Экспертиза MaxPatrol SIEM для выявления атак на СУБД Oracle

По сообщению компании Positive Technologies, в систему MaxPatrol SIEM загружен очередной пакет экспертизы: новые правила корреляции событий информационной безопасности выявляют подозрительную активность в системах управления базами данных Oracle. Это поможет пользователям оперативно локализовать атаки.

Как отмечают в компании, целью атаки на СУБД может быть не только доступ к конфиденциальным данным, но и вывод системы из строя, для того чтобы скрыть свои действия или же просто нанести ущерб. Поскольку СУБД зачастую подключена ко многим другим системам, нарушение ее работоспособности может привести к полной остановке целого бизнес-процесса, поэтому так важно обеспечивать защиту баз данных.

Разработанный в Positive Technologies пакет экспертизы, который должен не допустить утечек данных и вывода из строя Oracle Database, включает 13 правил корреляции. С их помощью пользователи MaxPatrol SIEM могут выявить следующие подозрительные действия, каждое из которых требует расследования:

• определение версии СУБД (это первое действие злоумышленника при атаке на систему);
• подбор названия баз данных (явно свидетельствует о начале атаки на СУБД);
• изменение записей в таблице аудита, их удаление или добавление (обман или попытка злоумышленника пустить расследование по ложному следу);
• операции с аудитом — отключение или удаление аудита, его системных правил, политики детального аудита;
• аудит действий привилегированных пользователей (SYSDBA);
• чтение таблиц, содержащих пароли.