Condition pour la création de signatures pour les nouveaux CVE libérés, un calendrier pour la création de signatures, pas de PoC, et pourquoi certains CVE n’ont pas de couverture?
Question
Quel est le calendrier pour PaloAlto peut fournir la couverture pour un nouveau CVE publié?
Pourquoi parfois aucune signature n’est créée pour un CVE ?
Environment
- Tous PAN-OS
- Licence menace
Answer
Réponse:
Le U . S . . Department of Homeland Security ( DHS ) Cybersecurity and Infrastructure Security Agency ( CISA ) sponsoriser les vulnérabilités et les expositions communes ( CVE ). Une fois CVE qu’un est publié, Palo Alto Networks ingénieurs commencent à travailler pour créer une signature de vulnérabilité pour protéger un CVE . Il y a deux conditions principales pour créer une signature de vulnérabilité.
- A validation de concept valide ( POC ) devrait être accessible au public pour les ingénieurs de Palo Alto pour créer une signature de protection ou de vulnérabilité. Les ingénieurs et les chercheurs en POC sécurité utilisent le pour recréer la vulnérabilité pour créer une protection; pas POC de signature. Bien qu’une signature ne soit pas créée, cela ne signifie pas qu’elle n’est pas telle que votre réseau est exposé. S’il n’y a pas de PoC disponible, cela signifie également que les acteurs malveillants ne savent pas comment l’exploiter et ne peuvent pas profiter de la vulnérabilité.
- La deuxième condition est qu’il devrait être CVE doit être basé sur des réseaux non entièrement basés sur l’hôte. Le Firewall ne peut voir le trafic réseau, et si le trafic malveillant n’est pas passé par le , il peut être détecté ou Firewall bloqué.
Question 2:
Quelle est la prochaine étape si aucun PoC n’est trouvé?
Réponse: Une fois CVE qu’un est publié, nous l’avons mis dans le système de surveillance interne des vulnérabilités de Palo Alto Networks. Ce système automatique surveille toutes les sources publiques/privées disponibles telles que Telus, MAPP , GitHub, google bug, exploit- DB , bugs internes trouvés, et plus encore. Une fois que le système trouve automatiquement le PoC disponible, une notification est générée pour l’équipe d’ingénierie, et l’équipe commence à travailler sur la création de la signature si possible.
Question 3:
Combien de temps faut-il pour créer IPS une signature si PoC est trouvé?
Réponse : La création d’une signature de vulnérabilité de qualité unique passe par de nombreuses phases, y compris IPS la recherche, la création, les tests de trempage, l’assurance de la qualité et le réglage avant et après la sortie. Il est réglé pour couvrir toutes les voies d’exploit possible tout en évitant de créer un faux positif.
Parfois, l’équipe d’ingénierie a décidé de IPS ne pas créer une signature avec un PoC existant basé sur le réseau valide en raison d’autres facteurs tels que le système commun de notation de vulnérabilité ( ) score et la probabilité CVSS d’exploiter.