Компания Positive Technologies выпустила новый пакет экспертизы для решения MaxPatrol SIEM, предназначенный для выявления атак на систему управления предприятием SAP ERP . Вошедшие в новый пакет правила помогут детектировать подозрительную активность пользователей в системе и тем самым обнаружить присутствие злоумышленника до того, как он украдет критически важные бизнес-данные или деньги.

Как поясняют в Positive Technologies, ERP-системы всегда являются объектом повышенного интереса злоумышленников, поэтому в компании сформирована экспертная команда, которая специализируется на исследовании уязвимостей бизнес-систем и на разработке способов обнаружения угроз в них. Специалисты этой группы, зная архитектуру популярных бизнес-систем, понимают, как злоумышленники могут их взломать, отслеживают изменения в сценариях взлома и появление нового инструментария.

В пакет для MaxPatrol SIEM вошли 13 новых правил корреляции событий ИБ. Они позволяют выявить активность злоумышленников в SAP ERP, которая выглядит как легитимные действия пользователей, а на самом деле позволяет атакующим замаскироваться в системе, повысить привилегии учетной записи, получить права администратора или доступ к конфиденциальной информации. Среди таких действий:

  • использование для входа в SAP временно разблокированной учетной записи,
  • назначение пользователем или администратором привилегий самому себе,
  • копирование конфиденциальной информации из отчетов или таблиц,
  • выпуск отчета c конфиденциальной информацией,
  • вход в SAP под именем учетной записи уволенного сотрудника,
  • скачивание большого объема данных из отчета или таблицы.

Одновременно с выходом нового пакета экспертизы предыдущий пакет правил для выявления атак на SAP ERP пополнился еще 12 правилами детектирования. Они помогут выявить следующие угрозы:

  • атака типа «отказ в обслуживании»;
  • сбор злоумышленниками информации о зарегистрированных программах, уязвимостях системы, разрешенных командах;
  • попытки зарегистрировать вредоносную программу;
  • выполнение злоумышленником команд ОС без авторизации в системе;
  • отключение журналирования событий (приводит к невозможности выявить активность злоумышленника);
  • перенаправление трафика к серверу SAP на сервер подставной системы.

В MaxPatrol SIEM также можно настроить правила с учетом классов систем в SAP ERP, что позволит снизить число ложных срабатываний. Например, правило для уведомления об использовании для входа в SAP временно разблокированной учетной записи рекомендовано активировать для систем класса тестирования и продуктивного класса и не использовать для систем класса разработки.