Un IPS potrebbe aver bloccato un attacco su un router / firewall vulnerabile?

1

Pensando alle recenti notizie riguardanti i router SOHO vulnerabili all'attacco VPNFilter: link .

Teoricamente, un dispositivo Intrusion Prevention System (IPS) (Snort, Suricata, Cisco, Juniper, Barracuda, ecc.) posizionato tra un ISP / gateway e un router / firewall vulnerabile ha bloccato l'attacco, assumendo una firma corrispondente era già installato nel database dell'appliance?

Più interessante, qualcuno è a conoscenza di alcuna prova che un di IPS ha bloccato un simile attacco?

Oppure, anche se fosse possibile bloccare un attacco del genere, sarebbe stato troppo tardi se si trattasse di un attacco zero-day?

Di solito, l'IPS è visto come uno strumento per proteggere gli utenti finali dal malware, tuttavia, dato che più siti Web sono crittografati, IPS è visto da alcuni come discutibile dal momento che non è in grado di ispezionare facilmente tale traffico crittografato. Ma potrebbe essere ancora utile bloccare gli attacchi sul router / firewall stesso?

    
posta medbot 31.05.2018 - 05:24
fonte

2 risposte

1

Theoretically, could a Intrusion Prevention System (IPS) appliance ... placed in between an ISP/gateway and a vulnerable router/firewall have blocked the attack, assuming a matching signature was already installed in the appliance database?

Ci sono diverse parti dell'attacco che potrebbero essere usate per le firme:

  • L'infezione iniziale, che è stata forse fatta accedendo all'interfaccia di gestione remota dei sistemi da infettare. Mentre il tentativo di accesso a tale interfaccia potrebbe essere considerato dannoso nella maggior parte dei casi ci sono ancora validi motivi per tale accesso in modo che una firma pertinente possa portare a falsi positivi.
  • La comunicazione C2 dopo un'infezione riuscita. Secondo le informazioni disponibili la comunicazione è stata fatta usando Tor o SSL. L'uso di Tor stesso potrebbe essere sospetto ma è anche legale, quindi anche la possibilità di falsi positivi è qui. SSL è difficile da analizzare ma si può solo controllare SSL su destinazioni specifiche e quindi verificare le impronte digitali atipici sul lato client (ad esempio ClientHello). Ma di nuovo, esiste la possibilità di falsi positivi.

Se guardi il rapporto da Cisco vedrai alla fine la copertura per questo problema dai prodotti Cisco e vedrai che sembra fare affidamento sul rilevamento della comunicazione C2.

Or–even if blocking such an attack were possible–would it have been too late if this was in fact a zero-day attack?

Mentre l'infezione iniziale poteva essere stata zero-day (o no, poiché i sistemi con problemi noti erano stati attaccati) la comunicazione C2 successiva non lo era. Pertanto, l'ISP potrebbe non essere stato in grado di proteggere i sistemi contro le infezioni ma potrebbe (con sforzi considerevoli) essere in grado di rilevare il sistema infetto e limitare ciò che potrebbero fare informando i clienti e / o limitando il traffico da questi sistemi.

    
risposta data 31.05.2018 - 08:22
fonte
-1

Sì, un IPS avrebbe potuto bloccare gli attacchi. Nell'esempio più semplice, è possibile creare una regola che possa corrispondere a qualsiasi pacchetto e rilasciarlo. In questo caso, mentre non è pratico, bloccherebbe gli attacchi.

    
risposta data 12.07.2018 - 23:40
fonte

Leggi altre domande sui tag