Статистика появи правил IDS/IPS Suricata для нових загроз

Обов'язковий атрибут захисту для великої компанії IDS/IPS (система виявлення і запобігання вторгнень). На ринку велика кількість комерційних і open-source рішень, і кожне з них має свої переваги і недоліки. Але загальне у всіх рішеннях — необхідність своєчасного оновлення правил виявлення загроз. Більшість IDS/IPS дозволяють використовувати правила, розроблені для Snort. Одним з найвідоміших постачальників правил є компанія Emerging Threats, що стала частиною Proofpoint.
Ми вирішили зібрати статистику по випуску правил для наборів pro (комерційна версія) і open (open-source версія) Emerging Threats для Suricata, так як їх синтаксис аналогічний Snort, але при цьому трохи розширений, що дає більше можливостей.

Зі сторінки rules.emergingthreats.net/changelogs були зібрані журнали оновлень правил suricata і suricata-1.3 починаючи з 2015 року. Перше, що нас цікавило, — яку кількість правил випускалося для виявлення експлуатації вразливостей. У цю категорію потрапили правила з прив'язкою до CVE, правила класів
attack response
та
exploit
.

Для прив'язки CVE до правил ми распарсили актуальний файл
sid-msg.map
, а також журнал його змін. Файл містить маппінг sid-правил на їх метаінформацію і має рядки такого виду:

2021138 || ET WEB_SERVER ElasticSearch Directory Traversal Attempt (CVE-2015-3337) || cve,2015-3337
2021139 || ET TROJAN H1N1 Loader CnC Beacon M1 || url,kernelmode.info/forum/viewtopic.php?f=16&t=3851

CVE-ідентифікатор може міститися як окремо, так і в полі msg. Звідси був отриманий маппінг CVE на правила.
Оскільки одній атаці можуть відповідати кілька схожих правил, необхідно було робити вибірку по унікальності правил. Правила, що незначно відрізняються один від одного полем msg (мають схожість більше 0,99 за алгоритмом Джаро—Вінклера), у вибірку додані не були. В результаті були обрані правила, містять маппінг з CVE або містять у полі msg один з таких маркерів: attack response, exploit.



Статистика по набору ET open за 2015 рік



Співвідношення правил з набору ET open за 2015 рік



Статистика по набору ET pro за 2015 рік



Співвідношення правил з набору ET pro за 2015 рік

Як видно, в 2015 році кількість правил, випущених для виявлення експлуатації вразливостей, не перевищила 10%. Найбільшу площу на діаграмі займають правила для виявлення мережевої активності шкідливих програм.

Наступним кроком був збір статистики покриття правилами вразливостей, опублікованих у 2015 році. Були відібрані уразливості, що мають віддалений вектор експлуатації (AV:N) і CVSSv2-рейтинг більше 7,8. З них ми відібрали ті, для виявлення експлуатації яких були випущені правила.

На діаграмі видно, що правилами покривається лише мала частина вразливостей. Перша причина полягає в тому, що частина CVE випускається для випадків, які неможливо (шифрований трафік) або безглуздо покривати правилами (з виявленням і попередженням експлуатації вразливостей в веб-додатках краще впоратися WAF, для правил ж доведеться використовувати громіздкі регулярні вирази, що призведе до уповільнення системи). Друга причина в тому, що не завжди відомі подробиці експлуатації уразливості, і у експертів немає зразків, на основі яких можна розробити правила.



Статистика покриття правилами вразливостей 2015 року

Отже, існує гостра нестача правил для актуальних вразливостей. Одна з причин — небажання вендорів, а також експертів, знаходять уразливості і створюють правила для IDS/IPS, ділитися технічними деталями виявлених вразливостей. Для розробки правил потрібні зразки трафіку з експлуатацією уразливості; при їх наявності покриття нових вразливостей правилами збільшиться в рази, і положення справ не буде таким плачевним.

Автор: Олексій Ледньов, Positive Technologies

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.