Перейти к содержанию
Сергей Ильин

Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012)

Recommended Posts

Сергей Ильин

Рад сообщить о публикации результатов нашего нового теста IPS/IDS на защиту от атак на уязвимые приложения, который мы долго планировали и долго делали. Но в итоге получилось, мне кажется, очено неплохо, но это уже решать Вам, нашим читателям.

http://www.anti-malware.ru/test_personal_IDS_IPS_2012

Чтобы все сразу было понятно поясню некоторые ключевые моменты:

1. Методология опубликована здесь http://www.anti-malware.ru/node/9129

Для тех у кого еще останутся вопросы:

2. Результаты по DoS-атакам при раздаче медалей не учитывались (для первого раза ;))

3. Успешность атаки проверялась по запуску за атакуемой машине shell-кода.

4. Отбирались только такие эксплойты, которые позволяют атаковать пассивный хост (вышедший в сеть и непредпренимающий никаких активных действий).

5. Если машину пропатчить, ее результат без какой-либо защиты будет 100%.

Результаты теста IDS/IPS от атак типа Remote Code Execution на стандартных настройках

standart.png

Результаты теста IDS/IPS от атак типа Remote Code Execution на максимальных настройках

maxim.png

Список лучших выглядит таким образом

ips_test_results.PNG

Выводы мы написали в комментариях, но их все же гораздо больше может быть.

post-4-1338553669_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Спасибо за тест!

Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

ДефенсВол почему не тестировался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

Тестировщики уточнят этот момент, на вскидку не берусь сказать.

ДефенсВол почему не тестировался?

Решили не брать, так как по методологии не проходит - нет у него сетевого IDS или IPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков

Что-то маловато комментариев от партнёров. И где комментарий от одного из самых активных на данном ресурсе, но неудачно выступивших в этом тесте - Agnitum?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Жаль, эксплойтов для атак типа Remote Code Execution взято маловато. Самое существенное для частных пользователей в тесте.

Поэтому допустимую погрешность по местам прикидываю +-2.

Еще раз спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Жаль, эксплойтов для атак типа Remote Code Execution взято маловато.

Vsevolod, если знаете о существовании какие-то еще эксплойтов, то напишите. Их не так много вообще оказалось. Часть из них под другие ОС, что исключило их использовании в этот раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что-то маловато комментариев от партнёров. И где комментарий от одного из самых активных на данном ресурсе, но неудачно выступивших в этом тесте - Agnitum?

Воздержались, не рады результатам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Чтобы все сразу было понятно поясню некоторые ключевые моменты:

Проверяли сигнатурный детект на эксплоиты?

Настройки Детектора атак дальше ползунка с уровнем тревоги не смотрели? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Проверяли сигнатурный детект на эксплоиты?

Можно и так сказать.

Настройки Детектора атак дальше ползунка с уровнем тревоги не смотрели?

Скрины все выложены с настройками, ссылка доступна из методологии

http://www.anti-malware.ru/files/ScreensFinalMK.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Можно и так сказать.

И какое отношение это имеет к данному тесту?

Скрины все выложены с настройками, ссылка доступна из методологии

Уже видел. Настройки кроме ползунка не меняли и первоначально программу ставили в простом режиме (низкий уровень тревоги).

----

Страница не найдена (ошибка 404):

_______2012_06_01_18_52_24.png

post-4500-1338562408_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
И какое отношение это имеет к данному тесту?

Прямое. Эксплойты должны обнаруживаться компонентом IDS/IPS, он в общем-то для этого и существует. Все по аналогии с корпоративными сетевыми IPS.

первоначально программу ставили в простом режиме (низкий уровень тревоги).

Я правильно понимаю, что разработчики Outpost считают, что в простом режиме обнаруживать действия эксплойтов излишне и выключают это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Я правильно понимаю, что разработчики Outpost считают, что в простом режиме обнаруживать действия эксплойтов излишне и выключают это?

На скрине указано, что отключено при выборе низкого уровня тревоги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Виталий Я., зато у меня для тебя есть хорошая новость

вот кусочек кода из Флейма, когда он пытается лезть по сетке через MS10-061:

var oProcs = s.ExecQuery("SELECT * FROM Win32_Process WHERE name='outpost.exe' or name='aupdrun.exe' or name='op_mon.exe' or name='avp.exe'");

ну и соответственно, если видит такое, то пугается и решает, что лучше туда не лезть :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Тестировщики уточнят этот момент, на вскидку не берусь сказать.

Решили не брать, так как по методологии не проходит - нет у него сетевого IDS или IPS.

Ну здесь у многих нет IDS/IPS. Показывать пальцем не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну здесь у многих нет IDS/IPS. Показывать пальцем не буду.

