漏洞/CVE威胁已经发布；什么时候发布漏洞签名[IPS]？为什么有些 CVE威胁没有漏洞签名？默认操作是什么？

xzuo — Wed, 18 Jan 2023 08:38:19 GMT

问题

Palo Alto Networks 为新发布的 CVE提供覆盖的时间大约是多久？
CVE 有哪些资格才能成为 IPS（入侵防御系统）签名的良好候选？
新创建的 IPS（入侵防御系统）签名的默认操作是什么？

环境

所有PAN-OS
所有 PAN 产品

回答

问题 1：

Palo Alto Networks 为新发布的 CVE提供覆盖的时间大约是多久？

回答：
美国国土安全部 (DHS) 网络安全部门和基础设施安全局 (CISA) 追踪保存记录并为常见漏洞和暴露 (CVE) 提供名称（和 ID）。

一旦CVE 威胁发布后，Palo Alto Networks 工程师便开始着手创建漏洞签名以保护 CVE威胁。

创建漏洞签名有两个主要条件：

有效的概念证明 (POC)应该公开供 Palo Alto 工程师创建保护或漏洞签名。工程师和安全研究人员使用 PoC 重新创建漏洞以创建保护；没有 PoC 意味着没有签名。尽管未创建签名，但这并不意味着它没有创建，因为您的网络已暴露。如果没有可用的 PoC，也意味着恶意行为者不知道如何利用它，也无法利用漏洞。
第二个条件是CVE 应该是基于网络的，而不是完全基于主机的。防火墙只能看到网络流量，如果恶意流量没有通过它，就无法检测或阻止。

问题二：
如果没有找到PoC，下一步怎么办？
回答：一旦 CVE 发布，我们就会将其放入 Palo Alto Networks 的内部漏洞监控系统。这个自动系统监控所有可用的公共/私人资源，例如 Telus、MAPP、GitHub、google bug、exploit-DB、内部发现的 bug 等等。一旦系统自动找到可用的 PoC，会生成通知告诉工程团队，工程师团队会在可能的情况下开始创建签名。

问题三：
如果发现PoC，需要多长时间创建IPS签名？
回答： 创建一个单一的质量漏洞 IPS 签名会经历许多阶段，包括研究、创建、浸泡测试、质量保证以及发布前和发布后的调整。它经过调整以涵盖可能利用的所有途径，同时避免产生误报。
有时由于其他因素，如通用漏洞评分系统（CVSS）得分和不被用于攻击的可能性，Palo Alto Networks 内容开发团队可能会决定不使用现有有效的基于网络的 PoC 创建 IPS 签名。

问题四：
新建IPS签名的默认动作是什么？
回答： 我们将最开始几天的默认操作设置为“警报（alert）”以进行观察。可以根据严重程度等级进行更改的操作。
如果您想要阻止符合IPS签名的严重等级重：最重要（critical）的和重要（high）的流量，可以根据严重等级程度创建一个 IPS 规则来覆盖默认操作。有关详细信息，请查看此处。

article 漏洞/CVE威胁已经发布；什么时候发布漏洞签名[IPS]？为什么有些 CVE威胁 没有漏洞签名？默认操作是什么？ in 配置和实施

漏洞/CVE威胁已经发布；什么时候发布漏洞签名[IPS]？为什么有些 CVE威胁 没有漏洞签名？默认操作是什么？

问题

环境

回答

article 漏洞/CVE威胁已经发布；什么时候发布漏洞签名[IPS]？为什么有些 CVE威胁没有漏洞签名？默认操作是什么？ in 配置和实施

漏洞/CVE威胁已经发布；什么时候发布漏洞签名[IPS]？为什么有些 CVE威胁没有漏洞签名？默认操作是什么？