erid:Kra241v63
MaxPatrol SIEM получил новый пакет экспертизы для защиты компаний от атак на цепочки поставок. Такие атаки целятся на разработчиков и поставщиков программного обеспечения, через продукты которых хакеры проникают в инфраструктуру конечной цели.
По данным экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), 20% всех атак в 2022 году были связаны с атаками типа supply chain и trusted relationship (через доверительные отношения); пострадали ресурсы известных организаций — AMD, Cisco, Cloudflare, Microsoft, NVIDIA, Samsung. А в первом полугодии 2023 года такие атаки составили около 30% случаев.
«Для производителей ПО реализация угроз, связанных с цепочками поставок, однозначно является недопустимым событием. Это актуально и для нас, и для многих других IT-компаний, — отмечает эксперт лаборатории PT Expert Security Center. — Подобные инциденты могут привести к репутационным и финансовым издержкам, к разрыву контрактных обязательств с клиентами, стать причиной кражи интеллектуальной собственности разработчика».
Новый пакет экспертизы для MaxPatrol SIEM основан на трех ключевых источниках событий, которые обычно тесно связаны друг с другом:
на репозиториях GitLab,
на сборочной инфраструктуре TeamCity
на хранилище артефактов и данных JFrog Artifactory.
Правила позволяют обнаруживать, например, добавление кода в важную ветку без одобрения, изменение такой ветки через веб-интерфейс или снятие с нее защиты, одобрение своего запроса на добавление кода, массовое создание привилегированных учетных записей, подозрительные действия новых пользователей, изменение конфигурации сборки TeamCity, действия в JFrog Artifactory, указывающие на атаку типа dependency confusion ( CVE-2021-29427 ). Такая активность может привести к незаконному изменению кода, хранящегося в защищенных, релизных или основных (master) ветках.
Новые правила MaxPatrol SIEM охватывают следующие техники матрицы MITRE ATT&CK: компрометация цепочки поставок (тактика «Первоначальный доступ»), существующие учетные записи (тактики «Первоначальный доступ» и «Повышение привилегий»), данные из локальной системы (тактика «Сбор данных») и дефейс (тактика «Воздействие»).
Источник: SecurityLab