MaxPatrol SIEM выявляет признаки компрометации сетевых устройств

Екатерина Быстрова 31 Августа 2021 - 14:48

Системы мониторинга событий безопасности

...

MaxPatrol SIEM выявляет признаки компрометации сетевых устройств

В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы. Он включает в себя правила обнаружения признаков компрометации межсетевых экранов, маршрутизаторов и коммутаторов. Скомпрометировав такие сетевые устройства, злоумышленники могут быстро развить атаку внутри сети и добраться до своих целей.

Установив пакет экспертизы, пользователи MaxPatrol SIEM смогут выявлять индикаторы компрометации межсетевых экранов Cisco ASA и Check Point с операционной системой GAiA, маршрутизаторов и коммутаторов MikroTik и Cisco с операционной системой IOS. Новые правила позволят оперативно локализовать атаку до того, как злоумышленники изменят политики доступа в сети и получат доступ в закрытые сегменты.

Добавленный пакет экспертизы MaxPatrol SIEM включил десять индикаторов компрометации, в том числе:

попытки подключения или успешное подключение к серверу управления Check Point GAiA с помощью утилиты SmartConsole с недоверенного сетевого узла (не входит в список тех, с которых разрешено администрирование устройства);
изменение параметров логирования на устройстве Cisco ASA, при которых в случае неудачной аутентификации логины пользователей сохраняются в журнале в открытом виде — это позволит злоумышленникам перехватить учетные данные, включая пароли, если пользователь по ошибке введет пароль в поле логина;
попытка подключения к устройству MikroTik c недоверенного узла с помощью утилиты для администрирования Winbox.

Для выявления некоторых признаков компрометации в сетевых устройствах пользователям пригодится система анализа трафика PT Network Attack Discovery (PT NAD). PT NAD разбирает содержание сетевых пакетов, передающихся в трафике. Вместе продукты дают более полную картину IT-инфраструктуры и позволяют точнее выявлять инциденты:

изменение конфигурационного файла на устройствах Cisco IOS с недоверенного сетевого узла;
передачу ICMP-пакета большого размера, что может использоваться злоумышленниками для передачи данных, в том числе полезной нагрузки;
попытки эксплуатации критически опасной уязвимости CVE-2018-0171 в технологии Cisco Smart Install, которая позволяет автоматизировать процесс первоначальной загрузки образа операционной системы некоторых коммутаторов Cisco Systems. Воспользовавшись этой уязвимостью, злоумышленник сможет без аутентификации перезагрузить сетевое оборудование, вызвать временный отказ в обслуживании или выполнить произвольный код.

Следующая главная новость »

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 23 Декабря 2025 - 15:05

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации Соответствие требованиям регуляторов

WhatsApp обвинил власти России в попытке лишить пользователей приватности

WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) публично раскритиковал действия российских властей, заявив, что ограничения работы мессенджера фактически лишают более 100 млн россиян права на приватное общение — причём накануне праздничного сезона.

Заявление компании передаёт Reuters. Оно прозвучало после очередного предупреждения Роскомнадзора: регулятор вновь дал понять, что WhatsApp может быть полностью заблокирован, если сервис не приведёт свою работу в соответствие с российским законодательством.

В Роскомнадзоре утверждают, что мессенджер систематически нарушает закон:

«WhatsApp используется для организации террористических актов, вербовки их исполнителей, мошенничества и других преступлений», — сообщили в ведомстве.

Регулятор подтвердил, что уже принимает меры по поэтапному ограничению сервиса. Во вторник пользователи по всей стране начали массово жаловаться на перебои в работе WhatsApp — замедление и недоступность функций зафиксировали и сервисы мониторинга.

В компании с такой позицией категорически не согласны. Представитель WhatsApp заявил, что речь идёт не просто о технических ограничениях, а о фундаментальном праве на конфиденциальную связь:

«Ограничивая доступ к WhatsApp, российское правительство пытается лишить более 100 миллионов человек возможности использовать конфиденциальное сквозное шифрование», — отметили в компании.

В WhatsApp подчеркнули, что мессенджер давно стал частью повседневной жизни россиян — от родительских чатов и рабочих групп до общения с родственниками и соседями в разных регионах страны. По мнению компании, вытеснение пользователей в менее защищённые и «государственные» приложения может привести лишь к снижению уровня безопасности.

Ограничения против WhatsApp — часть более широкой политики. Ещё в августе Россия начала ограничивать отдельные звонки в WhatsApp и Telegram, обвиняя иностранные платформы в отказе сотрудничать с правоохранительными органами по делам о мошенничестве и терроризме.

Параллельно власти активно продвигают государственный мессенджер MAX, который объединяет коммуникации с доступом к различным госуслугам. Критики считают, что приложение может использоваться для слежки за пользователями, однако власти эти обвинения отвергают и заявляют, что MAX создаётся «для упрощения и улучшения повседневной жизни граждан».

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »