Stefano Zanero ha scritto: > > In sintesi, il rischio che vedi c'e', ma il fatto e' voluto. C'e' da > dire che la gran maggioranza degli IPS si frega anche con cose tipo path > espressi in modo non canonico, encoding, o semplicemente con exploit non > uguali a quelli di metasploit... :-D > Certo Stefano, il rischio c'è sicuramente e questo mi si è palesato immediatamente. La vera sfida a mio avviso, trascendendo dalle componenti meramente tecniche, è rappresentata da quale può essere un criterio per l'accettazione del rischio legato al tuning di queste impostazioni in maniera asettica (ovvero trascendendo per ora dall'importanza dell'assett e dall'impatto sul business e, soprattutto, dallo scenario).
Es. pratico se cambio la variabile da 200K a 25K, di quanto mi aumenta la probabilità di non identificare l'attacco? O, ancora meglio, su quali signatures vado ad impattare? So che stiamo parlando di cose difficilissime da quantificare e qualificare, specialmente se calcoli l'evoluzione degli attacchi nel tempo (Es. una minaccia che ha la sua vulnerabilità statisticamente identificata in 25k, stanotte potrebbe evolversi), però d'altra parte, in ambienti mission critical, non posso permettermi di non prendere in considerazioni questi concetti. Fare un IDS/IPS Tuning, come ben sai, è fondamentale per ottenere un adeguato livello di identificazione degli attacchi, ma, soprattutto (e qui ho un enorme impatto aziendale), per effettuare un congruo processo di capacity management dal quale non si può più trascendere. Sono dell'idea, senza offesa per nessuno, che un vendor "serio" dovrebbe mettere il cliente a conoscenza di delle variabili statistiche di cui sopra, in modo da permettere all'azienda di quantificare un rischio residuo e accettarlo o rigestirlo. Es: Signature "A" 90% di essere identificata a 200K, 80% a 25K. (se ci pensi, se un vendor mette queste variabili di "fabbrica", mi aspetto che un calcolo del genere l'abbia già fatto e non abbia semplicemente "sparato a caso"). Della serie, è ora che iniziamo a pretendere serietà dal mercato piuttosto che comprare apparati e montarli nei rack! :-) (sono sicuro che sarai stra-d'accordo con me). a presto, Federico
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
