Новый механизм в MaxPatrol SIEM автоматизирует построение цепочек процессов

Новый механизм в MaxPatrol SIEM автоматизирует построение цепочек процессов

Новый механизм в MaxPatrol SIEM автоматизирует построение цепочек процессов

Новый пакет экспертизы MaxPatrol SIEM, включающий механизм построения цепочек запускаемых процессов, позволяет аналитикам ИБ экономить до 5-10 минут на анализе срабатывания каждого правила корреляции. Разработанный экспертами Positive Technologies механизм автоматически обогащает любое скоррелированное событие, которое содержит имя и идентификатор процесса, его полной цепочкой. Дополнительный контекст, помогающий эффективнее выявлять активность злоумышленников, отображается в карточке события.

В SIEM-системах большое количество правил детектирования основано на событиях, в которых есть информация о старте процесса. При верификации срабатываний операторы много времени затрачивают на «раскручивание» цепочек запускаемых процессов. Помимо самого подозрительного процесса, они также анализируют и те, которые породили его и запустили в дальнейшем.

Новый механизм в MaxPatrol SIEM автоматизирует задачи по построению цепочек процессов, что существенно облегчает работу аналитиков ИБ. Если ранее оператору приходилось делать порядка пяти-шести запросов в SIEM-системе, чтобы выяснить последовательность запуска связанных между собой процессов, то сейчас цепочки собираются автоматически и выводятся в специальном поле в карточке события.

Продукт обнаруживает подозрительную активность, инициированную мессенджерами (Telegram, Skype, WhatsApp (принадлежит компании Meta, которая признана экстремистской и запрещена в РФ), Microsoft Teams), веб-серверами, приложениями Microsoft Office, антивирусными программами, например Kaspersky Security Center, и агентами SCCM, которые обеспечивают централизованное управление конфигурациями в IT-инфраструктуре.

Кроме того, эксперты Positive Technologies обновили пакеты экспертизы для обнаружения атак по модели MITRE ATT&CK. Добавленные в MaxPatrol SIEM правила позволяют выявлять:

  • применение техник LSASS Shtinkering (метод дампа памяти процесса LSASS с использованием службы регистрации ошибок Windows) и Dirty Vanity (метод внедрения кода для обхода средств защиты на конечных точках). Вредоносные техники появились в арсенале злоумышленников в декабре 2022 года;
  • эксплуатацию уязвимости в алгоритме шифрования RC4, позволяющую получить удаленный доступ к системе или выполнить код, а также эксплуатацию семейства уязвимостей принудительной аутентификации, которые позволяют получить NTLM-хеш служебной учетной записи узла под управлением Windows.

«Пакеты экспертизы, загруженные в MaxPatrol SIEM ранее, пополняются правилами по мере появления новых способов атак. Эксперты Positive Technologies непрерывно анализируют актуальные киберугрозы и разрабатывают правила детектирования тактик, техник и методов эксплуатации уязвимостей, которые атакующие только взяли на вооружение, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах в компании Positive Technologies.Кроме того, некоторые давно известные бреши в службе RPC, связанные с принудительной аутентификацией (coerced authentication), официально не были признаны уязвимостями, и не будут исправлены Microsoft, а обновленный пакет поможет специалистам по ИБ обнаружить попытки их эксплуатации и вовремя принять меры».

Чтобы начать использовать механизм построения цепочек запускаемых процессов, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить новый пакет экспертизы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

54% атак на облака связаны с компрометацией учётных записей

За первые шесть месяцев 2025 года специалисты Yandex B2B Tech зафиксировали более 25 тысяч попыток атак на облачные и гибридные инфраструктуры. При этом злоумышленники всё чаще используют не сложные уязвимости, а легитимные учётные данные. В 54% случаев атака начиналась с подбора паролей или использования уже украденных логинов.

Чаще всего под удар попадали компании-разработчики ПО и SaaS-сервисы (35%). Это связано с возможностью атаковать их клиентов через цепочку поставок.

На втором месте — электронная коммерция и ретейл (22%), где в зоне риска персональные данные покупателей, включая данные лояльности и платежи. Далее — консалтинг, научные институты и финорганизации (по 15% каждая).

Эксперты отмечают, что главные угрозы в облаке связаны с компрометацией учётных записей, злоупотреблением легитимным доступом, ошибками в настройках или игнорированием встроенных функций безопасности.

«Мы видим рост атак, которые начинаются с компрометации корпоративных аккаунтов. Всё реже хакеры идут по пути сложного взлома и всё чаще используют украденные пароли или доступ через подрядчиков. Поэтому компаниям важно защищать учётные данные, внедрять многофакторную аутентификацию и мониторить активность пользователей», — пояснил Евгений Сидоров, директор по информационной безопасности в Yandex Cloud.

Аналитики также отмечают изменение мотивации киберпреступников. Если раньше атаки чаще были направлены на нанесение репутационного ущерба или разрушение инфраструктуры, то в первой половине 2025 года уже 61% случаев связаны с вымогательством: шифрованием данных с последующим требованием выкупа или их перепродажей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru