Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012)

[Сергей Ильин 1538]

Рад сообщить о публикации результатов нашего нового теста IPS/IDS на защиту от атак на уязвимые приложения, который мы долго планировали и долго делали. Но в итоге получилось, мне кажется, очено неплохо, но это уже решать Вам, нашим читателям.

http://www.anti-malware.ru/test_personal_IDS_IPS_2012

Чтобы все сразу было понятно поясню некоторые ключевые моменты:

1. Методология опубликована здесь http://www.anti-malware.ru/node/9129

Для тех у кого еще останутся вопросы:

2. Результаты по DoS-атакам при раздаче медалей не учитывались (для первого раза )

3. Успешность атаки проверялась по запуску за атакуемой машине shell-кода.

4. Отбирались только такие эксплойты, которые позволяют атаковать пассивный хост (вышедший в сеть и непредпренимающий никаких активных действий).

5. Если машину пропатчить, ее результат без какой-либо защиты будет 100%.

Результаты теста IDS/IPS от атак типа Remote Code Execution на стандартных настройках

Результаты теста IDS/IPS от атак типа Remote Code Execution на максимальных настройках

Список лучших выглядит таким образом

Выводы мы написали в комментариях, но их все же гораздо больше может быть.

[Vsevolod 25]

Спасибо за тест!

Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

ДефенсВол почему не тестировался?

[Сергей Ильин 1538]

Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

Тестировщики уточнят этот момент, на вскидку не берусь сказать.

ДефенсВол почему не тестировался?

Решили не брать, так как по методологии не проходит - нет у него сетевого IDS или IPS.

[Вадим Волков 176]

Что-то маловато комментариев от партнёров. И где комментарий от одного из самых активных на данном ресурсе, но неудачно выступивших в этом тесте - Agnitum?

[Vsevolod 25]

Жаль, эксплойтов для атак типа Remote Code Execution взято маловато. Самое существенное для частных пользователей в тесте.

Поэтому допустимую погрешность по местам прикидываю +-2.

Еще раз спасибо!

[Сергей Ильин 1538]

Жаль, эксплойтов для атак типа Remote Code Execution взято маловато.

Vsevolod, если знаете о существовании какие-то еще эксплойтов, то напишите. Их не так много вообще оказалось. Часть из них под другие ОС, что исключило их использовании в этот раз.

[Сергей Ильин 1538]

Что-то маловато комментариев от партнёров. И где комментарий от одного из самых активных на данном ресурсе, но неудачно выступивших в этом тесте - Agnitum?

Воздержались, не рады результатам.

[Dmitriy K 603]

Чтобы все сразу было понятно поясню некоторые ключевые моменты:

Проверяли сигнатурный детект на эксплоиты?

Настройки Детектора атак дальше ползунка с уровнем тревоги не смотрели?

[Сергей Ильин 1538]

Проверяли сигнатурный детект на эксплоиты?

Можно и так сказать.

Настройки Детектора атак дальше ползунка с уровнем тревоги не смотрели?

Скрины все выложены с настройками, ссылка доступна из методологии

http://www.anti-malware.ru/files/ScreensFinalMK.zip

[Dmitriy K 603]

Можно и так сказать.

И какое отношение это имеет к данному тесту?

Скрины все выложены с настройками, ссылка доступна из методологии

Уже видел. Настройки кроме ползунка не меняли и первоначально программу ставили в простом режиме (низкий уровень тревоги).

----

Страница не найдена (ошибка 404):

[Сергей Ильин 1538]

И какое отношение это имеет к данному тесту?

Прямое. Эксплойты должны обнаруживаться компонентом IDS/IPS, он в общем-то для этого и существует. Все по аналогии с корпоративными сетевыми IPS.

первоначально программу ставили в простом режиме (низкий уровень тревоги).

Я правильно понимаю, что разработчики Outpost считают, что в простом режиме обнаруживать действия эксплойтов излишне и выключают это?

[Dmitriy K 603]

Я правильно понимаю, что разработчики Outpost считают, что в простом режиме обнаруживать действия эксплойтов излишне и выключают это?

На скрине указано, что отключено при выборе низкого уровня тревоги.

[A. 876]

Виталий Я., зато у меня для тебя есть хорошая новость

вот кусочек кода из Флейма, когда он пытается лезть по сетке через MS10-061:

var oProcs = s.ExecQuery("SELECT * FROM Win32_Process WHERE name='outpost.exe' or name='aupdrun.exe' or name='op_mon.exe' or name='avp.exe'");

ну и соответственно, если видит такое, то пугается и решает, что лучше туда не лезть

[SDA 750]

Тестировщики уточнят этот момент, на вскидку не берусь сказать.

Решили не брать, так как по методологии не проходит - нет у него сетевого IDS или IPS.

Ну здесь у многих нет IDS/IPS. Показывать пальцем не буду.

[Сергей Ильин 1538]

Ну здесь у многих нет IDS/IPS. Показывать пальцем не буду.

Тут ровно тоже самое, как в случе с полноценным HIPS. Мало у кого есть по факту, но все говорят о его наличии лопоухим клиентам при первой же возможности.

