2009/10/26 Rissone Ruggero: [...] > Mi hai fatto tornare in mente una presentazione vista parecchio tempo fa > (almeno 4-5 anni or > sono) dove si parlava di tool che fungevano da IDS trainer, e che > permettevano di ricavare, > previa acquisizione di un numero sufficientemente esaustivo di traffico, > delle regole di IDS da > applicare che rispecchiavano la "normal behaviour". > Questo approccio puo' (forse) andar bene sulle regole di un personal firewall > ma non ho > esperienze dirette relativamente all'implementazione ed all'efficacia su > IDS/IPS per > Enterprise. > C'e' qualche documentazione specifica al riguardo ?
Forse persone con un background accademico sull'argomento (il mio background è giusto buono come sfondo di Windows...) come Stefano Zanero possono rispondere meglio a questa domanda, comunque... si parla da un sacco di tempo di "training" degli IDS/IPS, ma non sono a conoscienza di tecnologie che funzionano sul serio. Cercano da tempo di propagandarmi l'ultima moda che sarebbe la versione commerciale di Snort, SourceFire, che ha una tecnologia "RNA", mi sembra di capire che comunque consista nell'abilitare soltanto le signature pertinenti alla tecnologia che stai utilizzando (per es. se hai un payload di attacco contro Windows XP SP1, ma è indirizzato contro Mac, Linux o Windows XP SP2, l'attacco viene deprioritizzato). https://sourcefire.icentera.com/exLink.asp?6340680OH26B38I30841560 Anche Radware ha integrato una tecnologia "adaptive" nel suo DefensePro. Comunque, basta gugolare per "UTM" o "Unified Threat Management" visto che è il buzzword del momento... Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" Sent from Düsseldorf, North Rhine-Westphalia, Germany ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
