Перейти к содержанию
Сергей Ильин

Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012)

Recommended Posts

Сергей Ильин

Рад сообщить о публикации результатов нашего нового теста IPS/IDS на защиту от атак на уязвимые приложения, который мы долго планировали и долго делали. Но в итоге получилось, мне кажется, очено неплохо, но это уже решать Вам, нашим читателям.

http://www.anti-malware.ru/test_personal_IDS_IPS_2012

Чтобы все сразу было понятно поясню некоторые ключевые моменты:

1. Методология опубликована здесь http://www.anti-malware.ru/node/9129

Для тех у кого еще останутся вопросы:

2. Результаты по DoS-атакам при раздаче медалей не учитывались (для первого раза ;))

3. Успешность атаки проверялась по запуску за атакуемой машине shell-кода.

4. Отбирались только такие эксплойты, которые позволяют атаковать пассивный хост (вышедший в сеть и непредпренимающий никаких активных действий).

5. Если машину пропатчить, ее результат без какой-либо защиты будет 100%.

Результаты теста IDS/IPS от атак типа Remote Code Execution на стандартных настройках

standart.png

Результаты теста IDS/IPS от атак типа Remote Code Execution на максимальных настройках

maxim.png

Список лучших выглядит таким образом

ips_test_results.PNG

Выводы мы написали в комментариях, но их все же гораздо больше может быть.

post-4-1338553669_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Спасибо за тест!

Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

ДефенсВол почему не тестировался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

Тестировщики уточнят этот момент, на вскидку не берусь сказать.

ДефенсВол почему не тестировался?

Решили не брать, так как по методологии не проходит - нет у него сетевого IDS или IPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков

Что-то маловато комментариев от партнёров. И где комментарий от одного из самых активных на данном ресурсе, но неудачно выступивших в этом тесте - Agnitum?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Жаль, эксплойтов для атак типа Remote Code Execution взято маловато. Самое существенное для частных пользователей в тесте.

Поэтому допустимую погрешность по местам прикидываю +-2.

Еще раз спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Жаль, эксплойтов для атак типа Remote Code Execution взято маловато.

Vsevolod, если знаете о существовании какие-то еще эксплойтов, то напишите. Их не так много вообще оказалось. Часть из них под другие ОС, что исключило их использовании в этот раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что-то маловато комментариев от партнёров. И где комментарий от одного из самых активных на данном ресурсе, но неудачно выступивших в этом тесте - Agnitum?

Воздержались, не рады результатам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Чтобы все сразу было понятно поясню некоторые ключевые моменты:

Проверяли сигнатурный детект на эксплоиты?

Настройки Детектора атак дальше ползунка с уровнем тревоги не смотрели? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Проверяли сигнатурный детект на эксплоиты?

Можно и так сказать.

Настройки Детектора атак дальше ползунка с уровнем тревоги не смотрели?

Скрины все выложены с настройками, ссылка доступна из методологии

http://www.anti-malware.ru/files/ScreensFinalMK.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Можно и так сказать.

И какое отношение это имеет к данному тесту?

Скрины все выложены с настройками, ссылка доступна из методологии

Уже видел. Настройки кроме ползунка не меняли и первоначально программу ставили в простом режиме (низкий уровень тревоги).

----

Страница не найдена (ошибка 404):

_______2012_06_01_18_52_24.png

post-4500-1338562408_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
И какое отношение это имеет к данному тесту?

Прямое. Эксплойты должны обнаруживаться компонентом IDS/IPS, он в общем-то для этого и существует. Все по аналогии с корпоративными сетевыми IPS.

первоначально программу ставили в простом режиме (низкий уровень тревоги).

Я правильно понимаю, что разработчики Outpost считают, что в простом режиме обнаруживать действия эксплойтов излишне и выключают это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Я правильно понимаю, что разработчики Outpost считают, что в простом режиме обнаруживать действия эксплойтов излишне и выключают это?

На скрине указано, что отключено при выборе низкого уровня тревоги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Виталий Я., зато у меня для тебя есть хорошая новость

вот кусочек кода из Флейма, когда он пытается лезть по сетке через MS10-061:

var oProcs = s.ExecQuery("SELECT * FROM Win32_Process WHERE name='outpost.exe' or name='aupdrun.exe' or name='op_mon.exe' or name='avp.exe'");

ну и соответственно, если видит такое, то пугается и решает, что лучше туда не лезть :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Тестировщики уточнят этот момент, на вскидку не берусь сказать.

Решили не брать, так как по методологии не проходит - нет у него сетевого IDS или IPS.

Ну здесь у многих нет IDS/IPS. Показывать пальцем не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну здесь у многих нет IDS/IPS. Показывать пальцем не буду.

