В систему мониторинга событий информационной безопасности MaxPatrol SIEM добавлен пакет экспертизы для выявления подозрительной активности в ресурсах, размещенных пользователями в популярных сервисах Yandex Cloud. Он включает 17 правил обнаружения подозрительной активности для наиболее востребованных облачных сервисов. Загруженные в систему правила позволяют на раннем этапе обнаружить попытки злоумышленников нарушить конфиденциальность, целостность и доступность данных, хранящихся на облачной платформе.
Позитивный «Яндекс»
Ежедневно облачные сервисы Yandex Cloud используют более 19 тыс. компаний. Публичная облачная платформа предоставляет корпорациям, среднему бизнесу и частным разработчикам масштабируемую инфраструктуру, сервисы хранения данных, инструменты машинного обучения и средства разработки. В рамках курса на импортозамещение российский бизнес, который ранее пользовался зарубежными облачными сервисами, активно переносит ресурсы, разработку и эксплуатацию внутренних и клиентских приложений в Yandex Cloud. В результате, иностранные злоумышленники для атаки на ресурсы отечественных компаний все чаще стали прибегать к манипуляциям облачными сервисами российских компаний, поэтому потребовались дополнительные меры по контролю безопасности всех облачных сервисов.
В сентябре специалисты Positive Technologies разработали интеграционный модуль для MaxPatrol SIEM. Он загружает в систему данные о событиях, происходящих с ресурсами, которые компании размещают в Yandex Cloud. Следующим этапом сотрудничества с облачной платформой стал выпуск пакета экспертизы. В частности, для сервисов управления виртуальными машинами и дисками (Compute Cloud), масштабируемым хранилищем данных (Object Storage), ключами ширования (Key Management Service), идентификацией и контролем доступа (Identity and Access Management), базами данных (ClickHouse, MongoDB, MySQL, PostgreSQL, Redis), а также созданием и хранением секретов в платформе Yandex Lockbox.
«Компании в России все чаще выбирают облачные платформы, что создает необходимость уделять внимание любой нетипичной активности, связанной с размещенными там ресурсами, — пояснил востребованность нового пакета экспертизы специалист департамента базы знаний и экспертизы ИБ Positive Technologies Давид Никачадзе. — Утечка, потеря доступности данных и распространение вредоносных программ через публичные ресурсы — бизнес-риски, возможность реализации которых, исходя из вектора атаки, может зависеть и от пользователей платформ. В экспертный пакет входят правила, помогающие выявлять подозрительную активность в популярных сервисах Yandex Cloud. Кроме того, мы разработали для MaxPatrol SIEM правила, которые детектируют подозрительную активность, связанную с учетными записями на всей платформе, для всех поступающих в MaxPatrol SIEM событий. Для обнаружения потенциально опасной активности используются механизмы обогащения событий ИБ релевантными данными и табличные списки».
Возможности экспертизы
Новый пакет экспертизы MaxPatrol SIEM выявляет нелегитимное предоставление публичного доступа к объектам хранилища, создание пользователем, которого нет в списке администраторов, кластера базы данных, подозрительную активность привилегированных учетных записей, активность сервисных учетных записей из диапазона IP-адресов вне облака, создание виртуальной машины с уже использующимся IP-адресом, обнаружение чувствительной информации в пользовательских метаданных, нелегитимное предоставление виртуальной машине доступа к серийной консоли, назначение сервисной учетной записи, имеющей доступ к секретам сервиса Yandex Lockbox, виртуальной машине и другие способы манипулирования облачными ресурсами. Правила пакета основаны на опыте защиты подобных ресурсов, и в планы Positive Technologies входит расширение набора правил для сервисов Yandex Cloud по мере накопления соответствующей экспертизы.
