IPS需意识到高级闪避技术(AET)的危害

安全 黑客攻防
高级闪避技术(AET)很少获得应有的关注,因为它最初是由一家厂商(Stonesoft)创造出来的术语,主要用来描述攻击者如何击败其他安全厂商。

高级闪避技术(AET)很少获得应有的关注,因为它最初是由一家厂商(Stonesoft)创造出来的术语,主要用来描述攻击者如何击败其他安全厂商。

现在,为了证明这一点,Stonesoft出具了南威尔士大学撰写的一篇关于《入侵防御系统中拦截闪避的有效性》的论文。这篇论文总结称,“在这个试验中,我们展示过已经安装的部分IPS,对使用高级闪避技术的攻击提供了有限的保护。”

该试验包含来自Sourcefire,IBM,PaloAlto,Fortigate,McAfee,Checkpoint,瞻博网络,思科和Stonesoft的装置;而且使用了两个老的漏洞(CVE-2008-4250和CVE-2004-1315),这两个漏洞应该通过修补好的IPS装置来结束。确实,所有设备都可以有效阻止针对这些漏洞的简单攻击;但是使用Stonesoft的Evader(专门用来部署基础闪避技巧的工具)后,结果截然不同。

这篇论文描述了一种闪避技术。它解释称,IPS装置在检测到入侵时可以采取行动——但是当执行恶意攻击的病毒的有效载荷被分解到多个数据包时,它们可能不能识别出攻击。在这种情况下,它在通过IPS前都是“不可见的”,而“接收数据包的主机却会收集有效载荷,然后重组信息。”这份报告指出“一次不被察觉的闪避为成功的入侵行为创造了绝佳机会,之后,攻击者利用它偷取数据或将其作为僵尸网络的资源使用。”

这个测试本身展示了针对漏洞CVE-2008-4250的2759次攻击,大部分设备阻止了98.6%或以上的攻击。只有Sourcefire的拦截率较低,为93.33%。排名在前两位的设备分别是思科(99.9%)和Stonesoft(99.6%)的产品。

但是,当闪避技巧被用到漏洞CVE-2004-1315上时,这些装置的成功率就降低。这一次,排名前两位的两个装置是Stonesoft(面对2638次攻击,阻止了99.7%)和Fortigate(阻止了99.2%)。尽管如此,剩下的七款装置中,没有哪款的拦截率超过66%,McAfee装置的拦截率最低,为50.1%。

南威尔士大学的论文总结称,“闪避技巧是网络安全中的问题。另一方面,高级闪避技巧被IPS行业的很多人所忽视,而这种忽视导致了很多难以被检测到的攻击。”它警告称,“即便一次单独闪避的成功也足以让活跃的有效负载通过,这就让网络以及里面包含的信息处于危险之中。”报告还称,网络安全社区应该引起重视,IPS系统应该更容易察觉可能被用到的闪避技巧和新旧漏洞的挖掘,并对此作出响应。

责任编辑:蓝雨泪 来源: IT168
相关推荐

2021-01-26 10:45:33

人工智能人工智能发展

2021-01-25 16:25:16

人工智能机器人自动驾驶

2017-11-06 14:35:54

大数据数据预测

2019-04-23 15:38:42

2009-05-31 15:01:39

2022-02-16 06:56:46

Windows 11系统微软

2013-10-31 11:29:38

2015-08-06 14:58:27

服务器虚拟化深信服

2014-05-13 09:43:12

编程语言开发技巧

2020-06-05 10:24:12

数据安全隐私人工智能

2022-02-14 09:53:26

微软代码技术

2023-02-27 15:09:14

2015-03-18 10:54:32

2016-04-12 10:02:22

2010-07-07 10:19:21

云计算

2020-05-22 10:21:30

5G4G运营商

2021-03-18 10:33:30

人工智能金融外汇

2012-10-08 09:42:41

2011-05-05 13:51:04

大屏幕拼接品牌

2023-05-18 13:44:44

点赞
收藏

51CTO技术栈公众号