Тут ровно тоже самое, как в случе с полноценным HIPS. Мало у кого есть по факту, но все говорят о его наличии лопоухим клиентам при первой же возможности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Судя по описанию, перед тестом обновили защитные программы, включая антивирусы, если я правильно понял. И облака включены, судя по скринам.

Для полного понимания важно знать, какой промежуток времени между анонсированием уязвимостей и выходом исправлений и обновлением защитных комплексов и тестами.

Очень интересно, как бы все это выглядело, если бы не были обновлены защитные программы, а также еще вариант, если бы был закрыт доступ к облакам, то есть четкий случай зеро-дэй. Закрытие доступа к облакам у некоторых отнюдь не очевидно решаемая задача.

Собственно, речь о скорости работы антималварных компаний.

Или все-таки раз всего 3 компьютера, то полная изоляция от интернета. Как там обновляли базы антималварные?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

Да, по наличию реакции. Продукт должен был сказать, что засек сканирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Жаль, эксплойтов для атак типа Remote Code Execution взято маловато. Самое существенное для частных пользователей в тесте.

Поэтому допустимую погрешность по местам прикидываю +-2.

Еще раз спасибо!

Эксплойты очень чувствительны к особенностям ОС, вплоть до языка.

На SP2 отобрали 21 эксплойта. Были пожелания делать на SP3, поэтому количество уменьшилось.

Уже видел. Настройки кроме ползунка не меняли и первоначально программу ставили в простом режиме (низкий уровень тревоги).

Немного не понял. Вы про конкретный продукт.

Как тестировали описано в методологии. На настройках по умолчанию и когда все настройки выставлены в максимум. Там не только "ползунки", для многих продуктов ставились и дополнительные "галочки".

Судя по описанию, перед тестом обновили защитные программы, включая антивирусы, если я правильно понял. И облака включены, судя по скринам.

Для полного понимания важно знать, какой промежуток времени между анонсированием уязвимостей и выходом исправлений и обновлением защитных комплексов и тестами.

Очень интересно, как бы все это выглядело, если бы не были обновлены защитные программы, а также еще вариант, если бы был закрыт доступ к облакам, то есть четкий случай зеро-дэй. Закрытие доступа к облакам у некоторых отнюдь не очевидно решаемая задача.

Собственно, речь о скорости работы антималварных компаний.

Или все-таки раз всего 3 компьютера, то полная изоляция от интернета. Как там обновляли базы антималварные?

В методологии описана последовательность тестирования.

Ставились все программы, обновлялись. Потом по очереди откатывали каждый образ и делали тестирование.

При тестировании на атакуемой машине был доступ в Интернет, чтоб работало "облако".

Про тест без облака - можно в разных ситуациях тестировать. Администрация предпочла такой вариант. Причина - трудоемкость тестирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Kartavenko M.V. благодарю за пояснения.

Так все же через кое время после анонсирования уязвимостей проводился каждый из тестов?

* через какое

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Условия этих временных интервалов для всех тестируемых защитных программ должны быть одинаковые, вот было ли так на самом деле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Kartavenko M.V. благодарю за пояснения.

Так все же через кое время после анонсирования уязвимостей проводился каждый из тестов?

* через какое

Не понял вопрос, поясните, пожалуйста.

Условия этих временных интервалов для всех тестируемых защитных программ должны быть одинаковые, вот было ли так на самом деле?

В методологии все прописано. В начале делались образы для всех продуктов. При установки каждого образа делались обновления. Потом обновления отключались и проводилось тестирование. Условия равные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Не понял вопрос, поясните, пожалуйста.

В методологии все прописано. В начале делались образы для всех продуктов. При установки каждого образа делались обновления. Потом обновления отключались и проводилось тестирование. Условия равные.

Если сначала (1,5 месяца назад) протестировать реального по жизни лидера по защите, а 3 дня назад худшего, то с учетом облаков худший себя покажет лучше, а лучший хуже. Насколько - не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Если сначала (1,5 месяца назад) протестировать реального по жизни лидера по защите, а 3 дня назад худшего, то с учетом облаков худший себя покажет лучше, а лучший хуже. Насколько - не знаю.

Понял. Нет, тестирование проводилось в течении 10-12 дней. Физически невозможно провести тест 21 продукта за 1 час, как Вы понимаете. Поэтому небольшой лаг есть, но мы старались его минимизировать.

Тут также следует обратить внимание, что все уязвимости известны уже давно и вряд ли кто-то срочно кинулся бы их закрывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Тут также следует обратить внимание, что все уязвимости известны уже давно и вряд ли кто-то срочно кинулся бы их закрывать.

Для понимания. Давно - это сколько? Минимум, в среднем и максимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
    • demkd
      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
×