Maxpatrol SIEM научилась выявлять атаки на Oracle Database

В Maxpatrol SIEM загружен очередной пакет экспертизы: новые правила корреляции событий IT-безопасности выявляют нежелательную активность в системах управления базами данных Oracle. Они помогут пользователям оперативно локализовать атаки, не допуская утечки данных или вывода СУБД из строя.

По результатам анализа актуальных киберугроз за II квартал 2019 года эксперты компании Positive Technologies отмечают, что более половины всех атак за этот период совершались именно с целью доступа к закрытой информации. Наиболее часто похищают персональные, учетные данные и данные платежных карт, а также коммерческая тайна и медицинская информация. Такие данные составили 88% всех похищенных.

Целью атаки киберпреступника на систему управления базами данных может быть не только доступ к конфиденциальной информации, но и вывод системы из строя, для того чтобы скрыть свои действия или нанести ущерб. СУБД зачастую подключена к другим системам, поэтому нарушение ее работоспособности способно привести к полной остановке всего бизнес-процесса.

Во избежание утечек информации и вывода из строя Oracle Database специалисты R&D Positive Technologies создали специальный пакет экспертизы с 13 правилами корреляции, с помощью которых пользователи Maxpatrol SIEM могут выявить следующие подозрительные действия, каждое из которых требует расследования:

• определение версии СУБД (первое действие хакера при атаке на систему);
• подбор наименований баз данных (свидетельствует о начале атаки);
• изменение записей в таблице аудита (обман или попытка киберпреступника направить расследование по ложному следу);
• отключение или удаление аудита, его системных правил, политики детального аудита;
• аудит действий привилегированных пользователей (SYSDBA);
• просмотр таблиц, содержащих пароли.