MaxPatrol SIEM выявляет атаки на СУБД PostgreSQL
5 ноября 2020 года
Система выявления инцидентов MaxPatrol SIEM пополнилась пакетом экспертизы для выявления подозрительной активности в системах управления базами данных PostgreSQL. Правила в составе пакета помогут пользователям оперативно обнаружить злоумышленников и не допустить кражи данных и вывода системы из строя.
PostgreSQL — третья по распространенности СУБД в российских государственных учреждениях и крупных компаниях; в 2019 году ее использовали в 51% таких организаций. По данным Positive Technologies, получение данных было главным мотивом действий злоумышленников во втором квартале 2020 года. Чаще всего крадут учетные и персональные данные, информацию, относящуюся к коммерческой тайне, и базы данных клиентов — на долю таких сведений пришлось 80% хищений. Подобные данные обычно содержатся в системах управления базами данных, поэтому СУБД часто становятся целью атак злоумышленников.
Для пользователей MaxPatrol SIEM, в чьих инфраструктурах есть СУБД PostgreSQL, команда R&D Positive Technologies выпустила пакет экспертизы с правилами для выявления атак, проводимых с помощью запросов к СУБД. Правила помогают обнаружить такие подозрительные действия, как:
· отправка команд для определения версии базы данных (свидетельствует о начале атаки на СУБД),
· чтение таблиц, содержащих хеш-суммы паролей,
· отключение аудита,
· изменение уровня важности сообщений аудита для сокрытия действий,
· изменение метода аутентификации для повышения вероятности компрометации пользователя или роли в системе,
· отключение политики защиты строк для таблицы,
· отключение шифрования канала передачи данных (SSL),
· перезагрузка конфигурации сервера,
· запуск встроенных приложений операционной системы с возможностью выполнения произвольных команд.
Каждое из перечисленных действий требует расследования.
Это третий пакет экспертизы в MaxPatrol SIEM, созданный для детектирования подозрительной активности в популярных в России СУБД. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на [1] Oracle Database и Microsoft SQL Server.
Как получить пакет
Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 23 или выше. Установка пакета выполняется автоматически при обновлении Knowledge Base согласно инструкциям Руководства по внедрению. Откройте базу знаний Knowledge Base, в которой хранятся все правила корреляции, добавьте правила из пакета экспертизы в набор для установки и нажмите кнопку «Установить в MaxPatrol SIEM».
Для корректной работы всех правил корреляции пакета нужно настроить аудит в соответствии с инструкцией в руководстве по установке и использованию пакета экспертизы.
Источники[править]
Эта статья содержит материалы из статьи «MaxPatrol SIEM выявляет атаки на СУБД PostgreSQL», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.