Maxpatrol SIEM научился выявлять атаки на MS SQL Server
Новый пакет экспертизы в Positive Technologies Maxpatrol SIEM поможет пользователям выявить подозрительную активность в системах управления базами данных Microsoft SQL Server. В состав пакета вошли правила, которые позволяют обнаружить атаку на разных стадиях — от разведки в скомпрометированной системе до воздействия на отдельные процессы в СУБД и на систему в целом.
Microsoft SQL Server используют 64% компаний крупного бизнеса и государственного сектора. Поскольку в СУБД хранятся критически важные данные компании (финансовая отчетность, персональные данные клиентов и сотрудников, информация о поставщиках и обязательствах), она может стать объектом внимания злоумышленников. Это подтверждается исследованиями Positive Technologies: по итогам 2019 г. в 60% всех инцидентов мотивом злоумышленников была именно кража информации.
Максим Кыркунов, C3 Solutions: Высоконагруженные ЦОДы становятся трендом сегодняшнего дня
Чтобы пользователи Maxpatrol SIEM смогли выявлять факты компрометации базы данных Microsoft SQL до потери критически важных данных, специалисты Positive Technologies подготовили специальный пакет экспертизы. Он включает 23 правила корреляции событий ИБ, которые позволяют выявить подозрительную активность, например: изменение параметров СУБД, влияющих на безопасность системы; получение логинов и паролей учетных записей СУБД; большое количество неудачных попыток входа в систему; создание резервной копии базы данных; отключение аудита для сокрытия действий; создание резервной копии ключа или сертификата шифрования базы данных; чтение и редактирование реестра Windows.
«Мы добавили уже второй пакет экспертизы, направленный на выявление атак на популярные СУБД, — отметил Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Наша команда следит за актуальными видами атак на такие системы, чтобы пользователи Maxpatrol SIEM смогли выявить факт компрометации до того, как злоумышленник получит доступ к конфиденциальным данным или выведет систему и бизнес-процессы из строя».