Publika angreppskoder och intrångssignaturer - Kvantitativa tester av träffsäkerhet

Författare:

  • Teodor Sommestad
  • Hannes Holm

Publiceringsdatum: 2018-01-23

Rapportnummer: FOI-R--4499--SE

Sidor: 28

Skriven på: Svenska

Nyckelord:

  • intrångsdetektion
  • signaturdatabaser
  • logganalys
  • angreppkoders tillförlitlighet.

Sammanfattning

Denna rapport beskriver två tester kopplade till logganalysarbete inom cybersäkerhet. Det första testet undersökte hur ofta publika angreppskoder fungerar och ger information om hur sådana påverkar hotbilden som en logganalytiker behöver förhålla sig till i sina beslut. Totalt gjordes 1545 angreppsförsök med 211 olika angreppskoder för att tillskansa sig privilegier på maskiner en sårbarhetsskanner pekat ut som sårbar för angreppskoden. Endast 70 av angreppsförsöken (4,5 %) lyckades och endast 18 angreppskoder (8,5 %) fungerade mot någon maskinkonfiguration. Det andra testet undersökte hur väl olika publika signaturdatabaser upptäcker angrepp. Information om detta kan hjälpa logganalytiker att välja signaturdatabas(er) och förstå vanliga intrångsdetektionssystems begränsningar. Signaturdatabaser utgivna mellan 2011 och 2016 från tre olika utgivare testades på nätverkstrafik från 246 angrepp med 125 olika angreppskoder. Den bästa signaturdatabasen producerade larm av rätt prioritet för 61 angrepp och den sämsta producerade larm av rätt prioritet för 20. Nyare signaturdatabaser var något bättre; publikt kända sårbarheter upptäcktes oftare; angrepp mot Windowsmaskiner upptäcktes oftare än angrepp mot Linuxmaskiner och många fler angreppsförsök upptäcktes när inaktiverade signaturer aktiverades.