PostgreSQL — третья по распространенности СУБД в российских государственных учреждениях и крупных компаниях; в 2019 году ее использовали в 51% таких организаций. По данным Positive Technologies, получение данных было главным мотивом действий злоумышленников во втором квартале 2020 года. Чаще всего крадут учетные и персональные данные, информацию, относящуюся к коммерческой тайне, и базы данных клиентов — на долю таких сведений пришлось 80% хищений. Подобные данные обычно содержатся в системах управления базами данных, поэтому СУБД часто становятся целью атак злоумышленников.
Для пользователей MaxPatrol SIEM, в чьих инфраструктурах есть СУБД PostgreSQL, команда R&D Positive Technologies выпустила пакет экспертизы с правилами для выявления атак, проводимых с помощью запросов к СУБД. Правила помогают обнаружить такие подозрительные действия, как:
Каждое из перечисленных действий требует расследования.
Это третий пакет экспертизы в MaxPatrol SIEM, созданный для детектирования подозрительной активности в популярных в России СУБД. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на Oracle Database и Microsoft SQL Server.