Как распознать угрозы инфобезопасности, о которых ещё не знают специалисты и антивирусы?
Исследование новых видов угроз – стандартная практика компаний, занимающихся информационной безопасностью. Но изготовление специфической защиты от специфической угрозы – не единственный способ предотвращения атак.Как обнаружить работу новых средств атаки?
Разработчики инфобез-софта исследуют инструменты и способы достижения злоумышленниками своих целей, анализируют поведение зловредных продуктов на компьютерах и в сетях организаций, обобщают данные, находят закономерности.Результатом таких исследований становятся модули систем защиты, которые успешно справляются с угрозами, которые раньше не встречались.
Бич последних лет, вирусы-шифровальщики, также отличаются характерным поведением. Если его анализировать, то легко выявить особый паттерн: как правило,
один или несколько процессов занимаются перебором больших групп файлов.Это не похоже на стандартное поведение других «полезных» программ, а значит пользователя можно предупредить о такой активности, а работу процесса приостановить.
Рассмотренный пример – одно из 62 вновь внедрённых правил обнаружения угроз в новой версии MaxPatrol SIEM, продукта отечественного разработчика систем безопасности Positive Tecnologies.
Об инструменте
MaxPatrol SIEM специализируется на обнаружении событий в области информационной безопасности на подключённой инфраструктуре в реальном времени. Режим мониторинга подразумевает анализ на лету до 540 тысяч операций в секунду на одном ядре.Продукт уже содержит сотни паттернов подозрительного поведения и позволяет настраивать собственные средствами доступного конструктора.
Узнать обо всех возможностях системы обнаружения угроз в реальном времени MaxPatrol SIEM вы можете в АРБИС. Пишите нам на почту office@arbis29.ru или звоните по телефону в шапке профиля.
#безопасныйчетверг