Как распознать угрозы инфобезопасности, о которых ещё не знают специалисты и антивирусы?

Исследование новых видов угроз – стандартная практика компаний, занимающихся информационной безопасностью. Но изготовление специфической защиты от специфической угрозы – не единственный способ предотвращения атак.

Как обнаружить работу новых средств атаки?

Разработчики инфобез-софта исследуют инструменты и способы достижения злоумышленниками своих целей, анализируют поведение зловредных продуктов на компьютерах и в сетях организаций, обобщают данные, находят закономерности.



Результатом таких исследований становятся модули систем защиты, которые успешно справляются с угрозами, которые раньше не встречались.

Бич последних лет, вирусы-шифровальщики, также отличаются характерным поведением. Если его анализировать, то легко выявить особый паттерн: как правило,

один или несколько процессов занимаются перебором больших групп файлов.

Это не похоже на стандартное поведение других «полезных» программ, а значит пользователя можно предупредить о такой активности, а работу процесса приостановить.

Рассмотренный пример – одно из 62 вновь внедрённых правил обнаружения угроз в новой версии MaxPatrol SIEM, продукта отечественного разработчика систем безопасности Positive Tecnologies.

Об инструменте

MaxPatrol SIEM специализируется на обнаружении событий в области информационной безопасности на подключённой инфраструктуре в реальном времени. Режим мониторинга подразумевает анализ на лету до 540 тысяч операций в секунду на одном ядре.

Продукт уже содержит сотни паттернов подозрительного поведения и позволяет настраивать собственные средствами доступного конструктора.



Узнать обо всех возможностях системы обнаружения угроз в реальном времени MaxPatrol SIEM вы можете в АРБИС. Пишите нам на почту office@arbis29.ru или звоните по телефону в шапке профиля.

#безопасныйчетверг