В систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM компании Positive Technologies добавлен пакет экспертизы для выявления подозрительной активности во FreeIPA — службе каталогов с открытым исходным кодом. Новые правила корреляции позволяют на ранних этапах обнаруживать попытки киберпреступников получить доступ к инфраструктуре.
В связи с уходом иностранных ИТ-вендоров и курсом на импортозамещение российские компании активно переходят на использование отечественного программного обеспечения, в частности операционных систем, многие из которых являются официальным дистрибутивом ОС на базе Linux. Злоумышленники следят за тенденциями и регулярно пополняют свой арсенал актуальными техниками и инструментарием для проведения атак на новые системы в инфраструктуре.
FreeIPA — контроллер домена для Linux-систем, посредством которого можно централизованно управлять учетными записями пользователей, устанавливать политики доступа и аудита. Представляет собой альтернативу службе каталогов Active Directory, разработанной Microsoft.
«Учитывая текущую миграцию корпоративных инфраструктур с Windows на Linux, которая влечет за собой переход с Active Directory на отечественные службы каталогов, большое число компаний может оказаться под угрозой. В ходе расследований мы изучили, как атакуют FreeIPA, один из самых популярных из доступных аналогов Active Directory, и разработали правила для обнаружения компрометации инфраструктуры», — отметил Вадим Пантелькин, специалист отдела экспертных сервисов PT Expert Security Center.
С помощью новых правил MaxPatrol SIEM среди прочего выявляет: разведку инфраструктуры во FreeIPA, выполняемую с помощью хакерских фреймворков, в частности kerbrute; попытки брутфорса (подбора учетных данных) и спреинга паролей (подбора одного пароля к множеству учетных записей); подозрительные действия пользователей, например массовую блокировку учетных записей или изменение критически важных пользовательских данных; LDAP-запросы к чувствительным атрибутам в домене.
Наталия Дегтярева, ВТБ: Самые успешные стартапы создаются выходцами из корпораций
ИТ В БАНКАХ
На основе FreeIPA построены другие ИТ-решения. Так, в Astra Linux на нем реализована служба каталога ALD Pro.
«В продуктовой команде ALD Pro мы сформировали экспертные компетенции по FreeIPA и ее технологическим компонентам: 389 Directory Server, MIT Kerberos, ISC Bind 9. Но знать, как извлечь максимум информации о событиях безопасности из системы и как правильно построить корреляции для точного выявления инцидентов безопасности, — это две большие разницы. Поэтому мы рады нашему сотрудничеству с Positive Technologies (с PT Expert Security Center — командой MaxPatrol SIEM) и благодарны за то, что эксперты компании применили свой опыт работы с Active Directory для выявления подозрительной активности в FreeIPA. Уверены, что новые правила корреляции — заметный вклад в развитие этого направления», — сказал Евгений Паутов, директор департамента разработки средств управления «Группы Астра».
Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить правила из пакета экспертизы.