Esistono tecniche note per offuscare le regole IDS, quindi non possono essere facilmente utilizzate dagli aggressori per decodificare la vulnerabilità che rilevano?
Consentitemi di fornire un contesto. A volte i venditori di IDS vengono a conoscenza di una vulnerabilità zero-day (una che non è stata ancora divulgata pubblicamente). In tale situazione, è possibile creare una regola per rilevare lo sfruttamento di tale vulnerabilità e inviarla a tutti, per cercare di prevenire lo sfruttamento della vulnerabilità ... ma ciò comporta un nuovo rischio. In particolare, un utente malintenzionato potrebbe essere in grado di analizzare la regola IDS e utilizzarlo per ottenere alcuni indizi che rendono più semplice per l'utente malintenzionato identificare la vulnerabilità e iniziare a utilizzarlo per attaccare altri sistemi. Quindi, in un mondo in cui alcune persone sono lente a ricucire e non usano l'IDS, c'è il rischio che l'introduzione di una tale nuova regola possa (perversamente) aumentare lo sfruttamento globale della vulnerabilità zero-day, piuttosto che diminuirla.
Esistono tecniche note per mitigare questo rischio e rendere più difficile agli hacker apprendere qualcosa di utile dalle nuove regole IDS? Ad esempio, esiste un modo per distribuire la regola IDS in un formato offuscato o crittografato, in modo che gli utenti finali possano ancora utilizzarlo per rilevare gli attacchi, ma gli autori di attacchi che non hanno già familiarità con la vulnerabilità non possono utilizzare la regola per riscoprire la vulnerabilità e iniziare ad attaccare gli altri?