漏洞/CVE威胁已经发布;什么时候发布漏洞签名[IPS]?为什么有些 CVE威胁 没有漏洞签名?默认操作是什么?

cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
L2 Linker
Did you find this article helpful? Yes No
No ratings

问题

  • Palo Alto Networks 为新发布的 CVE提供覆盖的时间大约是多久?
  • CVE 有哪些资格才能成为 IPS(入侵防御系统) 签名的良好候选? 
  • 新创建的 IPS(入侵防御系统) 签名的默认操作是什么?

 

环境

  • 所有PAN-OS 
  • 所有 PAN 产品 

 

回答

问题 1:

Palo Alto Networks 为新发布的 CVE提供覆盖的时间大约是多久?

回答:
美国国土安全部 (DHS) 网络安全部门和基础设施安全局 (CISA) 追踪保存记录并为常见漏洞和暴露 (CVE) 提供名称(和 ID)。 

 

一旦CVE 威胁发布后,Palo Alto Networks 工程师便开始着手创建漏洞签名以保护 CVE威胁。

创建漏洞签名有两个主要条件:

  • 有效的概念证明 (POC)应该公开供 Palo Alto 工程师创建保护或漏洞签名。工程师和安全研究人员使用 PoC 重新创建漏洞以创建保护;没有 PoC 意味着没有签名。尽管未创建签名,但这并不意味着它没有创建,因为您的网络已暴露。如果没有可用的 PoC,也意味着恶意行为者不知道如何利用它,也无法利用漏洞。 
  • 第二个条件是CVE 应该是基于网络的,而不是完全基于主机的。防火墙只能看到网络流量,如果恶意流量没有通过它,就无法检测或阻止。

 

问题二: 
如果没有找到PoC,下一步怎么办?
回答:一旦 CVE 发布,我们就会将其放入 Palo Alto Networks 的内部漏洞监控系统。这个自动系统监控所有可用的公共/私人资源,例如 Telus、MAPP、GitHub、google bug、exploit-DB、内部发现的 bug 等等。一旦系统自动找到可用的 PoC,会生成通知告诉工程团队,工程师团队会在可能的情况下开始创建签名。
 

问题三: 
如果发现PoC,需要多长时间创建IPS签名?
回答: 创建一个单一的质量漏洞 IPS 签名会经历许多阶段,包括研究、创建、浸泡测试、质量保证以及发布前和发布后的调整。它经过调整以涵盖可能利用的所有途径,同时避免产生误报。 
有时由于其他因素,如通用漏洞评分系统(CVSS)得分和不被用于攻击的可能性,Palo Alto Networks 内容开发团队可能会决定不使用现有有效的基于网络的 PoC 创建 IPS 签名。

问题四: 
新建IPS签名的默认动作是什么?
回答:  我们将最开始几天的默认操作设置为“警报(alert)”以进行观察。可以根据严重程度等级进行更改的操作。 
如果您想要阻止符合IPS签名的严重等级重:最重要(critical)的和重要(high)的流量,可以根据严重等级程度创建一个 IPS 规则来覆盖默认操作。有关详细信息,请查看此处

 

Rate this article:
Register or Sign-in
Contributors
Labels
Article Dashboard
Version history
Last update:
‎01-18-2023 12:38 AM
Updated by: