Wat zijn de gebruikte metriek om de standaardregels voor elk beleid van de Inbraakbasis van vuurkracht te bepalen

Inleiding

Cisco Talos releases van kortregel updates (SRU) om de laatste bedreigingen en kwetsbaarheden aan te pakken. Een nieuwe SRU-release kan bijgewerkte regels voor elk basisbeleid bevatten. Dit document legt het proces uit dat door de Talos wordt gebruikt om te beslissen hoe de regels worden toegewezen aan elk beleid van de Inbraakbasis voor Firepower devices.

Talos Base Policy Intent gedefinieerd in metagegevens over regels

Het basisbeleid wordt door middel van metagegevens in de SRU's zelf gehandhaafd. De status van een gegeven regel in een van de standaardbeleid wordt gedefinieerd in het metagegevensgedeelte van het regelorgaan. Bijvoorbeeld:

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC 1.php outbound connection attempt"; sid:38753; gid:3; rev:1; classtype:trojan-activity; metadata:engine shared, soid 3|38753, policy balanced-ips drop, policy security-ips drop, impact_flag red; )

Opmerking in de voorbeeldregel die hierboven is getoond, bevat de metagegevenssectie beleidsevenwichtige IPS-druppels, beleidssecurity-ips-druppels.Dit duidt erop dat deze regel 1:38753 is ingeschakeld en is ingesteld om in het gebalanceerde veiligheids- en connectiviteitsbeleid evenals in het Security Over Connectivity-beleid te vallen.

Metriek gebruikt om standaardregels te bepalen

• De belangrijkste gebruikte metriek is de score voor Common Vulnerability Scoring System (CVSS) toegewezen aan elke kwetsbaarheid die door een regel zou kunnen worden bestreken.
• De tweede metriek is tijdelijk gebaseerd en heeft betrekking op de leeftijd van een bepaalde kwetsbaarheid.
• De laatste maatstaf is het specifieke gebied van dekking voor de regel. Bijvoorbeeld, SQL Injectieregels worden beschouwd als belangrijk genoeg om invloed te hebben wanneer ze in overweging worden genomen voor inclusie van beleid.

Opmerking: De kwetsbaarheden waarop de regels in deze categorieën van toepassing zijn, worden, ongeacht hun leeftijd, als belangrijk beschouwd. 

Connectiviteit met security basisbeleid

Opmerking: Het Connectiviteitsbeleid is specifiek ontworpen om de prestaties van apparaten te begunstigen ten opzichte van de beveiligingscontroles in het beleid. Het zou een klant in staat moeten stellen om één van onze apparaten met minimale valse positieven en volledige nominale prestaties van het vakje in de meeste netwerkimplementaties in te zetten. Daarnaast moet dit beleid de meest voorkomende en meest voorkomende bedreigingen waarnemen die onze klanten zullen ervaren.

1. CVSS-score moet 10 zijn

2. De kwetsbaarheid komt van de afgelopen twee jaar (inclusief).  Bijvoorbeeld: 

• Lopend jaar (bijvoorbeeld 2019)
• Vorig jaar (in dit voorbeeld 2018)
• Vorig jaar (in dit voorbeeld 2017)

3. Categorie regels

• Niet gebruikt voor dit beleid

gebalanceerd basisbeleid

Opmerking: Het gebalanceerde beleid is het standaardbeleid dat voor eerste implementaties wordt aanbevolen. Dit beleid probeert de veiligheidsbehoeften en prestatiekenmerken van onze systemen met elkaar in evenwicht te brengen. Klanten zouden met dit beleid moeten kunnen beginnen en een zeer goed bloktarief moeten kunnen krijgen met instrumenten voor openbare evaluatie, en een relatief hoog prestatieniveau met evaluatie- en testinstrumenten. Bovendien moet dit beleid bij normale netwerkcondities ten minste 80% van de nominale capaciteit van het apparaat uitmaken. Het belangrijkste om altijd in gedachten te houden met het gebalanceerde beleid is dat dit het beginpunt is van de klanten, als ze een slechte ervaring hebben met valse positieven, beperkte detectie, of slechte prestaties zullen de meeste klanten andere apparaten voor plaatsing in hun infrastructuur onderzoeken. Het is de standaard verzendstatus van de Subscriber Line gemaakt voor Open-Source snort die verkocht wordt op Snort.org.

