В систему выявления инцидентов MaxPatrol SIEM загружен пакет экспертизы, позволяющий оперативно обнаружить присутствие злоумышленников в системах управления баз данных MongoDB Enterprise Server.
Правила выявления угроз помогут выявить их активность на разных этапах атаки и не допустить кражи данных и вывода системы из строя.
Согласно исследованиям Positive Technologies, получение данных остается главным мотивом кибератак на компании – среди всех киберинцидентов на их долю приходится 61%. Чаще всего злоумышленникам удается завладеть персональными данными организаций (32%), коммерческой тайной (26%) и учетными данными (20%). Такие сведения могут храниться в системах управления баз данных.
Аналитическое агентство Forrester относит СУБД MongoDB к лидерам рынка нереляционных баз данных. Это документоориентированная система управления базами данных с открытым исходным кодом. Данные в ней хранятся в виде документов, объединенных в коллекции.
«Зачастую из-за некорректной конфигурации СУБД MongoDB может стать открытой, доступной из глобальной сети для любого пользователя, — комментирует Ян Губер, специалист отдела безопасности бизнес-систем и баз данных, Positive Technologies. — В России по данным на апрель около 1600 публично доступных серверов MongoDB. Такие СУБД злоумышленники могут найти с помощью специализированных поисковых систем и легко завладеть конфиденциальными данными в них. Из-за простоты доступа к данным серверы MongoDB остаются под прицелом хакеров».
Чтобы пользователи MaxPatrol SIEM, в чьей IT-инфраструктуре есть MongoDB Enterprise Server, усилили свой уровень защищенности, Positive Technologies выпустила специальный пакет экспертизы.
В пакет экспертизы вошли правила выявления атак на этапах повышения привилегий, получения учетных данных, исследования системы и воздействия на нее. Установив пакет экспертизы, пользователи MaxPatrol SIEM смогут обнаружить такие подозрительные действия, как:
- создание пользователей с высокими привилегиями,
- создание резервной копии или удаление баз данных,
- просмотр данных о пользователях и их паролей,
- получение информации о ролях пользователей,
- подключение с популярных дистрибутивов для тестирования на проникновение,
- множественное удаление коллекций.
Это четвертый пакет экспертизы в MaxPatrol SIEM, созданный для детектирования подозрительной активности в популярных в России СУБД. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на PostgreSQL, Oracle Database и Microsoft SQL Server.
Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 6.1 и установить правила из пакета экспертизы.
