа угроз и уязвимостей, актуальных для организаций из различных сфер бизнеса.

Для управления ИБ на стратегическом и тактическом уровнях используется специальный модуль PT Security Intelligence Portal. Это инструмент визуализации данных, глубокого анализа процессов информационной безопасности, работы подразделения ИБ и используемых средств защиты. PT Security Intelligence Portal содержит готовые наборы KPI, которые должны помочь руководству компаний заказчиков оценить результативность принимаемых ими мер ИБ.

В целом в компании Positive Technologies отмечают постоянно возрастающий интерес к MaxPatrol SIEM, чей объем продаж продемонстрировал почти двукратный рост. В 2018 году эксперты компании ожидают рост продаж на 250% по сравнению с 2017 годом. Только за первый квартал 2018 года продажи продукта в денежном выражении выросли почти на 70% по сравнению с аналогичным периодом прошлого года.

«Успешное продвижение продукта на рынке связано в первую очередь с его технологической составляющей и очевидной практической ценностью. За последний год MaxPatrol SIEM выбран в качестве платформы для сервисов коммерческого SOC. Около 60% всех внедрений продукта уже выполняется силами наших партнеров, а к концу года мы ожидаем, что это значение вырастет до 75%. Общее число сертифицированных экспертов на рынке России, которые могут внедрять, эксплуатировать и поддерживать продукт самостоятельно, превысило полторы сотни. Все это говорит о зрелости продукта», ― поясняет Максим Филиппов, директор по развитию бизнеса компании Positive Technologies в России.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Slack сбросил пароли пользователей после раскрытия хешированных данных

Разработчики корпоративного мессенджера Slack сбросили учётные данные около 0,5% пользователей после обнаружения уязвимости, из-за которой раскрывались хешированные пароли при создании или отзыве расшаренных ссылок для приглашения в рабочие пространства.

Напомним, ещё в сентябре 2019 года корпоративный мессенджер хвастался более 12 миллионами активных пользователей ежедневно.

«Если условный пользователь создавал или отзывал ссылки для приглашения, Slack передавал его хешированный пароль другим участникам рабочего пространства», — пишут представители Slack.

Отмечается также, что пароли были хешированы с солью, которая добавляет дополнительный слой безопасности, защищающий учётные данные от атак вида брутфорс. Конкретный алгоритм хеширования Slack пока не раскрывает.

Сама уязвимость, судя по всему, затрагивала всех пользователей, которые создавали или отзывали инвайт-ссылки в период между 17 апреля 2017 года и 17 июля 2022-го. О проблеме сообщил неназванный исследователь в области кибербезопасности.

Стоит отметить, что хешированные пароли не были видны клиентам Slack. Разработчики корпоративного мессенджера уточняют:

«Нет никаких оснований полагать, что посторонние лица получили доступ к паролям в виде простого текста. Тем не менее мы сбросили пароли затронутых пользователей из соображений безопасности».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru