MaxPatrol SIEM теперь выявляет атаки на Linux-системы

Олег Иванов 26 Ноября 2019 - 18:32

Корпорации

Linux

Positive Technologies

MaxPatrol SIEM

SIEM-системы

...

MaxPatrol SIEM теперь выявляет атаки на Linux-системы

В систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы для выявления атак в операционных системах семейства Linux. Он помогает обнаружить подозрительную сетевую активность приложений и учетных записей, что позволит предотвратить развитие атаки.

Linux является популярной операционной системой на рынках облачных сервисов, суперкомпьютеров, а также веб-серверов. По данным исследования компании W3Techs, Linux поддерживает 70% веб-сайтов из наиболее популярных 10 миллионов доменов по рейтингу Alexa. Такие серверы могут стать точкой проникновения злоумышленников в сеть организации, если в развернутых на них веб-приложениях есть уязвимости. Чтобы помочь компаниям с Linux-инфраструктурой обеспечить ее безопасность, эксперты Positive Technologies разработали способы обнаружения популярных угроз.

«Linux-системы часто выступают в роли интернет-серверов, в том числе крупных организаций. Этим объясняется интерес к ним злоумышленников: взлом Linux на периметре нередко приводит атакующего во внутреннюю сеть предприятия, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Более того, штатные средства типичной Linux-системы весьма удобны для дальнейшего развития атаки. Чтобы помешать злоумышленникам, мы разработали серию правил детектирования для MaxPatrol SIEM».

Новый пакет экспертизы объединил правила, направленные на детектирование подозрительных действий на IT-активах с операционной системой семейства Linux. Они позволяют выявить применение нескольких техник по матрице MITRE ATT&CK, которые используются злоумышленниками для закрепления (persistence), разведки (discovery) и взаимодействия с командным центром (command and control). Так, правила обнаруживают:

запуск средств удаленного подключения web shell, reverse shell, bind shell, которые используются злоумышленниками для управления целевой системой на этапе закрепления;
активность утилит от имени служебных учетных записей, которые атакующие могут применять для получения информации о скомпрометированном узле и его сетевом окружении на этапе разведки;
системные вызовы, характерные для создания туннелированных соединений (они нужны злоумышленникам для создания канала связи со скомпрометированным узлом).

Следующие пакеты экспертизы под Linux выйдут в 2020 году и позволят выявлять злоумышленников по подозрительным изменениям системных объектов и действиям пользователей.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Марта 2026 - 19:23

Корпорации Соответствие требованиям регуляторов

Cloud.ru подтвердил соответствие ГОСТ Р 57580 для работы с финсистемами

Облачная платформа Cloud.ru подтвердила соответствие требованиям ГОСТ Р 57580.1-2017 для усиленного уровня защиты информации. Этот стандарт задаёт базовые правила по ИБ для организаций, которые работают на финансовом рынке по лицензии Банка России.

На практике это означает, что клиенты Cloud.ru теперь могут размещать в облаке системы, связанные с банковской тайной и финансовыми операциями.

Проверку проводил лицензированный аудитор. В ходе оценки он изучил документацию, провёл интервью с сотрудниками компании и протестировал технические меры защиты. Всего проверка охватила более 400 требований — от организации защиты информации до управления доступом, инфраструктуры и мониторинга инцидентов.

В зону оценки вошли сервисы платформы Cloud.ru Evolution. Речь идёт об инфраструктурных и платформенных решениях, которые можно использовать для размещения банковских систем, обработки транзакций, персональных данных, а также сервисов аналитики, управления данными и контейнерами. В этот же контур вошла Evolution Data Platform.

Сам стандарт ГОСТ Р 57580.1-2017 распространяется на банки, страховые компании, клиринговые организации, другие финансовые структуры и финтех-компании. Поэтому подтверждение соответствия важно прежде всего для тех заказчиков, которым нужно использовать облачную инфраструктуру с учётом требований регулятора.

Кроме того, Cloud.ru напомнил, что ранее уже проходил аудит по другим требованиям и стандартам. В их числе — PCI DSS, требования 152-ФЗ по персональным данным для УЗ-1, а также стандарты ISO/IEC 27001, 27017, 27018 и 27701. Также провайдер заявляет о соответствии требованиям для размещения государственных информационных систем и объектов критической информационной инфраструктуры.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!