MaxPatrol SIEM выявляет атаки на СУБД PostgreSQL

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

5 ноября 2020 года

Система выявления инцидентов MaxPatrol SIEM пополнилась пакетом экспертизы для выявления подозрительной активности в системах управления базами данных PostgreSQL. Правила в составе пакета помогут пользователям оперативно обнаружить злоумышленников и не допустить кражи данных и вывода системы из строя.

PostgreSQL — третья по распространенности СУБД в российских государственных учреждениях и крупных компаниях; в 2019 году ее использовали в 51% таких организаций. По данным Positive Technologies, получение данных было главным мотивом действий злоумышленников во втором квартале 2020 года. Чаще всего крадут учетные и персональные данные, информацию, относящуюся к коммерческой тайне, и базы данных клиентов — на долю таких сведений пришлось 80% хищений. Подобные данные обычно содержатся в системах управления базами данных, поэтому СУБД часто становятся целью атак злоумышленников.

Для пользователей MaxPatrol SIEM, в чьих инфраструктурах есть СУБД PostgreSQL, команда R&D Positive Technologies выпустила пакет экспертизы с правилами для выявления атак, проводимых с помощью запросов к СУБД. Правила помогают обнаружить такие подозрительные действия, как:

· отправка команд для определения версии базы данных (свидетельствует о начале атаки на СУБД),

· чтение таблиц, содержащих хеш-суммы паролей,

· отключение аудита,

· изменение уровня важности сообщений аудита для сокрытия действий,

· изменение метода аутентификации для повышения вероятности компрометации пользователя или роли в системе,

· отключение политики защиты строк для таблицы,

· отключение шифрования канала передачи данных (SSL),

· перезагрузка конфигурации сервера,

· запуск встроенных приложений операционной системы с возможностью выполнения произвольных команд.

Каждое из перечисленных действий требует расследования.

Это третий пакет экспертизы в MaxPatrol SIEM, созданный для детектирования подозрительной активности в популярных в России СУБД. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на [1] Oracle Database и Microsoft SQL Server.

Как получить пакет

Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 23 или выше. Установка пакета выполняется автоматически при обновлении Knowledge Base согласно инструкциям Руководства по внедрению. Откройте базу знаний Knowledge Base, в которой хранятся все правила корреляции, добавьте правила из пакета экспертизы в набор для установки и нажмите кнопку «Установить в MaxPatrol SIEM».

Для корректной работы всех правил корреляции пакета нужно настроить аудит в соответствии с инструкцией в руководстве по установке и использованию пакета экспертизы.

Источники[править]

Эта статья содержит материалы из статьи «MaxPatrol SIEM выявляет атаки на СУБД PostgreSQL», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).
Creative Commons
Creative Commons
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=MaxPatrol_SIEM_выявляет_атаки_на_СУБД_PostgreSQL&oldid=15990462