В MaxPatrol SIEM добавлен пакет экспертизы для выявления подозрительной активности в ресурсах, размещенных пользователями в сервисах Yandex Cloud.
В систему мониторинга событий информационной безопасности Для просмотра ссылки Войди
Ежедневно сервисы Yandex Cloud используют более 19 тыс. компаний. Публичная облачная платформа предоставляет корпорациям, среднему бизнесу и частным разработчикам масштабируемую инфраструктуру, сервисы хранения данных, инструменты машинного обучения и средства разработки. В рамках курса на импортозамещение российский бизнес, который ранее пользовался зарубежными облачными сервисами, активно переносит ресурсы, разработку и эксплуатацию внутренних и клиентских приложений в Yandex Cloud.
В сентябре специалисты Для просмотра ссылки Войди
«Компании в России все чаще выбирают облачные платформы, что создает необходимость уделять внимание любой нетипичной активности, связанной с размещенными там ресурсами. Утечка, потеря доступности данных и распространение вредоносных программ через публичные ресурсы — бизнес-риски, возможность реализации которых, исходя из вектора атаки, может зависеть и от пользователей платформ, — говорит Давид Никачадзе, специалист департамента базы знаний и экспертизы ИБ, Positive Technologies. — В экспертный пакет входят правила, помогающие выявлять подозрительную активность в популярных сервисах Yandex Cloud. Кроме того, мы разработали для MaxPatrol SIEM правила, которые детектируют подозрительную активность, связанную с учетными записями на всей платформе, для всех поступающих в MaxPatrol SIEM событий. Для обнаружения потенциально опасной активности используются механизмы обогащений событий ИБ релевантными данными и табличные списки».
С помощью новых правил MaxPatrol SIEM выявляет:
- Для сервиса Object Storage:
- нелегитимное предоставление публичного доступа к объектам хранилища — бакетам (нарушает конфиденциальность размещенных на платформе ресурсов и может свидетельствовать о том, что злоумышленники используют этот доступ для загрузки вредоносных программ и иных деструктивных действий).
- Для сервисов управления различными базами данных (ClickHouse, PostgreSQL, MySQL, MongoDB, PostgreSQL, Redis) :
- создание пользователем, которого нет в списке администраторов, кластера базы данных (может говорить об активности злоумышленников в системе).
- Для сервиса Identity and Access Management:
- подозрительную активность привилегированных учетных записей, имеющих доступ ко всем ресурсам (критически опасное событие, которое может указывать на присутствие злоумышленников в системе);
- активность сервисных учетных записей из диапазона IP-адресов вне облака (может быть одним из признаков компрометации инфраструктуры).
- Для сервиса Compute Cloud:
- создание виртуальной машины с уже использующимся IP-адресом (таким способом злоумышленники, как правило, скрывают свое присутствие в системе либо собирают конфиденциальные данные путем перехвата сетевого трафика);
- обнаружение чувствительной информации в пользовательских метаданных при создании виртуальной машины (является явным нарушением конфиденциальности данных и может привести к их утечке);
- нелегитимное предоставление виртуальной машине доступа к серийной консоли (редко используется в легитимных сценариях, поэтому каждый подобный случай требует дополнительной проверки и расследования);
- назначение сервисной учетной записи, имеющей доступ к секретам сервиса Yandex Lockbox, виртуальной машине (указывает на неправильное разграничение прав доступа к ресурсам, что чревато утечкой данных).
В планах Positive Technologies — расширять набор правил для сервисов Yandex Cloud.
1 Интеграция с Yandex Cloud доступна начиная с версии MaxPatrol SIEM 7.0.
- Источник новости
- https://www.securitylab.ru/news/535081.php