Introduction
O Cisco Talos lança SRU (Snort Rule Updates, Atualizações de Regras de Snort) para lidar com as mais recentes ameaças e vulnerabilidades. Uma nova versão de SRU pode conter conjuntos de regras atualizados para cada política básica. Este documento explica o processo usado pelo Talos para decidir como as regras são atribuídas a cada política de base de intrusão para dispositivos Firepower.
Intenção de política básica do Talos definida nos metadados da regra
As políticas básicas são mantidas pelos Metadados dentro dos próprios SRUs. O estado de qualquer regra especificada em qualquer uma das políticas padrão é definido na parte de metadados do corpo da regra. Por exemplo:
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC 1.php outbound connection attempt"; sid:38753; gid:3; rev:1; classtype:trojan-activity; metadata:engine shared, soid 3|38753, policy balanced-ips drop, policy security-ips drop, impact_flag red; )
Observe que na regra de exemplo mostrada acima, a seção de metadados contém queda de ips balanceados de política, queda de segurança de política.Isso indica que esta regra 1:38753 está habilitada e definida para queda na política de segurança e conectividade balanceadas, bem como na política de segurança sobre conectividade.
Métricas usadas para determinar o conjunto de regras padrão
- A métrica principal usada é a pontuação Common Vulnerability Scoring System (CVSS) atribuída a cada vulnerabilidade que pode ser coberta por uma regra.
- A segunda métrica é baseada no tempo e diz respeito à idade de uma vulnerabilidade específica.
- A métrica final é a área de cobertura específica da regra. Assim, por exemplo, as regras de injeção de SQL são consideradas importantes o suficiente para ter influência quando consideradas para a inclusão de políticas.
Note: As vulnerabilidades cobertas pelas regras nessas categorias são consideradas importantes, independentemente da idade.
Conectividade sobre política de base de segurança
Note: A política de conectividade foi projetada especificamente para favorecer o desempenho do dispositivo em relação aos controles de segurança da política. Ela deve permitir que um cliente implante um de nossos dispositivos com falsos positivos mínimos e desempenho classificado totalmente na maioria das implantações de rede. Além disso, essa política deve detectar as ameaças mais comuns e predominantes que nossos clientes enfrentarão.
1. A pontuação do CVSS deve ser 10
2. A vulnerabilidade vem dos últimos dois anos (inclusive). Por exemplo:
- Ano atual (2019, por exemplo)
- Ano passado (2018 neste exemplo)
- Ano anterior ao último (2017 neste exemplo)
3. Categoria da regra
- Não usado para esta política
Política de base equilibrada
Note: A política equilibrada é a política padrão recomendada para implantações iniciais. Essa política tenta equilibrar as necessidades de segurança e as características de desempenho de nossos sistemas. Os clientes devem ser capazes de começar com essa política e obter uma taxa de bloqueio muito boa com ferramentas públicas de avaliação e uma taxa de desempenho relativamente alta com ferramentas de avaliação e teste. Além disso, essa política deve ser executada a 80% da capacidade nominal do dispositivo em condições normais de rede selvagem. A principal coisa a ser lembrada com a política equilibrada é que esse é o ponto de partida dos clientes, se eles tiverem uma experiência ruim com falsos positivos, detecção limitada ou desempenho ruim, a maioria dos clientes investigará outros dispositivos para implantação em sua infraestrutura. É o estado de envio padrão do Snort Subscriber Rule Set para Open-Source Snort vendido em Snort.org.
1. Pontuação CVSS 9 ou superior
2. A vulnerabilidade vem dos últimos dois anos (inclusive). Por exemplo:
- Ano atual (2019, por exemplo)
- Ano passado (2018 neste exemplo)
- Ano anterior ao último (2017 neste exemplo)
3. Categoria da regra
- Malware-CnC
- Lista negra
- Injeção SQL
- Kit de exploração
4. Se a regra estiver na política de conectividade
Política de base de segurança sobre conectividade
Note: A política de segurança foi projetada para o pequeno segmento da nossa base de clientes que está excepcionalmente preocupado com a segurança organizacional. Os clientes implantam essa política em redes protegidas, que têm requisitos de largura de banda mais baixos, mas requisitos de segurança muito mais altos. Além disso, os clientes se preocupam menos com falsos positivos e assinaturas ruidosas. O controle de aplicativos e o uso da rede bloqueada também são preocupações dos clientes que implementam essa política. Ele deve oferecer proteção máxima e controle de aplicativos, mas não deve desativar a rede.
1. Pontuação CVSS 8 ou superior
2. A vulnerabilidade vem dos últimos três anos (inclusive). Por exemplo:
- Ano atual (2019, por exemplo)
- Ano passado (2018 neste exemplo)
- Ano anterior ao último (2017 neste exemplo)
- Ano anterior (2016 neste exemplo)
3. Categoria da regra
- Malware-CnC
- Lista negra
- Injeção SQL
- Kit de exploração
4. Se a regra estiver na política Balanceado e Conectividade
Política básica de detecção máxima (detecção máxima):
Note: O conjunto de regras máxima de detecção deve ser usado em ambientes de teste e, como tal, não é otimizado para desempenho. Falsos positivos para muitas das regras desta política são tolerados e/ou esperados e, normalmente, não serão realizados inquéritos sobre os PQ.
1. A cobertura é necessária para testes em campo.
2. Inclui regras nos conjuntos de regras Segurança, Equilibrado e Conectividade.
3. Inclui todas as regras ativas acima do Sid: 10000, salvo especificação em contrário.
Frequência de atualizações de políticas
Todas as novas regras são incluídas nas políticas baseadas nestes critérios. Todos os anos as políticas serão reavaliadas e as regras dos anos anteriores, à medida que as vulnerabilidades envelhecem, serão retiradas da política para manter a política em conformidade com os nossos critérios de seleção temporal.
Se a pontuação do CVSS mudar para uma vulnerabilidade específica coberta por uma regra, a presença dela em uma política baseada na métrica do CVSS será reavaliada.
As políticas crescem continuamente. Além do grande reequilíbrio para alinhá-los a um objetivo específico, grandes quedas de regras de políticas nem sempre acontecem se estivermos satisfeitos com o número de regras e o desempenho da política sobre o produto
Note: As políticas básicas podem crescer além do grande reequilíbrio anual para alinhá-las a um objetivo específico. As principais quedas de regras das políticas nem sempre acontecem se o Talos estiver satisfeito com o número de regras e com o desempenho da política no produto em condições de rede normais. As regras nas políticas listadas são avaliadas por regra. Haverá algumas regras mais antigas e não nos critérios acima que estarão nas políticas padrão. Os critérios de seleção das regras padrão acima estão sempre sujeitos a alterações com base no cenário de ameaças.
Nota: as regras nas políticas listadas são avaliadas em uma base de regra por regra. Haverá algumas regras mais antigas e não nos critérios acima que estarão nas políticas padrão. Os critérios de seleção das regras padrão acima estão sempre sujeitos a alterações com base no cenário de ameaças