MaxPatrol SIEM теперь выявляет атаки на Linux-системы

Олег Иванов 26 Ноября 2019 - 18:32

Корпорации

Linux

Positive Technologies

MaxPatrol SIEM

SIEM-системы

...

MaxPatrol SIEM теперь выявляет атаки на Linux-системы

В систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы для выявления атак в операционных системах семейства Linux. Он помогает обнаружить подозрительную сетевую активность приложений и учетных записей, что позволит предотвратить развитие атаки.

Linux является популярной операционной системой на рынках облачных сервисов, суперкомпьютеров, а также веб-серверов. По данным исследования компании W3Techs, Linux поддерживает 70% веб-сайтов из наиболее популярных 10 миллионов доменов по рейтингу Alexa. Такие серверы могут стать точкой проникновения злоумышленников в сеть организации, если в развернутых на них веб-приложениях есть уязвимости. Чтобы помочь компаниям с Linux-инфраструктурой обеспечить ее безопасность, эксперты Positive Technologies разработали способы обнаружения популярных угроз.

«Linux-системы часто выступают в роли интернет-серверов, в том числе крупных организаций. Этим объясняется интерес к ним злоумышленников: взлом Linux на периметре нередко приводит атакующего во внутреннюю сеть предприятия, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Более того, штатные средства типичной Linux-системы весьма удобны для дальнейшего развития атаки. Чтобы помешать злоумышленникам, мы разработали серию правил детектирования для MaxPatrol SIEM».

Новый пакет экспертизы объединил правила, направленные на детектирование подозрительных действий на IT-активах с операционной системой семейства Linux. Они позволяют выявить применение нескольких техник по матрице MITRE ATT&CK, которые используются злоумышленниками для закрепления (persistence), разведки (discovery) и взаимодействия с командным центром (command and control). Так, правила обнаруживают:

запуск средств удаленного подключения web shell, reverse shell, bind shell, которые используются злоумышленниками для управления целевой системой на этапе закрепления;
активность утилит от имени служебных учетных записей, которые атакующие могут применять для получения информации о скомпрометированном узле и его сетевом окружении на этапе разведки;
системные вызовы, характерные для создания туннелированных соединений (они нужны злоумышленникам для создания канала связи со скомпрометированным узлом).

Следующие пакеты экспертизы под Linux выйдут в 2020 году и позволят выявлять злоумышленников по подозрительным изменениям системных объектов и действиям пользователей.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 15 Декабря 2025 - 20:58

Astra Linux Корпорации Соответствие требованиям регуляторов Orion soft

Nova Special Edition получила поддержку Astra Linux и Мос ОС

Orion soft выпустила обновлённую редакцию платформы Nova Special Edition — защищённой системы оркестрации контейнеризированных приложений, соответствующей 4-му уровню доверия ФСТЭК России. В новой версии разработчики заметно расширили функциональность и сделали акцент на совместимость с российскими операционными системами.

Теперь Nova Special Edition полноценно поддерживает актуальные сертифицированные версии Astra Linux и Мос ОС.

Причём речь идёт не просто о формальной совместимости: платформу доработали с прицелом на использование в критически важных ИТ-средах — от инфраструктуры госорганов до высоконагруженных корпоративных систем.

В обновлении появилось несколько новых возможностей. В частности, добавлена автоматическая конфигурация резервирования системных ресурсов. Также в инструменте nova-ctl реализован пул SSH-подключений с интерфейсом аренды. Это упрощает администрирование и позволяет быстрее и безопаснее выполнять массовые технические операции в инфраструктуре.

Отдельные изменения коснулись резервного копирования и безопасности. В платформе появилась валидация пользовательских CA-сертификатов, а также скорректирован механизм размещения агентов Velero, что повышает надёжность бэкапов. Кроме того, в новой версии закрыты уязвимости в ряде компонентов, включая nginx ingress controller, nginx, CoreDNS и Grafana.

Обновлённая Nova Special Edition остаётся сертифицированным решением для защищённых сред и при этом получает дополнительные инструменты для повседневной эксплуатации и администрирования. Платформа ориентирована на организации, которым важно сочетание требований регуляторов, стабильности и современных возможностей оркестрации контейнеров.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »