Система выявления инцидентов MaxPatrol SIEM компании Positive Technologies получила новый пакет экспертизы для российского ПО «1С». В него вошли 12 правил обнаружения угроз, которык позволяют выявить подозрительную активность пользователей в любых конфигурациях системы «1С:Предприятие», «1С:Бухгалтерия», «1С:ERP Управление предприятием» и других начиная с версии 8.3, а также позволяют предотвратить доступ злоумышленников к критически важным активам компании и конфиденциальной информации.
Чем опасна «1C»?
По данным IDC, компания «1C» занимает лидирующие позиции на российском рынке корпоративного ПО. По оценкам аналитического центра TAdviser, «1С» входил в десятку крупнейших ИТ-компаний России в 2021 году (8-е место в ранкинге TAdviser100). А ведь чем более популярно решение, тем привлекательнее оно для хакеров, поэтому в современных условиях важно обеспечить защиту этого высокоуровневого элемента корпоративной информационной системы. А Поскольку сейчас именно на продукты «1C» производится переход, то велика вероятность в результате получить уязвимую конфигурацию этого решения, чем и смогут воспользоваться злоумышленники.
Новый набор экспертизы для MaxPatrol SIEM позволяет обнаружить различные аномалии в работе конфигураций «1С:Предприятие», в частности: использование разных учетных записей с одного устройства; вход под учетной записью из черного списка; вход в систему пользователя, только что получившего к ней доступ; несколько попыток входа в систему с разных устройств; блокировка пользователя после нескольких неудачных попыток входа; отключение пароля пользователя; создание пользователя без пароля; манипуляции с критически важными ролями; массовая блокировка учетных записей; массовая разблокировка учетных записей; многократное изменение пароля учетной записи; и манипулирование критически важными данными.
«Продукты компании «1C», такие, например, как «1С:Бухгалтерия» и «1С:ERP Управление предприятием», традиционно являются целевыми системами для злоумышленников, а с учетом роста импортозамещения на российском рынке распространенность решений «1C» и общая поверхность атак будут увеличиваться, — предупреждает специалист департамента базы знаний и экспертизы информационной безопасности Positive Technologies Петр Ковчунов. — Пользователям MaxPatrol SIEM мы рекомендуем как можно скорее начать использовать новый пакет экспертизы. Нарушение конфиденциальности данных в подобных системах может привести к серьезным последствиям для бизнеса».
Ускоренное импортозамещения
Быстрый перевод корпоративной инфраструктуры на отечественные продукты чреват ошибками в конфигурации, что может существенно снизить безопасность используемых систем. При этом персонал, как правило, не имеет достаточных компетенций для правильной настройки отечественного ПО, в результате допускаются классические ошибки, типа использования одной учётной записи разными людьми, неудобной парольной политики или неправильного распределения полномочий для критических ролей. Именно эти проблемы и решает новый набор экспертизы от Positive Technologies — «защита от дурака». Будем надеяться, что компания выпустит аналогичные наборы правил и для других популярных отечественных продуктов.
