• lesyaarsitova

MaxPatrol SIEM выявляет атаки на платформу SAP NetWeaver Application Server для Java-приложений



В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы. Он обнаруживает подозрительную активность пользователей в платформе для приложений SAP NetWeaver Application Server Java. Новые правила позволят вовремя предотвратить доступ злоумышленников к системе SAP, атаки типа «отказ в обслуживании» и повышение привилегий до уровня администратора.


«Крупнейшие компании используют бизнес-приложения SAP для управления финансовыми потоками, жизненным циклом продуктов, взаимодействием с поставщиками и клиентами, ресурсами предприятия, критически важными бизнес-процессами. Поэтому защищенность хранящейся в системах SAP информации имеет огромное значение, а нарушение ее конфиденциальности может привести к катастрофическим для бизнеса последствиям», — отмечает специалист отдела безопасности бизнес-систем и баз данных Positive Technologies Станислав Завгородний. По данным на 2019 год, доля вендора на мировом рынке бизнес-приложений составляет 7,7%. Платформа SAP NetWeaver Application Server выполняет роль сервера популярных бизнес-приложений SAP. На языке Java из них написаны портал для внутренних коммуникаций SAP Portal и SAP Process Integration, которое интегрирует SAP- и другие приложения.


Эксперты Positive Technologies разработали специальный пакет экспертизы для выявления атак на SAP NetWeaver Application Server Java. В него вошли 10 правил обнаружения угроз. Правила позволяют выявить применение нескольких техник атак из матрицы MITRE ATT&CK, которые используются злоумышленниками для повышения привилегий, получения учетных данных и воздействия на скомпрометированные системы. Например, с помощью этого пакета пользователи могут обнаружить случаи, когда злоумышленники:

· пытаются подобрать пароль к учетным записям;

· добавляют пользователя в группу администраторов системы SAP, чтобы повысить свои привилегии;

· пытаются войти в систему SAP под одной учетной записью с разных устройств;

· сбрасывают пароль для одной учетной записи несколько раз в течение 5 минут;

· реализуют атаку «отказ в обслуживании», намеренно вводя неверные пароли к учетным записям пользователей для их автоматической блокировки. Ранее в MaxPatrol SIEM были загружены два пакета экспертизы для выявления атак на SAP ERP.


Чтобы начать использовать новый пакет экспертизы, нужно обновить MaxPatrol SIEM до версии 6.1 и установить правила из пакета экспертизы.

Просмотров: 2Комментариев: 0