Ideco NGFW
Скачать PDF
v19
v19
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Системные требования и источники данных Ideco NGFW
      • Выбор аппаратной платформы
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт Ideco NGFW
    • Рекомендации при первоначальной настройке
    • Подготовка платформы к установке
      • Настройка гипервизора
      • Настройка программно-аппаратных комплексов Ideco NGFW
      • Создание загрузочного USB-накопителя
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка Ideco NGFW
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление учетными записями и группами
        • Настройка пользователей
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • Двухфакторная аутентификация
      • VPN-подключение
        • Подключение по PPTP
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
        • Установка и настройка Ideco Client на Windows
        • Установка и настройка Ideco Client на MacOS
        • Установка и настройка Ideco Client на Linux
        • Настройка Device VPN
        • Создание сертификатов для Device VPN
        • Балансировка VPN-подключений
        • Кастомная настройка Ideco Client
      • Профили устройств
      • Active Directory/Samba DC
        • Импорт пользователей
        • Аутентификация пользователей AD/Samba DC
          • Настройка сервера Active Directory
          • Настройка клиентских машин
          • Скрипты автоматической разавторизации
      • RADIUS
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Сессии администраторов
      • Сессии пользователей
      • Сессии ЛК
      • Графики загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
      • Netflow
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Примеры создания правил файрвола
        • Логирование
        • Тестирование правил
        • Предварительная фильтрация
        • Аппаратная фильтрация
      • Контент-фильтр
        • Правила
        • Описание категорий контент-фильтра
        • Морфологические словари
        • Настройки
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирус
      • Предотвращение вторжений
        • Группы сигнатур
        • Пользовательские сигнатуры
        • Настройки
      • Исключения
      • Объекты
    • Профили безопасности
      • Web Application Firewall
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
    • Сервисы
      • Сетевые интерфейсы
        • Внешние и локальные интерфейсы
        • Агрегированные интерфейсы (LACP)
        • Туннельные интерфейсы (GRE)
        • VCE-интерфейсы
        • SPAN-интерфейсы
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • ЛК/Портал SSL VPN
      • Защита и управление DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение между двумя Ideco NGFW в туннельном режиме работы
        • Подключение между двумя Ideco NGFW в транспортном режиме работы
        • Подключение Ideco NGFW и Mikrotik по IPsec в туннельном режиме
        • Подключение Ideco NGFW и Mikrotik по IPsec в транспортном режиме
        • Подключение MikroTik и Ideco NGFW по L2TP/IPsec
        • Подключение Cisco IOS и Ideco NGFW по IPsec в туннельном режиме
        • Подключение Cisco IOS и Ideco NGFW по IPsec в транспортном режиме
        • Подключение Cisco IOS и Ideco NGFW по route-based IPsec
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • ГОСТ VPN
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью PowerShell
        • Создание сертификата c помощью openssl
      • USB-токены
    • Отчеты и журналы
      • Трафик
      • Системный журнал
      • Журнал веб-трафика
      • Журнал трафика
      • События безопасности
      • Действия администраторов
      • Журнал аутентификации
      • Журнал авторизации ЛК
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Ideco Center
      • VCE
      • Кластеризация
        • Настройка кластера
        • Обновление кластера
      • Обновления
      • Бэкапы
      • Терминал
        • Примеры использования утилит
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам и антивирус
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
    • Полный цикл обработки трафика в Ideco NGFW
  • Настройка MY.IDECO
    • О личном кабинете MY.IDECO
    • NGFW
    • Центральная консоль
    • Monitoring Bot и Security
    • Личные данные и Компании
  • Настройка Ideco Center
    • Об Ideco Center
    • Установка Ideco Center
    • Серверы
    • Мониторинг
    • Политики и объекты
    • Профили безопасности
    • Сервисы
    • Отчеты и журналы
    • Управление сервером
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Создание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подлючение к серверу по COM-порту и настройка Ideco NGFW
      • Анализ трафика
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Как разрешить доступ к ресурсам в ограниченной сети
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка совместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
      • Как Ideco Client осуществляет обработку запросов с редиректом на сервер Ideco NGFW
      • Как включить таймер при загрузке Ideco NGFW
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
      • Ошибка 400 Bad Request Request Header Or Cookie Too Large при авторизации в браузерах
  • API
    • Описание основных хендлеров
    • Управление интеграцией с Active Directory
    • Управление интеграцией с ALD Pro
    • Управление администраторами
    • Управление пользователями
    • Управление Ideco Client
    • Мониторинг и журналы
    • Управление правилами трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
      • Предотвращение вторжений
      • Исключения
    • Управление профилями безопасности
    • Управление сетевыми интерфейсами
    • Управление VPN
    • Управление обратным прокси
    • DHCP-сервер
    • DNS-сервер
    • Настройка удаленной передачи системных логов
    • Управление Ideco Center
    • Бэкапы и возврат к предыдущей версии
    • Почтовый релей
      • Расширенные настройки
      • Антиспам и антивирус
      • Правила
      • Почтовая очередь
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила FORWARD
  • changelog
    • Ideco NGFW 19.X
    • ФСТЭК Ideco UTM 19.X
    • Ideco Center 19.Х
Powered by GitBook
On this page

Was this helpful?

  1. Настройка Ideco NGFW
  2. Правила трафика
  3. Предотвращение вторжений

Группы сигнатур

В статье описаны группы сигнатур и история их изменений.

PreviousПредотвращение вторженийNextПользовательские сигнатуры

Last updated 1 month ago

Was this helpful?

На вкладке Группы сигнатур доступны для просмотра предустановленные и группы правил системы Предотвращения вторжений, распределенные по тактикам в соответствии с матрицей MITRE ATT&CK (матрица тактик и техник кибератак):

Чтобы увидеть сигнатуры, входящие в группу, нажмите на . Чтобы увидеть содержание сигнатуры, наведите курсор мыши на SID:

Описание групп сигнатур

  • DNS поверх HTTPS - обнаруживает и блокирует попытки скрыть DNS-запросы путем туннелирования через TLS/SSL (DNS поверх HTTPS). Правила анализируют трафик, чтобы выявить характерные для DoH-сессий доменные имена, используемые для обхода стандартных механизмов DNS-фильтрации. Такие методы злоумышленники могут применять для обхода сетевых политик, утечки данных или скрытого управления зараженными системами. Применение этих правил помогает предотвратить несанкционированное использование DoH.

  • GeoIP Страны Восточной Европы - обнаруживает попытки доступа к IP-адресам, соответствующим различным странам. Система анализирует исходящий и входящий трафик и определяет подключения, соответствующие геолокационным критериям, которые могут свидетельствовать о потенциальных угрозах. Такой механизм фильтрации помогает блокировать несанкционированный доступ, атаки и прочую активность.

  • SSL-сертификаты, используемые вредоносным ПО и ботнетами - обнаруживает использование SSL-сертификатов, которые вредоносное ПО и ботнеты применяют для установления защищенных TLS-соединений с командными центрами злоумышленников (C2). Система анализирует отпечатки SSL-сертификатов, присутствующих в трафике, и выявляет попытки скрыть коммуникации посредством легитимно выглядящих шифрованных каналов. При обнаружении совпадений с известными вредоносными отпечатками такие соединения блокируются. Это предотвращает скрытое управление зараженными системами и снижает риск утечки данных и распространения кибератак.

  • Авторизация с подозрительным логином - обнаруживает попытки авторизации с использованием подозрительных логинов, которые говорят о фишинговых атаках, переборе паролей или применении специализированных эксплойтов для несанкционированного доступа. Выявление таких аномалий позволяет своевременно блокировать соединения, предотвращая компрометацию систем и утечку данных.

  • Анонимайзеры - обнаруживает использование анонимайзеров для сокрытия истинного источника трафика и возможного обхода систем контроля доступа. Определяются ключевые маркеры, связанные с различными сервисами анонимизации. Злоумышленники могут применять эти технологии для маскировки атак, утечек данных и обхода корпоративных политик безопасности, что делает их важными для своевременного обнаружения и блокировки.

  • Атаки на получение прав пользователя - обнаруживает попытки получить несанкционированный доступ к учетным данным через эксплуатацию уязвимостей системы и применить специализированные инструменты. Анализируя сетевой трафик, фиксируются характерные маркеры атак, такие как выполнение команд для изменения настроек, обращения к реестру и т.д. Выявление подобной активности позволяет своевременно блокировать подозрительные соединения, предотвращая компрометацию систем и утечку конфиденциальной информации.

  • Атаки на получение привилегий администратора - обнаруживает попытки получить административные привилегии с использованием уязвимостей и эксплойтов для эскалации прав. Анализируя сетевой трафик, определяет характерные маркеры активности. Такие действия могут указывать на внедрение вредоносного ПО или бэкдоров, что позволяет своевременно блокировать атаки и предотвращать компрометацию критически важных систем.

  • Блокирование активности троянских программ - обнаруживает попытки эксплуатировать троянские программы, направленные на скрытую передачу данных, удаленно управлять зараженными системами, утечку конфиденциальной информации и др. Анализируя сетевой трафик, выявляет характерные маркеры активности вредоносных троянов - специфичные сигнатуры пакетов, аномальные HTTP-запросы, подозрительные команды и нестандартные DNS-запросы, связанные с ransomware. Блокировка таких соединений предотвращает дальнейшее распространение атак и защищает критически важные данные.

  • Блокирование атак - обнаруживает попытки атак, направленные на эксплуатацию уязвимостей информационных систем, проведение сканирования портов, удаленное выполнение кода и другие методы вторжения. Анализирует входящий и исходящий сетевой трафик, фиксируя характерные сигнатуры эксплойтов, аномалии в пакетах, нестандартные команды и подозрительные запросы, указывающие на попытки получить несанкционированный доступ, провести DoS-атаки или обойти защитные механизмы. Оценивает репутацию IP-адресов и блокирует трафик, исходящий с адресов, имеющих негативную репутацию или принадлежащих к известным нодам Tor. Это позволяет предотвращать компрометацию инфраструктуры, утечку конфиденциальных данных и нарушение стабильности работы сетевых ресурсов.

  • Блокирование крупных утечек информации - обнаруживает попытки несанкционированного экспорта данных из систем. Анализируя пакеты, фиксирует характерные маркеры экспорта и специфичные заголовки, свидетельствующие о массовой передаче конфиденциальной информации. Это позволяет оперативно блокировать такие соединения и предотвращать утечку критически важных данных.

  • Блокирование некорректных попыток получения привилегий пользователя - обнаруживает попытки получить привилегии пользователя посредством некорректных или несанкционированных аутентификаций, которые могут указывать на попытки перебора или взлома учетных записей. Анализируя ответы серверов с сообщениями типа "Login failed", "Invalid login" и другие индикаторы неудачных входов, фиксирует подозрительные активности в протоколах FTP, SSH, RPC, SQL и других службах. Это позволяет оперативно блокировать подобные соединения, снижая риск компрометации учетных данных и предотвращая дальнейшие атаки.

  • Блокирование подозрительных RPС-запросов - обнаруживает подозрительные RPC-запросы, предназначенные для вызова удаленных функций на сервере. Они могут свидетельствовать о попытках эксплуатации уязвимостей или несанкционированного выполнения команд. Анализируя как UDP, так и TCP-трафик, фиксирует аномальные структуры пакетов, неверные параметры и нестандартные последовательности байтов, характерные для вредоносных активностей. Это позволяет оперативно блокировать подозрительные запросы, предотвращая потенциальное выполнение нежелательного кода и компрометацию систем.

  • Блокирование попыток запуска исполняемого кода - обнаруживает попытки запуска исполняемого кода, направленные на удаленное выполнение команд и получение несанкционированного доступа к системам. Анализирует сетевой трафик на предмет характерных сигнатур RCE, включая специфичные байтовые последовательности, связанные с PHP object deserialization, веб-шеллами, Log4Shell и другими эксплойтами. Фиксирует аномалии в HTTP, TCP и UDP-запросах, что позволяет оперативно блокировать вредоносные попытки выполнения shellcode и предотвращать компрометацию целевых систем.

  • Блокирование утечек информации - обнаруживает попытки несанкционированного извлечения конфиденциальных данных через сетевые протоколы. Анализируя входящий и исходящий трафик, фиксирует передачу содержимого критически важных файлов, а также различной системной информации. Выявление таких индикаторов утечки позволяет оперативно блокировать подозрительные соединения, предотвращая утечку секретных данных и снижая риск компрометации систем.

  • Запросы на скомпрометированные ресурсы - обнаруживает нарушения корпоративных политик, связанные с обращениями к ресурсам, имеющим подозрительную репутацию. Правила фиксируют случаи, когда сетевой трафик указывает на несанкционированное использование различных протоколов, автоматизацию браузера или передачу данных в виде незащищенного контента. Такие сигнатуры служат индикаторами потенциального нарушения корпоративной безопасности, позволяя своевременно выявлять и блокировать подобные подключения.

  • Использование DNS-трафика для управления вредоносным ПО - обнаруживает попытки использовать DNS-трафик для управления вредоносным ПО, когда зараженные системы обращаются к серверам команд и контроля (C2) для получения инструкций. Анализируя DNS-запросы, TLS SNI и HTTP-заголовки, фиксирует обращения к известным вредоносным доменам и серверам, выявляя характерные паттерны связи с C2-инфраструктурой. Это позволяет оперативно блокировать такие соединения, предотвращая удаленное управление, утечку данных и дальнейшее распространение вредоносного кода.

  • Нежелательное программное обеспечение - обнаруживает попытки использовать нежелательное программное обеспечение, включая adware и потенциально нежелательные утилиты, которые могут собирать и передавать конфиденциальные данные или связываться с вредоносными серверами. Анализируя HTTP, DNS и TLS-трафик, фиксирует характерные сигнатуры, специфичные запросы и уникальные идентификаторы, связанные с подобной активностью. Это позволяет блокировать подозрительные соединения, предотвращать утечки информации и снижать риск компрометации конечных устройств.

  • Неизвестный тип трафика - обнаруживает неопознанный трафик, который не соответствует стандартным протоколам или содержит аномальные, подозрительные шаблоны поведения. Анализирует HTTP-запросы, TLS-соединения и DNS-сообщения на предмет нестандартных User-Agent, специфических JA3-хэшей, необычных кодировок, пустых или искаженных заголовков и прочих аномалий. Такие признаки могут указывать на попытки сканирования, обхода защитных механизмов или эксплуатацию уязвимостей. Выявление подобного трафика позволяет оперативно блокировать несанкционированное взаимодействие и снижать риск кибератак.

  • Нецелевое использование стандартных портов - обнаруживает случаи нецелевого использования стандартных портов, когда сервисы, предназначенные для определенных протоколов, применяются для нелегитимных целей. Анализируя сетевой трафик, фиксирует аномальные подключения, при которых стандартный порт используется для обхода политик безопасности, скрытой передачи данных или запуска вредоносных операций. Это позволяет своевременно блокировать подозрительные соединения и предотвращать попытки эксплуатации инфраструктуры в обход установленных правил.

  • Обнаружение нарушений стандартов сетевых протоколов - обнаруживает обращения по нестандартным или модифицированным протоколам, отклоняющимся от официальных спецификаций. Анализируя сетевой трафик, фиксирует аномальные баннеры, команды и последовательности данных, которые могут свидетельствовать о попытках обхода стандартных механизмов защиты или эксплуатации уязвимостей. Выявление таких нарушений позволяет оперативно блокировать трафик, не соответствующий протокольным стандартам, и предотвращать несанкционированный доступ и передачу вредоносного кода.

  • Обнаружение подозрительной сетевой активности - обнаруживает аномалии в сетевом трафике, связанные с нестандартными или подозрительными действиями легитимных пользователей. Анализируя различные протоколы, включая HTTP, TCP, UDP, TLS и DNS, фиксирует отклонения от нормального поведения, такие как частые попытки подключения, необычные запросы или аномальные данные, которые могут свидетельствовать о сканировании сети, автоматизированных атаках или обходе защитных механизмов. Это позволяет своевременно выявлять и блокировать потенциально вредоносный трафик.

  • Обнаружение подозрительных команд - обнаруживает команды, нехарактерные для стандартного поведения систем, которые злоумышленники могут использовать для обхода защитных мер. Анализируя сетевой трафик, фиксирует аномальные запросы и нестандартные вызовы, например, обращения к зарезервированным ресурсам (COM1, LPT1, LPT4, NULL), что свидетельствует о попытках эксплуатации и несанкционированного доступа. Блокировка таких команд помогает предотвратить возможные атаки и сохранить целостность информационных систем.

  • Обнаружение успешных краж учетных данных - обнаруживает попытки несанкционированного извлечения учетных данных, направленные на получение логинов, паролей и другой конфиденциальной информации. Анализируя содержимое HTTP-запросов, POST-данные и серверные ответы, фиксирует характерные шаблоны фишинговых атак. Также учитываются сообщения об ошибках аутентификации, указывающие на успешное компрометирование учетных записей, что позволяет оперативно блокировать атаки и предотвращать утечку данных.

  • Определение внешнего IP-адреса - обнаруживает попытки определения внешнего IP-адреса, когда внутренние системы обращаются к внешним сервисам для получения информации о своей публичной адресации. Анализирует HTTP-запросы, DNS-запросы и TLS SNI, указывающие на обращения к подобным ресурсам. Это позволяет блокировать несанкционированное взаимодействие с внешней инфраструктурой и предотвращать сбор данных для дальнейшей разведки или подготовки атак.

  • Ошибки в сетевых протоколах - обнаруживает нарушения стандартов сетевых протоколов, фиксируя ошибки в форматировании сообщений, некорректные заголовки и структурные аномалии пакетов. Анализируя входящий и исходящий трафик, система выявляет сбои в реализации протокольных команд, которые могут быть следствием как технических недочетов, так и преднамеренных манипуляций злоумышленников. Это позволяет своевременно блокировать подозрительные соединения, предотвращая атаки, обход защитных механизмов и снижая риск компрометации информационных систем.

  • Подозрительное обращение к файлам - обнаруживает обращения к файлам, которые не соответствуют обычным операциям системы и могут указывать на несанкционированный доступ или попытки извлечения/модификации критически важных данных. Анализируя сетевой трафик, фиксирует запросы на загрузку, копирование или просмотр файлов с нестандартными расширениями или путями, например, системных конфигураций, резервных копий или скрытых ресурсов. Это позволяет блокировать подозрительную активность, предотвращая утечку данных и возможную компрометацию системы.

  • Попытки авторизации с логином и паролем по-умолчанию - обнаруживает попытки авторизации с использованием учетных данных по умолчанию, когда злоумышленники применяют стандартные логины и простые пароли для входа в систему. Анализируя трафик, система выявляет запросы, содержащие типичные параметры доступа к различным системам. Такие действия указывают на попытки несанкционированного доступа, что позволяет оперативно блокировать подобные соединения и предотвращать компрометацию сетевой инфраструктуры.

  • Попытки использования социальной инженерии - обнаруживает попытки социальной инженерии, направленные на обман пользователей и получение конфиденциальной информации, такой как учетные данные/доступ к корпоративным ресурсам. Включает выявление фишинговых сайтов, мошеннических схем с техподдержкой, вредоносных редиректов и подозрительных доменов в DNS-запросах. Эти атаки часто имитируют известные сервисы или компании, побуждая жертву выполнить вредоносные действия, что может привести к утечке данных или компрометации системы.

  • Попытки получения привилегий администратора - обнаруживает попытки повысить привилегии до уровня администратора и получить учетные данные с использованием различных техник. Включает детектирование эксплойтов, направленных на уязвимости в операционных системах и приложениях, SQL-инъекций, обхода аутентификации, эксплуатации слабых конфигураций сервисов, а также атак на учетные записи через протоколы Telnet, RDP, SMB и другие. Такие действия могут указывать на компрометацию системы или активность злоумышленников, пытающихся расширить контроль над сетью.

  • Попытки получения привилегий пользователя - обнаруживает попытки повысить привилегии и компрометировать учетные данные пользователей, в том числе - использовать уязвимости в серверных приложениях, базах данных и сетевых сервисах. Включает правила для выявления SQL-инъекций, эксплуатации переполнения буфера, обхода аутентификации и атак на учетные записи пользователей. Используется для защиты от угроз, направленных на несанкционированный доступ и эскалацию привилегий в корпоративных и облачных средах.

