Правила

• Блокирование утечек информации - обнаруживает/блокирует попытки получить данные и информацию;

• Атаки на получение прав пользователя - обнаруживает/блокирует попытки получить учетные данные пользователя;

• Попытки получения привилегий администратора - обнаруживает/блокирует попытки повысить привилегии до администратора и полученить учетные данные администратора;

• Попытки проведения DoS-атак - обнаруживает/блокирует попытки провести атаки типа "отказ в обслуживании" (denial-of-service attack);

• Попытки получения системных файлов - обнаруживает/блокирует системные конфигурации;

• Попытки получения привилегий пользователя - обнаруживает/блокирует попытки повысить привилегии и получить учетные данные пользователей;

• Потенциально опасный трафик - обнаруживает/блокирует зашифрованный или запутанный трафик, нестандартные запросы;

• Пулы криптомайнеров - обнаруживает/блокирует взаимодействие с сетями криптомайнеров и обращения для передачи нагрузки, которые криптомайнеры используют для майнинга;

• Блокирование крупных утечек информации - обнаруживает/блокирует попытки получить данные и информацию;

• Управление вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2), которую злоумышленники используют для управления зараженными устройствами и кражи конфиденциальных данных;

• Обнаружение успешных краж учетных данных - обнаруживает/блокирует кражи учетных данных;

• Попытки авторизации с логином и паролем по-умолчанию - обнаруживает/блокирует попытки зайти под учетными данными с простыми паролями (аналогично Bruteforce);

• Использование DNS-трафика для управления вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2);

• Эксплойты - обнаруживает/блокирует использование уязвимостей систем (с идентификатором CVE-XXXX-XXXXX);

• Определение внешнего IP-адреса - обнаруживает/блокирует попытки взаимодействия с инфраструктурой из внешних сетей;

• Расширенная база правил (от Лаборатории Касперского) - набор правил по обнаружению/блокировке от Лаборатории Касперского;

• Анонимайзеры - обнаруживает/блокирует анонимайзеры;

• DNS поверх HTTPS - обнаруживает/блокирует попытки сокрытия DNS-запросов по седьмому уровню TLS/SSL;

• GeoIP Страны Восточной Европы - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases;

• Черный список IP-адресов - обнаруживает/блокирует трафик к IP-адресам из баз safe-surf.ru и cinsarmy.com;

• SSL-сертификаты, используемые вредоносным ПО и ботнетами - обнаруживает/блокирует связь с командными центрами злоумышленников (С2);

• Телеметрия Windows - обнаруживает/блокирует Телеметрию Windows;

• Обнаружение подозрительной сетевой активности - обнаруживает/блокирует аномалии или нестандартные действия легитимных пользователей в сети;

• Блокирование атак - обнаруживает/блокирует подозрительные IP-адреса (IP Reputation);

• Попытки сканирования сети - обнаруживает/блокирует сканирование сети;

• Обнаружение нарушений стандартов сетевых протоколов - обнаруживает/блокирует обращения по нестандартным/прошитым протоколам;

• Трафик устаревшего уязвимого ПО - обнаруживает/блокирует связи с командными центрами злоумышленников (С2);

• Запросы на скомпрометированные ресурсы - обнаруживает/блокирует связи с командными центрами злоумышленников (С2);

• Ошибки в сетевых протоколах - обнаруживает/блокирует ошибки сетевых протоколов;

• Нежелательное программное обеспечение - обнаруживает/блокирует вредоносное ПО;

• Блокирование подозрительных RPС-запросов - обнаруживает/блокирует удаленный вызов процедур (обычно используется для вызова удаленных функций на сервере, требующих результата действия);

• Блокирование попыток запуска исполняемого кода - обнаруживает/блокирует Remote Code Execution (RCE);

• Попытки использования социальной инженерии - обнаруживает/блокирует "атаку на человека";

• Обнаружение подозрительных команд - обнаруживает/блокирует нестандартные команды, не характерные системам;

• Атаки на получение привилегий администратора - обнаруживает/блокирует попытки получить привилегии администратора;

• Подозрительное обращение к файлам - обнаруживает/блокирует нестандартное обращение к файлам системы;

• Авторизация с подозрительным логином;

• Целевое использование вредоносного ПО - обнаруживает/блокирует вредоносное программное обеспечение;

• Блокирование активности троянских программ - обнаруживает/блокирует вредоносные трояны;

• Неизвестный тип трафика - обнаруживает/блокирует неопознанный/вредоносный трафик;

• Блокирование некорректных попыток получения привилегий пользователя - обнаруживает/блокирует попытки получить привилегии пользователя;

• Нецелевое использование стандартных портов - обнаруживает/блокирует использование стандартных портов в нелегитимных целях.

14.12.2023

• Оптимизированы правила блокировки анонимайзеров.

31.01.2024

• Улучшена блокировка Hola VPN и Browsec VPN.

11.12.2023

• Удалена категория "Попытки выполнить системный вызов" из IPS.

07.12.2023

• Добавлены новые правила для Windows Telemetry;

• Не блокируется VPN-Browsec (добавлены новые правила для блокировки VPN-Browsec);

• Удалена категория Защита SMTP;

• Телеметрия Windows блокирует Skype (убраны 2 правила телеметрии, которые блокировали функции Skype).

23.11.2023

• Ошибка в формировании правил пула криптомайнеров (исправлена ошибка правил, блокирующая легитимные ресурсы по типу www.fr).

31.10.2023

• Удалено правило "ET EXPLOIT Cisco IOS XE Web Server Possible Authentication Bypass Attempt (CVE-2023-20198) (Outbound)" из-за некоректности обработки.

30.10.2023

• Удаление из обработки ET категории web-app-attack (Атаки на веб-приложения).

12.10.2023

• Удалена категория PT Open.

02.10.2023

• Убраны устаревшие и/или неработающие правила.

20.09.2023

• Оптимизация расширенных правил.

21.07.2023

• Отключено правило, блокирующее вход в AD.

21.06.2023

• Исправление входа в Active Directory.

05.06.2023

• Улучшение блокировки криптомайнеров.

30.05.2023

• Улучшение блокировки DoH-запросов.

17.05.2023

• Добавлена блокировка эксплоита MSMQ-серверов (CVE-2023-21554).

06.04.2023

• Обновление черного списка;

• Обновление источников детектирования DoH.

09.03.2023

• Улучшение блокировки пулов криптомайнеров.

06.03.2023

• Оптимизация срабатывания правил.

02.03.2023

• Исправление работы FreeDNS;

• Улучшение блокировки TOR и анонимайзеров.

01.03.2023

• Исправление работы DropBox.

21.02.2023

• Обновление источников черного списка IP-адресов;

• Исправление работы Windows Store.

13.02.2023

• Добавлен список SSL-сертификатов вредоносного ПО.

06.02.2023

• Исправление доступа к Skype for Business.

26.01.2023

• Исправление доступа к Autodesk Fusion 360.

29.12.2022

• Обновлен черный список IP-адресов.

26.12.2022

• Обновлен список адресов криптомайнеров.

13.12.2022

• Блокировка источников ВПО уязвимости нулевого дня в продуктах Microsoft Exchange Server.

29.11.2022

• Исправления доступа к ipinfo.io.

26.10.2022

• Удалена отдельная категория правил Список НКЦКИ. Источник данных атакующих НКЦКИ остается в составе баз, являясь частью "Черного списка IP-адресов"

21.10.2022

• Удалена группа Активные ботнеты. Актуальные угрозы блокируются с помощью "Черных списков IP-адресов".