В систему управления ИБ-событиями MaxPatrol SIEM добавлены 26 новых правил обнаружения инцидентов, позволяющих выявлять продвинутые кибератаки на Microsoft Active Directory. Их использование делает возможным выявление атак на самых ранних стадиях, в том числе уже на этапе разведки. В конечном счете окно присутствия злоумышленника в инфраструктуре может быть сокращено до нескольких часов.

Создание специального пакета правил стало результатом работы экспертного центра безопасности (Expert Security Center) компании Positive Technologies: они проанализировали полный цикл атак на Active Directory и выявили цепочку событий ИБ и запросы в сетевом трафике, которые свидетельствуют о присутствии злоумышленников в инфраструктуре. Далее для автоматического анализа событий на наличие признаков таких атак и для уведомления ИБ-подразделения при помощи MaxPatrol SIEM был разработан пакет с алгоритмами обнаружения аномалий (правила корреляции). Теперь ИБ-специалисты, использующие систему, смогут выявлять атаки на Active Directory на стадии разведки, продвижения внутри сети и удаленного исполнения команд.

«Как показывает опыт расследования инцидентов, Microsoft Active Directory — главная цель злоумышленников во время любой атаки на корпоративные информационные системы. Его взлом позволяет получить неограниченный контроль в управлении учетными записями и компьютерами локальной сети. Несмотря на усиление проактивных систем защиты, злоумышленники и профессиональные пентестеры находят новые векторы атак на Active Directory, которые сложно обнаружить в ИТ-инфраструктуре, — отметил директор по развитию бизнеса в России Positive Technologies Максим Филиппов. — За счет реализованной нами технологии передачи экспертизы в продукты компании-пользователи могут в режиме реального времени выявлять действия злоумышленника в своей инфраструктуре. В том числе в случае использования ими новейших техник и инструментов для атаки. Теперь же пользователи MaxPatrol SIEM смогут автоматически выявлять и продвинутые атаки на Microsoft Active Directory».

Новые правила корреляции уже доступны в облачной базе знаний Positive Technologies Knowledge Base, посредством которой распространяется экспертиза в продукты и которая в том числе входит в MaxPatrol SIEM.