漏洞/CVE威胁已经发布；什么时候发布漏洞签名[IPS]？为什么有些 CVE威胁 没有漏洞签名？默认操作是什么？

问题

• Palo Alto Networks 为新发布的 CVE提供覆盖的时间大约是多久？
• CVE 有哪些资格才能成为 IPS（入侵防御系统） 签名的良好候选？ 
• 新创建的 IPS（入侵防御系统） 签名的默认操作是什么？

环境

• 所有PAN-OS 
• 所有 PAN 产品 

回答

问题 1：

Palo Alto Networks 为新发布的 CVE提供覆盖的时间大约是多久？

回答：
美国国土安全部 (DHS) 网络安全部门和基础设施安全局 (CISA) 追踪保存记录并为常见漏洞和暴露 (CVE) 提供名称（和 ID）。 

一旦CVE 威胁发布后，Palo Alto Networks 工程师便开始着手创建漏洞签名以保护 CVE威胁。

创建漏洞签名有两个主要条件：

• 有效的概念证明 (POC)应该公开供 Palo Alto 工程师创建保护或漏洞签名。工程师和安全研究人员使用 PoC 重新创建漏洞以创建保护；没有 PoC 意味着没有签名。尽管未创建签名，但这并不意味着它没有创建，因为您的网络已暴露。如果没有可用的 PoC，也意味着恶意行为者不知道如何利用它，也无法利用漏洞。 
• 第二个条件是CVE 应该是基于网络的，而不是完全基于主机的。防火墙只能看到网络流量，如果恶意流量没有通过它，就无法检测或阻止。

问题二： 
如果没有找到PoC，下一步怎么办？
回答：一旦 CVE 发布，我们就会将其放入 Palo Alto Networks 的内部漏洞监控系统。这个自动系统监控所有可用的公共/私人资源，例如 Telus、MAPP、GitHub、google bug、exploit-DB、内部发现的 bug 等等。一旦系统自动找到可用的 PoC，会生成通知告诉工程团队，工程师团队会在可能的情况下开始创建签名。
 

问题三： 
如果发现PoC，需要多长时间创建IPS签名？
回答： 创建一个单一的质量漏洞 IPS 签名会经历许多阶段，包括研究、创建、浸泡测试、质量保证以及发布前和发布后的调整。它经过调整以涵盖可能利用的所有途径，同时避免产生误报。 
有时由于其他因素，如通用漏洞评分系统（CVSS）得分和不被用于攻击的可能性，Palo Alto Networks 内容开发团队可能会决定不使用现有有效的基于网络的 PoC 创建 IPS 签名。

问题四： 
新建IPS签名的默认动作是什么？
回答：  我们将最开始几天的默认操作设置为“警报（alert）”以进行观察。可以根据严重程度等级进行更改的操作。 
如果您想要阻止符合IPS签名的严重等级重：最重要（critical）的和重要（high）的流量，可以根据严重等级程度创建一个 IPS 规则来覆盖默认操作。有关详细信息，请查看此处。