  • Попытки получения системных файлов - обнаруживает попытки получить конфигурационные и системные файлы, включая файлы паролей, журналы, резервные копии и другие критически важные данные. Включает правила для выявления сканирования уязвимостей, запроса конфигураций через веб-интерфейсы, злоупотребления FTP, SMB, SSH и др. Используется для предотвращения утечек данных и сбора информации, которые могут привести к дальнейшей компрометации инфраструктуры.

  • Попытки проведения DoS-атак - обнаруживает попытки проведения атак типа отказа в обслуживании (DoS), включая флуд, амплификационные атаки и иные методы перегрузки сетевых ресурсов. Анализирует трафик на наличие аномальных запросов и последовательностей, характерных для DDoS-атак в протоколах VoIP, HTTP, NTP, SSDP и других. Фиксирует массовые запросы, некорректные ответы и превышение пороговых значений, что позволяет оперативно блокировать подобные соединения и предотвращать отказ в обслуживании легитимных пользователей.

  • Попытки сканирования сети - обнаруживает попытки сканирования сети, свидетельствующие о разведке для последующих атак. Анализируя TCP, UDP, ICMP и HTTP-трафик, фиксирует массовые SYN-запросы, сканирование портов, аномальные User-Agent и повторяющиеся обращения к различным сервисам. Такие действия характерны для инструментов вроде Nmap и Zmap, которые злоумышленники используют для поиска уязвимостей. Выявление подобных активностей позволяет оперативно блокировать сканирование и предотвращать потенциальное проникновение в сеть.

  • Потенциально опасный трафик - обнаруживает трафик с подозрительной шифровкой или запутанными, обфусцированными данными и нестандартными запросами, не характерными для легитимной сетевой активности. Анализируя HTTP, DNS, TLS и IP-заголовки, фиксирует аномальные User-Agent, обращения к подозрительным доменам и C2-серверам, а также другие индикаторы, свидетельствующие о попытках скрыть вредоносную коммуникацию. Это позволяет оперативно блокировать такие соединения, снижая риск проникновения и распространения атак.

  • Пулы криптомайнеров - обнаруживает попытки взаимодействия с криптомайнинговой инфраструктурой через анализ DNS-запросов, TLS-сессий и TCP-трафика, фиксируя характерные доменные имена и сигнатуры, связанные с известными пулами. Выявляет обращения, используемые криптомайнерами для передачи нагрузки, и блокирует такие соединения, предотвращая несанкционированное использование сетевых ресурсов для майнинга и минимизируя риск утечки вычислительной мощности.

  • Расширенная база правил (от Лаборатории Касперского) - обнаруживает трафик, который генерируют вредоносные инструменты, используемые злоумышленниками для разведки, атак и несанкционированного доступа. Анализируя HTTP, FTP, SIP, UDP и TCP-запросы, фиксирует аномалии, характерные для SQL-инъекций, эксплойтов, C&C-коммуникаций и других угроз. Правила от Лаборатории Касперского используют сигнатуры и поведенческий анализ для своевременного обнаружения и блокировки подозрительной активности, что помогает предотвратить утечку данных и повысить защиту сети от современных кибератак.

  • Телеметрия Windows - обнаруживает попытки передать телеметрические данные Windows на серверы Microsoft и связанные сервисы. Анализирует сетевой трафик, включая TLS-сессии с SNI-запросами и DNS-запросы, выявляя характерные строки. Блокирует такие обращения, предотвращая автоматическую отправку телеметрии, что способствует защите конфиденциальности пользователей и снижению объема передаваемой информации.

  • Управление вредоносным ПО - обнаруживает сетевой трафик инструментов, которые злоумышленники используют для разведки, атак и несанкционированного доступа, включая эксплойты, SQL-инъекции, обход аутентификации и C&C-коммуникации. Использует сигнатуры и поведенческий анализ для выявления характерных HTTP-, FTP-, SIP- и других запросов. Такие инструменты тесно связаны с вредоносным ПО и кибератаками, что позволяет оперативно блокировать их активность.

  • Целевое использование вредоносного ПО - обнаруживает целевой трафик, связанный с вредоносным программным обеспечением, которое злоумышленники используют для компрометации систем, кражи данных и установления контроля над устройствами. Анализируя HTTP, DNS, TLS и другие протоколы, фиксирует обращения, характерные для APT-активностей и C&C-коммуникаций, а также сигнатуры известных вредоносных семейств. Блокировка таких запросов позволяет предотвратить целевые атаки и снизить риск утечки конфиденциальной информации.

