Вышел в свет новый пакет , созданный для определения атак на систему управления предприятием SAP ERP.
Туда входит перечень правил, которые должны определять необычную активность в системе. Это должно помочь выявить активность злоумышленника в SAP ERP до того, как он украдёт нужную информацию или деньги.
«Так как ERP-системы часто бывают, мы создали экспертную команду, которая специализируется на исследовании уязвимостей бизнес-систем и на разработке способов обнаружения угроз в них, — прокомментировалМихаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. Он добавил, что специалисты этой группы отлично разбираются в архитектуре всех топовых бизнес-систем, в том числе и SAP ERP. Они знают, как злоумышленники взламывают такие системы, отслеживают изменения в сценариях взлома и появление новых способов взлома. Эти знания позволили им создать специализированные пакеты экспертизы.
В этот пакет вошли 13 новых правил зависимостей событий ИБ. Они должны выявить активность злоумышленников в SAP ERP, которая выглядит как обычные действия пользователей, но на самом деле позволяет атакующим максимально замаскироваться в системе, повысить уровень доступа профиля, получить админку или доступ к конфиденциальной информации.
Перечень подозрительных событий:
- применение для входа в SAP временно разблокированной учетной записи,
- назначение пользователем или администратором привилегий самому себе,
- копирование конфиденциальной информации из отчетов или таблиц,
- выпуск отчета c конфиденциальной информацией,
- вход в SAP под именем учетной записи уволенного сотрудника,
- скачка большого объема данных из отчета или таблицы.
Кроме того с выходом нового пакета экспертизы вдля выявления атак на SAP ERP были добавлены ещё 12 правил детектирования.
Они помогут выявить следующие угрозы:
- атака типа «отказ в обслуживании»;
- сбор атакующими информации о зарегистрированных программах, уязвимостях системы, разрешенных командах;
- попытки зарегистрировать вредоносную программу;
- выполнение атакующими команд ОС без авторизации в системе;
- отключение журналирования событий (не даёт выявить активность злоумышленника);
- перенаправление трафика к серверу SAP на сервер подставной системы.
В MaxPatrol SIEM можно настроить правила с учетом классов систем в SAP ERP, это позволит снизить число ложных срабатываний.
С февраля 2019 года пользователи MaxPatrol SIEM уже получили восемь пакетов экспертизы, которые позволяют быстро выявлять попытки брутфорса, аномалии в активности пользователей, атаки на критически важные бизнес-системы, применение атакующими тактик по модели MITRE ATT&CK.