Пользователи системы выявления инцидентов MaxPatrol SIEM 6.1 могут выявлять активность злоумышленников в платформе виртуализации VMware vSphere.
Пользователи системы выявления инцидентов MaxPatrol SIEM 6.1 могут выявлять активность злоумышленников в платформе виртуализации VMware vSphere. Это поможет предотвратить кражу данных, нарушение работы средств защиты, простои в бизнес-процессах и другие последствия атак на виртуальную инфраструктуру.
VMware — один из ведущих в мире разработчиков ПО для виртуализации. Согласно исследованию компании Spiceworks , 79% крупного бизнеса в мире использует vSphere. Теперь пользователи MaxPatrol SIEM , которые применяют VMware vSphere для создания виртуальной инфраструктуры, смогут выявлять подозрительные события, возникающие при работе платформы. Для этого специалисты Positive Technologies разработали специальный пакет экспертизы.
« Больше 90% компаний разворачивают основную часть серверной инфраструктуры в виртуальной среде, — комментирует Кирилл Антоненко, руководитель отдела безопасности систем семейства Unix компании Positive Technologies. — Это удобно, но связано с риском: могут возникнуть проблемы, если злоумышленники завладеют учетной записью vSphere и получат доступ ко всей виртуальной инфраструктуре».
Новый пакет экспертизы включает в себя правила обнаружения угроз, которые могут быть реализованы атакующими после получения доступа к vSphere. Правила сигнализируют, когда злоумышленники:
·клонируют критически важные виртуальные машины, например контроллеры домена, VPN-, DNS- или DHCP-серверы. Скопировав такую машину, атакующие могут детально изучать ее и извлечь ценные данные, не привлекая внимания средств безопасности;
·копируют файлы с жесткого диска критически важного виртуального сервера;
·пытаются отключить виртуальные машины, на которых развернуты средства защиты информации, или меняют их параметры. Это может помочь атакующим скрыть дальнейшие свои действия от антивирусов , межсетевых экранов, SIEM-систем.
Виртуальные машины с критически важными данными и с системами защиты информации MaxPatrol SIEM определяет автоматически по закрепленными за ними ролями в сети и установленному на них ПО. Список машин для мониторинга можно дополнить вручную.