Тут ровно тоже самое, как в случе с полноценным HIPS. Мало у кого есть по факту, но все говорят о его наличии лопоухим клиентам при первой же возможности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Судя по описанию, перед тестом обновили защитные программы, включая антивирусы, если я правильно понял. И облака включены, судя по скринам.

Для полного понимания важно знать, какой промежуток времени между анонсированием уязвимостей и выходом исправлений и обновлением защитных комплексов и тестами.

Очень интересно, как бы все это выглядело, если бы не были обновлены защитные программы, а также еще вариант, если бы был закрыт доступ к облакам, то есть четкий случай зеро-дэй. Закрытие доступа к облакам у некоторых отнюдь не очевидно решаемая задача.

Собственно, речь о скорости работы антималварных компаний.

Или все-таки раз всего 3 компьютера, то полная изоляция от интернета. Как там обновляли базы антималварные?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

Да, по наличию реакции. Продукт должен был сказать, что засек сканирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Жаль, эксплойтов для атак типа Remote Code Execution взято маловато. Самое существенное для частных пользователей в тесте.

Поэтому допустимую погрешность по местам прикидываю +-2.

Еще раз спасибо!

Эксплойты очень чувствительны к особенностям ОС, вплоть до языка.

На SP2 отобрали 21 эксплойта. Были пожелания делать на SP3, поэтому количество уменьшилось.

Уже видел. Настройки кроме ползунка не меняли и первоначально программу ставили в простом режиме (низкий уровень тревоги).

Немного не понял. Вы про конкретный продукт.

Как тестировали описано в методологии. На настройках по умолчанию и когда все настройки выставлены в максимум. Там не только "ползунки", для многих продуктов ставились и дополнительные "галочки".

Судя по описанию, перед тестом обновили защитные программы, включая антивирусы, если я правильно понял. И облака включены, судя по скринам.

Для полного понимания важно знать, какой промежуток времени между анонсированием уязвимостей и выходом исправлений и обновлением защитных комплексов и тестами.

Очень интересно, как бы все это выглядело, если бы не были обновлены защитные программы, а также еще вариант, если бы был закрыт доступ к облакам, то есть четкий случай зеро-дэй. Закрытие доступа к облакам у некоторых отнюдь не очевидно решаемая задача.

Собственно, речь о скорости работы антималварных компаний.

Или все-таки раз всего 3 компьютера, то полная изоляция от интернета. Как там обновляли базы антималварные?

В методологии описана последовательность тестирования.

Ставились все программы, обновлялись. Потом по очереди откатывали каждый образ и делали тестирование.

При тестировании на атакуемой машине был доступ в Интернет, чтоб работало "облако".

Про тест без облака - можно в разных ситуациях тестировать. Администрация предпочла такой вариант. Причина - трудоемкость тестирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Kartavenko M.V. благодарю за пояснения.

Так все же через кое время после анонсирования уязвимостей проводился каждый из тестов?

* через какое

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Условия этих временных интервалов для всех тестируемых защитных программ должны быть одинаковые, вот было ли так на самом деле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Kartavenko M.V. благодарю за пояснения.

Так все же через кое время после анонсирования уязвимостей проводился каждый из тестов?

* через какое

Не понял вопрос, поясните, пожалуйста.

Условия этих временных интервалов для всех тестируемых защитных программ должны быть одинаковые, вот было ли так на самом деле?

В методологии все прописано. В начале делались образы для всех продуктов. При установки каждого образа делались обновления. Потом обновления отключались и проводилось тестирование. Условия равные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Не понял вопрос, поясните, пожалуйста.

В методологии все прописано. В начале делались образы для всех продуктов. При установки каждого образа делались обновления. Потом обновления отключались и проводилось тестирование. Условия равные.

Если сначала (1,5 месяца назад) протестировать реального по жизни лидера по защите, а 3 дня назад худшего, то с учетом облаков худший себя покажет лучше, а лучший хуже. Насколько - не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Если сначала (1,5 месяца назад) протестировать реального по жизни лидера по защите, а 3 дня назад худшего, то с учетом облаков худший себя покажет лучше, а лучший хуже. Насколько - не знаю.

Понял. Нет, тестирование проводилось в течении 10-12 дней. Физически невозможно провести тест 21 продукта за 1 час, как Вы понимаете. Поэтому небольшой лаг есть, но мы старались его минимизировать.

Тут также следует обратить внимание, что все уязвимости известны уже давно и вряд ли кто-то срочно кинулся бы их закрывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Тут также следует обратить внимание, что все уязвимости известны уже давно и вряд ли кто-то срочно кинулся бы их закрывать.

Для понимания. Давно - это сколько? Минимум, в среднем и максимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×