Новый пакет экспертизы в MaxPatrol SIEM поможет пользователям выявить подозрительную активность в системах управления базами данных Microsoft SQL Server. В состав пакета вошли правила, которые позволяют обнаружить атаку на разных стадиях — от разведки в скомпрометированной системе до воздействия на отдельные процессы в СУБД и на систему в целом.

Microsoft SQL Server используют 64% компаний крупного бизнеса и государственного сектора . Поскольку в СУБД хранятся критически важные данные компании (финансовая отчетность, персональные данные клиентов и сотрудников, информация о поставщиках и обязательствах), она может стать объектом внимания злоумышленников. Это подтверждается исследованиями Positive Technologies: по итогам 2019 года в 60% всех инцидентов мотивом злоумышленников была именно кража информации.

Чтобы пользователи MaxPatrol SIEM смогли выявлять факты компрометации базы данных Microsoft SQL до потери критически важных данных, специалисты Positive Technologies подготовили специальный пакет экспертизы. Он включает 23 правила корреляции событий ИБ, которые позволяют выявить подозрительную активность, например: изменение параметров СУБД, влияющих на безопасность системы; получение логинов и паролей учетных записей СУБД; большое количество неудачных попыток входа в систему; создание резервной копии базы данных; отключение аудита для сокрытия действий; создание резервной копии ключа или сертификата шифрования базы данных; чтение и редактирование реестра Windows.

«Мы добавили уже второй пакет экспертизы, направленный на выявление атак на популярные СУБД, — прокомментировал Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Наша команда следит за актуальными видами атак на такие системы, чтобы пользователи MaxPatrol SIEM смогли выявить факт компрометации до того, как злоумышленник получит доступ к конфиденциальным данным или выведет систему и бизнес-процессы из строя».