Перейти к содержанию
Сергей Ильин

Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012)

Recommended Posts

Сергей Ильин

Рад сообщить о публикации результатов нашего нового теста IPS/IDS на защиту от атак на уязвимые приложения, который мы долго планировали и долго делали. Но в итоге получилось, мне кажется, очено неплохо, но это уже решать Вам, нашим читателям.

http://www.anti-malware.ru/test_personal_IDS_IPS_2012

Чтобы все сразу было понятно поясню некоторые ключевые моменты:

1. Методология опубликована здесь http://www.anti-malware.ru/node/9129

Для тех у кого еще останутся вопросы:

2. Результаты по DoS-атакам при раздаче медалей не учитывались (для первого раза ;))

3. Успешность атаки проверялась по запуску за атакуемой машине shell-кода.

4. Отбирались только такие эксплойты, которые позволяют атаковать пассивный хост (вышедший в сеть и непредпренимающий никаких активных действий).

5. Если машину пропатчить, ее результат без какой-либо защиты будет 100%.

Результаты теста IDS/IPS от атак типа Remote Code Execution на стандартных настройках

standart.png

Результаты теста IDS/IPS от атак типа Remote Code Execution на максимальных настройках

maxim.png

Список лучших выглядит таким образом

ips_test_results.PNG

Выводы мы написали в комментариях, но их все же гораздо больше может быть.

post-4-1338553669_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Спасибо за тест!

Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

ДефенсВол почему не тестировался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

Тестировщики уточнят этот момент, на вскидку не берусь сказать.

ДефенсВол почему не тестировался?

Решили не брать, так как по методологии не проходит - нет у него сетевого IDS или IPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков

Что-то маловато комментариев от партнёров. И где комментарий от одного из самых активных на данном ресурсе, но неудачно выступивших в этом тесте - Agnitum?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Жаль, эксплойтов для атак типа Remote Code Execution взято маловато. Самое существенное для частных пользователей в тесте.

Поэтому допустимую погрешность по местам прикидываю +-2.

Еще раз спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Жаль, эксплойтов для атак типа Remote Code Execution взято маловато.

Vsevolod, если знаете о существовании какие-то еще эксплойтов, то напишите. Их не так много вообще оказалось. Часть из них под другие ОС, что исключило их использовании в этот раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что-то маловато комментариев от партнёров. И где комментарий от одного из самых активных на данном ресурсе, но неудачно выступивших в этом тесте - Agnitum?

Воздержались, не рады результатам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Чтобы все сразу было понятно поясню некоторые ключевые моменты:

Проверяли сигнатурный детект на эксплоиты?

Настройки Детектора атак дальше ползунка с уровнем тревоги не смотрели? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Проверяли сигнатурный детект на эксплоиты?

Можно и так сказать.

Настройки Детектора атак дальше ползунка с уровнем тревоги не смотрели?

Скрины все выложены с настройками, ссылка доступна из методологии

http://www.anti-malware.ru/files/ScreensFinalMK.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Можно и так сказать.

И какое отношение это имеет к данному тесту?

Скрины все выложены с настройками, ссылка доступна из методологии

Уже видел. Настройки кроме ползунка не меняли и первоначально программу ставили в простом режиме (низкий уровень тревоги).

----

Страница не найдена (ошибка 404):

_______2012_06_01_18_52_24.png

post-4500-1338562408_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
И какое отношение это имеет к данному тесту?

Прямое. Эксплойты должны обнаруживаться компонентом IDS/IPS, он в общем-то для этого и существует. Все по аналогии с корпоративными сетевыми IPS.

первоначально программу ставили в простом режиме (низкий уровень тревоги).

Я правильно понимаю, что разработчики Outpost считают, что в простом режиме обнаруживать действия эксплойтов излишне и выключают это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Я правильно понимаю, что разработчики Outpost считают, что в простом режиме обнаруживать действия эксплойтов излишне и выключают это?

На скрине указано, что отключено при выборе низкого уровня тревоги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Виталий Я., зато у меня для тебя есть хорошая новость

вот кусочек кода из Флейма, когда он пытается лезть по сетке через MS10-061:

var oProcs = s.ExecQuery("SELECT * FROM Win32_Process WHERE name='outpost.exe' or name='aupdrun.exe' or name='op_mon.exe' or name='avp.exe'");

ну и соответственно, если видит такое, то пугается и решает, что лучше туда не лезть :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Тестировщики уточнят этот момент, на вскидку не берусь сказать.

Решили не брать, так как по методологии не проходит - нет у него сетевого IDS или IPS.

Ну здесь у многих нет IDS/IPS. Показывать пальцем не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну здесь у многих нет IDS/IPS. Показывать пальцем не буду.

Тут ровно тоже самое, как в случе с полноценным HIPS. Мало у кого есть по факту, но все говорят о его наличии лопоухим клиентам при первой же возможности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Судя по описанию, перед тестом обновили защитные программы, включая антивирусы, если я правильно понял. И облака включены, судя по скринам.

Для полного понимания важно знать, какой промежуток времени между анонсированием уязвимостей и выходом исправлений и обновлением защитных комплексов и тестами.

Очень интересно, как бы все это выглядело, если бы не были обновлены защитные программы, а также еще вариант, если бы был закрыт доступ к облакам, то есть четкий случай зеро-дэй. Закрытие доступа к облакам у некоторых отнюдь не очевидно решаемая задача.

Собственно, речь о скорости работы антималварных компаний.

Или все-таки раз всего 3 компьютера, то полная изоляция от интернета. Как там обновляли базы антималварные?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

Да, по наличию реакции. Продукт должен был сказать, что засек сканирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Жаль, эксплойтов для атак типа Remote Code Execution взято маловато. Самое существенное для частных пользователей в тесте.

Поэтому допустимую погрешность по местам прикидываю +-2.

Еще раз спасибо!

Эксплойты очень чувствительны к особенностям ОС, вплоть до языка.

На SP2 отобрали 21 эксплойта. Были пожелания делать на SP3, поэтому количество уменьшилось.

Уже видел. Настройки кроме ползунка не меняли и первоначально программу ставили в простом режиме (низкий уровень тревоги).

Немного не понял. Вы про конкретный продукт.

Как тестировали описано в методологии. На настройках по умолчанию и когда все настройки выставлены в максимум. Там не только "ползунки", для многих продуктов ставились и дополнительные "галочки".

Судя по описанию, перед тестом обновили защитные программы, включая антивирусы, если я правильно понял. И облака включены, судя по скринам.

Для полного понимания важно знать, какой промежуток времени между анонсированием уязвимостей и выходом исправлений и обновлением защитных комплексов и тестами.

Очень интересно, как бы все это выглядело, если бы не были обновлены защитные программы, а также еще вариант, если бы был закрыт доступ к облакам, то есть четкий случай зеро-дэй. Закрытие доступа к облакам у некоторых отнюдь не очевидно решаемая задача.

Собственно, речь о скорости работы антималварных компаний.

Или все-таки раз всего 3 компьютера, то полная изоляция от интернета. Как там обновляли базы антималварные?

В методологии описана последовательность тестирования.

Ставились все программы, обновлялись. Потом по очереди откатывали каждый образ и делали тестирование.

При тестировании на атакуемой машине был доступ в Интернет, чтоб работало "облако".

Про тест без облака - можно в разных ситуациях тестировать. Администрация предпочла такой вариант. Причина - трудоемкость тестирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Kartavenko M.V. благодарю за пояснения.

Так все же через кое время после анонсирования уязвимостей проводился каждый из тестов?

* через какое

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Условия этих временных интервалов для всех тестируемых защитных программ должны быть одинаковые, вот было ли так на самом деле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Kartavenko M.V. благодарю за пояснения.

Так все же через кое время после анонсирования уязвимостей проводился каждый из тестов?

* через какое

Не понял вопрос, поясните, пожалуйста.

Условия этих временных интервалов для всех тестируемых защитных программ должны быть одинаковые, вот было ли так на самом деле?

В методологии все прописано. В начале делались образы для всех продуктов. При установки каждого образа делались обновления. Потом обновления отключались и проводилось тестирование. Условия равные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Не понял вопрос, поясните, пожалуйста.

В методологии все прописано. В начале делались образы для всех продуктов. При установки каждого образа делались обновления. Потом обновления отключались и проводилось тестирование. Условия равные.

Если сначала (1,5 месяца назад) протестировать реального по жизни лидера по защите, а 3 дня назад худшего, то с учетом облаков худший себя покажет лучше, а лучший хуже. Насколько - не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Если сначала (1,5 месяца назад) протестировать реального по жизни лидера по защите, а 3 дня назад худшего, то с учетом облаков худший себя покажет лучше, а лучший хуже. Насколько - не знаю.

Понял. Нет, тестирование проводилось в течении 10-12 дней. Физически невозможно провести тест 21 продукта за 1 час, как Вы понимаете. Поэтому небольшой лаг есть, но мы старались его минимизировать.

Тут также следует обратить внимание, что все уязвимости известны уже давно и вряд ли кто-то срочно кинулся бы их закрывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Тут также следует обратить внимание, что все уязвимости известны уже давно и вряд ли кто-то срочно кинулся бы их закрывать.

Для понимания. Давно - это сколько? Минимум, в среднем и максимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×