1. CVSS-score 9 of hoger

2. De kwetsbaarheid komt van de afgelopen twee jaar (inclusief).  Bijvoorbeeld: 

• Lopend jaar (bijvoorbeeld 2019)
• Vorig jaar (in dit voorbeeld 2018)
• Vorig jaar (in dit voorbeeld 2017)

3. Categorie regels

• Malware CnC
• Blacklist
• SQL-injectie
• Exploset

4. Indien de regel in het beleid inzake connectiviteit is opgenomen

Security over Connectivity Base Policy

Opmerking: Het Security beleid is ontworpen voor het kleine segment van onze klantbasis dat zich uitzonderlijk zorgen maakt over organisatorische beveiliging. Klanten implementeren dit beleid in beschermde netwerken, die een lagere bandbreedte-vereisten hebben, maar veel hogere veiligheidsvereisten. Bovendien geven klanten minder om valse positieven en ruis handtekeningen. Toepassingscontrole en gesloten netwerkgebruik zijn ook problemen voor klanten die dit beleid implementeren. Het moet maximale bescherming bieden en de toepassing controleren, maar het netwerk niet omlaag brengen.

1. CVSS-score 8 of hoger

2. De kwetsbaarheid komt van de afgelopen drie jaar (inclusief).  Bijvoorbeeld:

• Lopend jaar (bijvoorbeeld 2019)
• Vorig jaar (in dit voorbeeld 2018)
• Vorig jaar (in dit voorbeeld 2017)
• Voorjaar (in dit voorbeeld 2016)

3. Categorie regels

• Malware CnC
• Blacklist
• SQL-injectie
• Exploset

4. Indien de regel in het beleid inzake gebalanceerd en connectiviteitsbeleid is opgenomen

Max-detecteert basisbeleid (maximale detectie):

Opmerking: De maximale detectieregels zijn bedoeld om te worden gebruikt in testomgevingen en zijn als zodanig niet geoptimaliseerd voor prestaties. Vele regels in dit beleid zijn getolereerd en/of verwacht en er zullen normaal gesproken geen KP-onderzoeken worden verricht.

1. De dekking is vereist voor veldproeven.

2. Omvat regels in de reeksen van veiligheidsregels, gebalanceerde regels en connectiviteitsregels.

3. Omvat alle actieve regels boven Sid: 10000, tenzij anders vermeld.

Frequentie van beleidsaanpassingen

Alle nieuwe regels worden op basis van deze criteria in het beleid opgenomen. Elk jaar zal het beleid opnieuw worden beoordeeld en zullen de regels van voorgaande jaren, als de kwetsbare leeftijd, worden verwijderd van het beleid om het beleid in overeenstemming te houden met onze tijdelijke selectiecriteria.

Indien de CVSS-score verandert voor een bepaalde kwetsbaarheid die onder een regel valt, wordt de aanwezigheid ervan in een op de CVSS-statistiek gebaseerd beleid opnieuw beoordeeld.

Het beleid groeit voortdurend. Afgezien van het feit dat de regels aangepast zijn aan een specifiek doel, gebeuren er niet altijd belangrijke regels af van het beleid als we tevreden zijn over het aantal regels en de prestaties van het productbeleid

Opmerking: Het basisbeleid kan verder groeien dan de jaarlijkse grote evenwichtsherstel om ze op een specifiek doel af te stemmen. Grote verlagingen van regels uit beleid gebeuren niet altijd als Talos tevreden is met het aantal regels en de prestaties van het beleid op het product onder normale netwerkomstandigheden. Regels in het opgesomde beleid worden regelmatig beoordeeld. Er zullen regels zijn die ouder zijn en niet in de bovenstaande criteria die in het standaardbeleid zullen worden opgenomen. Het bovenstaande is de selectiecriteria voor standaardregels en is altijd onderwerp van verandering op basis van het bedreigingslandschap.

Toelichting: De regels in de in de lijst opgenomen beleidsmaatregelen worden regelmatig beoordeeld. Er zullen regels zijn die ouder zijn en niet in de bovenstaande criteria die in het standaardbeleid zullen worden opgenomen. Het bovenstaande is het selectiecriterium voor standaardregels en kan altijd worden gewijzigd op basis van het bedreigingslandschap