Злоумышленники постоянно модифицируют свои инструменты, техники и методы атак, а также разрабатывают новые способы обхода средств защиты и сокрытия своего присутствия в инфраструктуре скомпрометированных компаний. MaxPatrol SIEM включил 42 новых правила, добавленные в ранее загруженные пакеты экспертизы. Они позволяют пользователям MaxPatrol SIEM выявлять наиболее актуальные техники атак и способы маскировки вредоносной активности. Среди них, в частности:
«Техники и инструменты атакующих активно развиваются, а вместе с ними и средства защиты, которые необходимо регулярно пополнять актуальной экспертизой для противодействия новым способам атак. Наши исследования киберугроз и популярных хакерских фреймворков показывают, что злоумышленники сегодня уделяют все больше внимания маскировке: хорошо зная современные методы детектирования, они изобретают новые, которые максимально усложняют обнаружение вредоносной активности. А значит, требуется глубже и тщательнее изучать события ИБ, чем раньше, — комментирует Кирилл Кирьянов, ведущий специалист отдела экспертных сервисов развития экспертного центра безопасности Positive Technologies (PT ESC). — Например, событие Sysmon 10 свидетельствует о том, что атакующие пытаются получить учетные данные через доступ к памяти процесса lsass.exe. Чтобы выявить данную киберугрозу, средства ИБ затачивают исключительно под ловлю этого события. Однако сегодня злоумышленники модернизировали техники получения доступа к этому процессу так, чтобы исключить прямое обращение к памяти lsass.exe и генерацию события Sysmon 10. Такие, скажем, продвинутые техники уже невозможно обнаружить классическими способами, поэтому мы написали дополнительные правила, покрывающие новые методы сокрытия. Обновления помогут пользователям MaxPatrol SIEM своевременно выявить подозрительную активность и предотвратить развитие атаки».
Чтобы начать использовать добавленные правила, нужно обновить продукт до версии 7.0 и установить правила из пакета экспертизы.