MaxPatrol SIEM выявляет подозрительную активность пользователей в SAP ERP

MaxPatrol SIEM выявляет подозрительную активность пользователей в SAP ERP

Выпущен новый пакет экспертизы  MaxPatrol SIEM, предназначенный для выявления атак на систему управления предприятием SAP ERP.

image

Выпущен новый пакет экспертизы[1] MaxPatrol SIEM , предназначенный для выявления атак на систему управления предприятием SAP ERP[2]. Правила, вошедшие в него, помогут детектировать подозрительную активность пользователей в системе. Это позволит обнаружить присутствие злоумышленника в SAP ERP до того, как он украдет критически важные бизнес-данные или деньги.

«Поскольку ERP-системы всегда являются объектом повышенного интереса злоумышленников , мы сформировали экспертную команду, которая специализируется на исследовании уязвимостей бизнес-систем и на разработке способов обнаружения угроз в них, — комментирует Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Специалисты этой группы глубоко погружены в архитектуру всех популярных бизнес-систем, в том числе и SAP ERP, они знают, как злоумышленники "ломают" такие системы, отслеживают изменения в сценариях взлома и появление нового инструментария. На основе этих знаний они и создают специализированные пакеты экспертизы».

В пакет вошли 13 новых правил корреляции событий ИБ. Они позволяют выявить активность злоумышленников в SAP ERP, которая выглядит как легитимные действия пользователей, а на самом деле позволяет атакующим максимально замаскироваться в системе, повысить привилегии учетной записи, получить права администратора или доступ к конфиденциальной информации. Среди таких действий:

· использование для входа в SAP временно разблокированной учетной записи,

· назначение пользователем или администратором привилегий самому себе,

· копирование конфиденциальной информации из отчетов или таблиц,

· выпуск отчета c конфиденциальной информацией,

· вход в SAP под именем учетной записи уволенного сотрудника,

· скачивание большого объема данных из отчета или таблицы.

Одновременно с выходом нового пакета экспертизы предыдущий пакет правил для выявления атак на SAP ERP пополнился еще 12 правилами детектирования. Они помогут выявить следующие угрозы:

· атака типа «отказ в обслуживании»;

· сбор злоумышленниками информации о зарегистрированных программах, уязвимостях системы, разрешенных командах;

· попытки зарегистрировать вредоносную программу;

· выполнение злоумышленником команд ОС без авторизации в системе;

· отключение журналирования событий (приводит к невозможности выявить активность злоумышленника);

· перенаправление трафика к серверу SAP на сервер подставной системы.

В MaxPatrol SIEM можно настроить правила с учетом классов систем в SAP ERP, что позволит снизить число ложных срабатываний. Например, правило для уведомления об использовании для входа в SAP временно разблокированной учетной записи рекомендовано активировать для систем класса тестирования и продуктивного класса и не использовать для систем класса разработки.

Начиная с февраля 2019 года пользователи MaxPatrol SIEM уже получили восемь пакетов экспертизы, которые позволяют оперативно выявлять попытки брутфорса, аномалии в активности пользователей, атаки на критически важные бизнес-системы, применение атакующими тактик по модели MITRE ATT&CK.

[1] Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют атаки и разрабатывают способы их обнаружения. Наборы правил и рекомендаций объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.

[2]SAP ERP (Enterprise Resource Planning) — система для оптимизации процессов на предприятии: в отделах закупок, производства, обслуживания, продаж, финансов и кадров. Ориентирована на крупные и средние предприятия. По данным IDC , по итогам 2017 года SAP остается в лидерах российского рынка информационных систем управления предприятием.


Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle