В MaxPatrol SIEM загружен третий пакет экспертизы под Linux

Новый пакет экспертизы позволит обнаружить подозрительные действия пользователей в Linux-системах, которые могут свидетельствовать о компрометации системы и развитии атаки на IT-инфраструктуру организации. Новая серия правил дополняет два предыдущих пакета экспертизы, посвященных Linux-системам: для выявления подозрительной сетевой активности и изменений системных объектов.

В состав пакета вошли 12 правил обнаружения угроз, которые позволяют выявить локальную разведку при входе в Linux-систему, просмотр содержимого чужих домашних каталогов, запуск команд для повышения привилегий и использование хакерских утилит для дальнейшего развития атаки. Описание всех 12-и правил — в руководстве по установке и использованию пакета экспертизы.

Чтобы начать использовать новый пакет экспертизы, обновите MaxPatrol SIEM до версии 23 (6.0).

PT ISIM database can now be updated with expertise packs

A proprietary database of industrial system threat indicators (PT ISTI) of PT Industrial Security Incident Manager (PT ISIM), a hardware and software suite for deep analysis of traffic on ICS networks, can now be updated with expertise packs. The first expertise pack is already available for installation. It includes rules for detecting threats to equipment and systems of the Austrian firm B&R Industrial Automation used in the oil and gas industry, mining, processing, and other industries.  
Roman Krasnov, ICS Security Expert at Positive Technologies, said: "Today, the key performance characteristic of the ICS traffic analysis systems is the amount of unique expert knowledge they possess. In the past few years, we have been working to expand the amount and quality of expertise available in our products. Constantly updating PT ISIM databases with the latest data on vulnerabilities and new attacker techniques, including with expertise packs, is key to improve the security of our customers' industrial control systems."
The first expertise pack includes special indicators of threats to B&R Industrial Automation equipment and systems (PLC X20 and APROL industrial process automation system). They will help the PT ISIM experts to detect signs of exploitation of vulnerabilities in traffic in the entire B&R protocol stack (ANSL, INA2000, IOSHTTP, IOSYS, and more) and spot potentially dangerous B&R Industrial Automation equipment management commands. Timely detection of such activity helps prevent unauthorized changes to ICS operation modes and avoid emergency situations.
The expert packet complements the proprietary database of industrial system threat indicators (PT ISTI), an integral part of PT ISIM. The database contains over 4,000 signatures and rules for detecting attacks on common systems, including ABB, Emerson, Hirschmann, Schneider Electric, Siemens, and Yokogawa. PT ISTI is regularly updated by Positive Technologies ICS security experts.
Expertise packs are expected to be released monthly. They will be available to PT ISIM users starting from version 2.3.

В PT Industrial Security Incident Manager появилась возможность пополнять базу знаний пакетами экспертизы

Базу индикаторов промышленных киберугроз программно-аппаратного комплекса глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) теперь можно пополнять пакетами экспертизы ИБ. Первый экспертный пакет уже доступен пользователям для загрузки. Он включает в себя правила обнаружения угроз для оборудования и систем австрийской компании B&R Industrial Automation, которые применяются в нефтегазовой, горнодобывающей, перерабатывающей промышленности и других отраслях. 
Первый пакет экспертизы включает специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation (ПЛК серии X20 и системы управления производственными процессами APROL). Они помогут специалистам по ИБ, работающим с PT ISIM, выявлять в трафике признаки эксплуатации уязвимостей во всем стеке протоколов B&R (ANSL, INA2000, IOSHTTP, IOSYS и др.) и детектировать потенциально опасные команды управления оборудованием производства B&R Industrial Automation. Своевременное обнаружение такой активности позволит предотвратить несанкционированное изменение режимов работы АСУ ТП и пресечь возникновение аварийных ситуаций.
Пакет экспертизы дополняет входящую в PT ISIM уникальную базу индикаторов промышленных киберугроз PT ISTI. Она содержит более 4000 сигнатур и правил обнаружения различных атак на распространенные системы ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и др. Базу PT ISTI регулярно пополняет команда экспертов по безопасности промышленных систем управления Positive Technologies.
Выход экспертных пакетов планируется ежемесячно. Возможность получения и установки пакетов экспертизы доступна пользователям PT ISIM с версии 2.3.