  • Черный список IP-адресов - обнаруживает трафик, направленный к IP-адресам, внесенным в черный список различных баз (НКЦКИ, открытые источники и тд). Система анализирует входящий и исходящий трафик, сравнивая адреса с известными источниками угроз и вредоносных операций. При обнаружении совпадений соединения блокируются, что предотвращает доступ к ресурсам, участвующим в фишинге, ботнет-активности, спаме и других киберугрозах, тем самым повышая общий уровень сетевой безопасности.

  • Эксплойты - обнаруживает попытки эксплуатации системных уязвимостей с использованием эксплойт-китов, зачастую идентифицируемых по стандартным идентификаторам CVE-XXXX-XXXXX. Анализируя трафик в различных протоколах (HTTP, TLS, DNS и других), система фиксирует характерные сигнатуры и аномальные запросы, указывающие на запуск вредоносного кода или несанкционированный доступ. Блокировка таких соединений позволяет оперативно предотвратить компрометацию инфраструктуры и утечку конфиденциальной информации.

История изменений групп сигнатур

31.01.2024

  • Улучшена блокировка Hola VPN и Browsec VPN.

14.12.2023

  • Оптимизированы правила блокировки анонимайзеров.

11.12.2023

  • Удалена категория Попытки выполнить системный вызов из IPS.

07.12.2023

  • Добавлены новые правила для Телеметрии Windows;

  • VPN-Browsec не блокируется (добавлены новые правила для блокировки VPN-Browsec);

  • Удалена категория Защита SMTP;

  • Телеметрия Windows блокирует Skype (убраны 2 правила телеметрии, которые блокировали функции Skype).

23.11.2023

  • Ошибка в формировании правил пула криптомайнеров (исправлена ошибка правил, блокирующая легитимные ресурсы по типу www.fr).

31.10.2023

  • Удалено правило "ET EXPLOIT Cisco IOS XE Web Server Possible Authentication Bypass Attempt (CVE-2023-20198) (Outbound)" из-за некорректности обработки.

30.10.2023

  • Удаление из обработки ET категории web-app-attack (Атаки на веб-приложения).

12.10.2023

  • Удалена категория PT Open.

02.10.2023

  • Убраны устаревшие и неработающие правила.

20.09.2023

  • Оптимизация расширенных правил.

21.07.2023

  • Отключено правило, блокирующее вход в AD.

21.06.2023

  • Исправление входа в Active Directory.

05.06.2023

  • Улучшение блокировки криптомайнеров.

30.05.2023

  • Улучшение блокировки DoH-запросов.

17.05.2023

  • Добавлена блокировка эксплойта MSMQ-серверов (CVE-2023-21554).

06.04.2023

  • Обновление черного списка;

  • Обновление источников детектирования DoH.

09.03.2023

  • Улучшение блокировки пулов криптомайнеров.

06.03.2023

  • Оптимизация срабатывания правил.

02.03.2023

  • Исправление работы FreeDNS;

  • Улучшение блокировки TOR и анонимайзеров.

01.03.2023

  • Исправление работы DropBox.

21.02.2023

  • Обновление источников черного списка IP-адресов;

  • Исправление работы Windows Store.

13.02.2023

  • Добавлен список SSL-сертификатов вредоносного ПО.

06.02.2023

  • Исправление доступа к Skype for Business.

26.01.2023

  • Исправление доступа к Autodesk Fusion 360.

29.12.2022

  • Обновлен черный список IP-адресов.

26.12.2022

  • Обновлен список адресов криптомайнеров.

13.12.2022

  • Блокировка источников ВПО уязвимости нулевого дня в продуктах Microsoft Exchange Server.

29.11.2022

  • Исправления доступа к ipinfo.io.

26.10.2022

  • Удалена отдельная категория правил Список НКЦКИ. Источник данных атакующих НКЦКИ остается в составе баз, являясь частью "Черного списка IP-адресов".

21.10.2022

  • Удалена группа Активные ботнеты. Актуальные угрозы блокируются с помощью "Черных списков IP-адресов".

пользовательские