[Vsevolod 25]

Судя по описанию, перед тестом обновили защитные программы, включая антивирусы, если я правильно понял. И облака включены, судя по скринам.

Для полного понимания важно знать, какой промежуток времени между анонсированием уязвимостей и выходом исправлений и обновлением защитных комплексов и тестами.

Очень интересно, как бы все это выглядело, если бы не были обновлены защитные программы, а также еще вариант, если бы был закрыт доступ к облакам, то есть четкий случай зеро-дэй. Закрытие доступа к облакам у некоторых отнюдь не очевидно решаемая задача.

Собственно, речь о скорости работы антималварных компаний.

Или все-таки раз всего 3 компьютера, то полная изоляция от интернета. Как там обновляли базы антималварные?

[Kartavenko M.V. 34]

Успешность сканирования портов выяснялась по наличию реакции на сканируемом компьютере?

Да, по наличию реакции. Продукт должен был сказать, что засек сканирование.

[Vsevolod 25]

Да, по наличию реакции. Продукт должен был сказать, что засек сканирование.

http://forum.drweb.com/index.php?showtopic=306229

[Kartavenko M.V. 34]

Жаль, эксплойтов для атак типа Remote Code Execution взято маловато. Самое существенное для частных пользователей в тесте.

Поэтому допустимую погрешность по местам прикидываю +-2.

Еще раз спасибо!

Эксплойты очень чувствительны к особенностям ОС, вплоть до языка.

На SP2 отобрали 21 эксплойта. Были пожелания делать на SP3, поэтому количество уменьшилось.

Уже видел. Настройки кроме ползунка не меняли и первоначально программу ставили в простом режиме (низкий уровень тревоги).

Немного не понял. Вы про конкретный продукт.

Как тестировали описано в методологии. На настройках по умолчанию и когда все настройки выставлены в максимум. Там не только "ползунки", для многих продуктов ставились и дополнительные "галочки".

Судя по описанию, перед тестом обновили защитные программы, включая антивирусы, если я правильно понял. И облака включены, судя по скринам.

Для полного понимания важно знать, какой промежуток времени между анонсированием уязвимостей и выходом исправлений и обновлением защитных комплексов и тестами.

Очень интересно, как бы все это выглядело, если бы не были обновлены защитные программы, а также еще вариант, если бы был закрыт доступ к облакам, то есть четкий случай зеро-дэй. Закрытие доступа к облакам у некоторых отнюдь не очевидно решаемая задача.

Собственно, речь о скорости работы антималварных компаний.

Или все-таки раз всего 3 компьютера, то полная изоляция от интернета. Как там обновляли базы антималварные?

В методологии описана последовательность тестирования.

Ставились все программы, обновлялись. Потом по очереди откатывали каждый образ и делали тестирование.

При тестировании на атакуемой машине был доступ в Интернет, чтоб работало "облако".

Про тест без облака - можно в разных ситуациях тестировать. Администрация предпочла такой вариант. Причина - трудоемкость тестирования.

[Vsevolod 25]

Kartavenko M.V. благодарю за пояснения.

Так все же через кое время после анонсирования уязвимостей проводился каждый из тестов?

* через какое

[Vsevolod 25]

Условия этих временных интервалов для всех тестируемых защитных программ должны быть одинаковые, вот было ли так на самом деле?

[Kartavenko M.V. 34]

Kartavenko M.V. благодарю за пояснения.

Так все же через кое время после анонсирования уязвимостей проводился каждый из тестов?

* через какое

Не понял вопрос, поясните, пожалуйста.

Условия этих временных интервалов для всех тестируемых защитных программ должны быть одинаковые, вот было ли так на самом деле?

В методологии все прописано. В начале делались образы для всех продуктов. При установки каждого образа делались обновления. Потом обновления отключались и проводилось тестирование. Условия равные.

[Vsevolod 25]

Не понял вопрос, поясните, пожалуйста.

В методологии все прописано. В начале делались образы для всех продуктов. При установки каждого образа делались обновления. Потом обновления отключались и проводилось тестирование. Условия равные.

Если сначала (1,5 месяца назад) протестировать реального по жизни лидера по защите, а 3 дня назад худшего, то с учетом облаков худший себя покажет лучше, а лучший хуже. Насколько - не знаю.

[Kartavenko M.V. 34]

Если сначала (1,5 месяца назад) протестировать реального по жизни лидера по защите, а 3 дня назад худшего, то с учетом облаков худший себя покажет лучше, а лучший хуже. Насколько - не знаю.

Понял. Нет, тестирование проводилось в течении 10-12 дней. Физически невозможно провести тест 21 продукта за 1 час, как Вы понимаете. Поэтому небольшой лаг есть, но мы старались его минимизировать.

Тут также следует обратить внимание, что все уязвимости известны уже давно и вряд ли кто-то срочно кинулся бы их закрывать.

[Vsevolod 25]

Тут также следует обратить внимание, что все уязвимости известны уже давно и вряд ли кто-то срочно кинулся бы их закрывать.

Для понимания. Давно - это сколько? Минимум, в среднем и максимум.