На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Внимательно прочитайте правила раздела
1. Запрещается публиковать материалы защищенные авторскими правами.
2. Запрещается публиковать новостные материалы без ссылки на источник
Модераторы: ANDLL, B.V.
  
    > MaxPatrol SIEM научилась выявлять подозрительную активность в ресурсах, размещенных в сервисах Yandex Cloud
      MaxPatrol SIEM научилась выявлять подозрительную активность в ресурсах, размещенных в сервисах Yandex Cloud

      В систему мониторинга событий информационной безопасности MaxPatrol SIEM добавлен пакет экспертизы для выявления подозрительной...

      В систему мониторинга событий информационной безопасности MaxPatrol SIEM добавлен пакет экспертизы для выявления подозрительной активности в ресурсах, размещенных пользователями в популярных сервисах Yandex Cloud. Загруженные в систему правила позволяют на раннем этапе обнаружить попытки злоумышленников нарушить конфиденциальность, целостность и доступность данных, хранящихся на облачной платформе.

      Ежедневно сервисы Yandex Cloud используют более 19 тыс. компаний. Публичная облачная платформа предоставляет корпорациям, среднему бизнесу и частным разработчикам масштабируемую инфраструктуру, сервисы хранения данных, инструменты машинного обучения и средства разработки. В рамках курса на импортозамещение российский бизнес, который ранее пользовался зарубежными облачными сервисами, активно переносит ресурсы, разработку и эксплуатацию внутренних и клиентских приложений в Yandex Cloud.

      В сентябре специалисты Positive Technologies разработали интеграционный модуль (коннектор) для MaxPatrol SIEM. Он загружает в систему данные о событиях, происходящих с ресурсами, которые компании размещают в Yandex Cloud. Следующим этапом сотрудничества с облачной платформой стал выпуск пакета экспертизы. Он включает 17 правил обнаружения подозрительной активности для наиболее востребованных сервисов. В частности, для сервисов Compute Cloud (виртуальные машины и диски), Object Storage (масштабируемое хранилище данных), Key Management Service (управление ключами шифрования), Identity and Access Management (идентификация и контроль доступа к облачным ресурсам), Yandex Lockbox (создание и хранение секретов в инфраструктуре платформы), а также сервисов для управления базами данных (ClickHouse, MongoDB, MySQL, PostgreSQL, Redis).

      «Компании в России все чаще выбирают облачные платформы, что создает необходимость уделять внимание любой нетипичной активности, связанной с размещенными там ресурсами. Утечка, потеря доступности данных и распространение вредоносных программ через публичные ресурсы — бизнес-риски, возможность реализации которых, исходя из вектора атаки, может зависеть и от пользователей платформ, — сказал Давид Никачадзе, специалист департамента базы знаний и экспертизы ИБ, Positive Technologies. — В экспертный пакет входят правила, помогающие выявлять подозрительную активность в популярных сервисах Yandex Cloud. Кроме того, мы разработали для MaxPatrol SIEM правила, которые детектируют подозрительную активность, связанную с учетными записями на всей платформе, для всех поступающих в MaxPatrol SIEM событий. Для обнаружения потенциально опасной активности используются механизмы обогащений событий ИБ релевантными данными и табличные списки».

      С помощью новых правил MaxPatrol SIEM выявляет: для сервиса Object Storage: нелегитимное предоставление публичного доступа к объектам хранилища — бакетам (нарушает конфиденциальность размещенных на платформе ресурсов и может свидетельствовать о том, что злоумышленники используют этот доступ для загрузки вредоносных программ и иных деструктивных действий); для сервисов управления различными базами данных (ClickHouse, PostgreSQL, MySQL, MongoDB, PostgreSQL, Redis): создание пользователем, которого нет в списке администраторов, кластера базы данных (может говорить об активности злоумышленников в системе); для сервиса Identity and Access Management: подозрительную активность привилегированных учетных записей, имеющих доступ ко всем ресурсам (критически опасное событие, которое может указывать на присутствие злоумышленников в системе); активность сервисных учетных записей из диапазона IP-адресов вне облака (может быть одним из признаков компрометации инфраструктуры); для сервиса Compute Cloud: создание виртуальной машины с уже использующимся IP-адресом (таким способом злоумышленники, как правило, скрывают свое присутствие в системе либо собирают конфиденциальные данные путем перехвата сетевого трафика); обнаружение чувствительной информации в пользовательских метаданных при создании виртуальной машины (является явным нарушением конфиденциальности данных и может привести к их утечке); нелегитимное предоставление виртуальной машине доступа к серийной консоли (редко используется в легитимных сценариях, поэтому каждый подобный случай требует дополнительной проверки и расследования); назначение сервисной учетной записи, имеющей доступ к секретам сервиса Yandex Lockbox, виртуальной машине (указывает на неправильное разграничение прав доступа к ресурсам, что чревато утечкой данных).

      В планах Positive Technologies — расширять набор правил для сервисов Yandex Cloud.

      Адрес новости:
      https://safe.cnews.ru/news/line/2022-12-01_maxpatrol_siem_nauchilas_vyyavlyat

      0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
      0 пользователей:


      Рейтинг@Mail.ru
      [ Script execution time: 0,0172 ]   [ 15 queries used ]   [ Generated: 29.01.23, 04:50 GMT ]