В систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM добавлен пакет экспертизы для выявления подозрительной активности во FreeIPA — службе каталогов с открытым исходным кодом. Новые правила корреляции позволяют на ранних этапах обнаруживать попытки киберпреступников получить доступ к инфраструктуре.
В связи с уходом иностранных IT-вендоров и курсом на импортозамещение российские компании активно переходят на использование отечественного программного обеспечения, в частности операционных систем, многие из которых являются официальным дистрибутивом ОС на базе Linux. Злоумышленники следят за тенденциями и регулярно пополняют свой арсенал актуальными техниками и инструментарием для проведения атак на новые системы в инфраструктуре.
FreeIPA — контроллер домена для Linux-систем, посредством которого можно централизованно управлять учетными записями пользователей, устанавливать политики доступа и аудита. Представляет собой альтернативу службе каталогов Active Directory, разработанной Microsoft.
«Учитывая текущую миграцию корпоративных инфраструктур с Windows на Linux, которая влечет за собой переход с Active Directory на отечественные службы каталогов, большое число компаний может оказаться под угрозой. В ходе расследований мы изучили, как атакуют FreeIPA, один из самых популярных из доступных аналогов Active Directory, и разработали правила для обнаружения компрометации инфраструктуры», — отметил Вадим Пантелькин, специалист отдела экспертных сервисов PT Expert Security Center.
С помощью новых правил MaxPatrol SIEM среди прочего выявляет:
- разведку инфраструктуры во FreeIPA, выполняемую с помощью хакерских фреймворков, в частности kerbrute;
- попытки брутфорса (подбора учетных данных) и спреинга паролей (подбора одного пароля к множеству учетных записей);
- подозрительные действия пользователей, например массовую блокировку учетных записей или изменение критически важных пользовательских данных;
- LDAP[1]-запросы к чувствительным атрибутам в домене.
На основе FreeIPA построены другие IT-решения. Так, в Astra Linux, одной из наиболее популярных российских операционных систем, на нем реализована служба каталога ALD Pro.
«В продуктовой команде ALD Pro мы сформировали экспертные компетенции по FreeIPA и ее технологическим компонентам: 389 Directory Server, MIT Kerberos, ISC Bind 9. Но знать, как извлечь максимум информации о событиях безопасности из системы и как правильно построить корреляции для точного выявления инцидентов безопасности, — это две большие разницы. Поэтому мы рады нашему сотрудничеству с Positive Technologies (с PT Expert Security Center — командой MaxPatrol SIEM) и благодарны за то, что эксперты компании применили свой опыт работы с Active Directory для выявления подозрительной активности в FreeIPA. Уверены, что новые правила корреляции — заметный вклад в развитие этого направления», — комментирует Евгений Паутов, директор департамента разработки средств управления «Группы Астра».
Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить правила из пакета экспертизы.
[1] Протокол, который обычно используется для хранения и извлечения информации об инфраструктуре, ее активах, пользователях и групп пользователей.
