パッチを当てるまで時間稼ぎをするためのアプライアンス 24
ストーリー by kazekiri
無害化ってどうすんだろ 部門より
無害化ってどうすんだろ 部門より
JonMoo 曰く、
何らかのシステムを運用していてセキュリティパッチを当てることが面倒だとか、動いているシステムを止めたくないということはよくあることだろう。そのような問題にかなりユニークなソリューションが登場したようだ。
ITProに、住商情報システムがBlue Lane社のPatch Pointというアプライアンスを販売するという記事があるのだが、Windows、Linux、SolarisといったOS、SQL ServerやOracleといったDB、メールサーバー、HTTPサーバー、その他のインターネットサーバー、PHP言語等の公開されたセキュリティパッチを基に、それらのソフトウェアの脆弱性を突く攻撃パケットを無害化処理するというものらしい。 これでパッチ公開後もパッチ適用まで時間稼ぎができるという理屈だが、Patch Point側での対応のタイムラグがないのならかなり面白い製品だと思う。
ちょっとかしこいIPS? (スコア:4, 参考になる)
つまり、このシステムではIPSの裏をかいてシグニチャに入っていない攻撃コードを送られても大丈夫だし、フォールスポジティブも防げるということなのかな。
特定の長さを越えていたら否定応答を返すのは簡単に実装できそうだけれど、特定の長さを越えていたら分割して処理するというのは一筋縄で実装できなそう。例えば、無茶苦茶長いHTTPリクエストを送られたときの処理なんかでこの問題はでてきそうだけど。こういう場合はパッチでも単純にバッファ以上送ろうとしたら否定応答をして送って来た内容を無視とするのが一般的なのかしらん。
Re:ちょっとかしこいIPS? (スコア:1)
ところで、これと似たようなコンセプトをISSがバーチャルパッチ(Virtual Patch) [isskk.co.jp]とずいぶん前(2005年以前)から呼んでますね。
Re:ちょっとかしこいIPS? (スコア:0)
今のIPSは各プロトコルのパーサをいくつも持っているのがふつーだよ。
その上で、RFC違反、ヒューリスティックによる判断など他のエンジンも併せて判断してる。
今時、シグネチャだけで検知を行っているIDS/IPSは少数派。
あやういなー (スコア:4, 興味深い)
とりあえずこれで一時しのぎができるからいいやと、対症療法に終始して、
根本的な患部の治療がされないというケースがすぐに思い浮かぶんですよね。
Re:あやういなー (スコア:1, おもしろおかしい)
Re:あやういなー (スコア:0)
いつまでたってもパッチはあたらない予感。
時間稼ぎ (スコア:3, おもしろおかしい)
Re:時間稼ぎ (スコア:2, すばらしい洞察)
#時間殺しの罪で死刑につきAC
ペアで購入しましょう (スコア:3, おもしろおかしい)
もちろん、後者の脆弱性は前者で防御。
Re:ペアで購入しましょう (スコア:0)
無害化とどっちがリスク高い? (スコア:1, 興味深い)
Re:無害化とどっちがリスク高い? (スコア:1)
そーゆー場合は (スコア:0)
時間稼ぎだし。
Re:そーゆー場合は (スコア:3, すばらしい洞察)
本当に無害化出来るなら (スコア:0)
あと棚の肥やしになってるWinMeマシンを使うのもアリだな。
Re:本当に無害化出来るなら (スコア:3, 興味深い)
「このアプライアンスを導入すれば、OSのサービスパックを当てる必要ないので、
サーバが何百台サーバがあろうとアップデートの手間がかかりません!」
と、言い切ってました。
10数台ほどのサーバなら人を雇って夜間にパッチを導入したほうが
安いような金額だったのを記憶しています。
当事者なのでAC
Re:本当に無害化出来るなら (スコア:3, 興味深い)
特に聞き手に理解能力が無い場合、誇張された宣伝を鵜呑みにしてしまう場合が多々あって、本当にサービスパックを当てなくなりかねない。
さらにそういう理解能力の無い聞き手は他者の意見は鵜呑みにするのに、身内からの忠告や警告を信じない傾向を併せ持っていることが多いのでどんなに注意しても
「購入するときに大丈夫だと聞いた」「これだけ高い値段がついているんだから間違いない」
とか言って、ちっとも話を聞いてくれません。(経験則)
なので、少々誇張するのはかまいませんが、無責任な売り方だけは勘弁してほしいなぁ。
# そういう上司を持つAC
このアプライアンスに (スコア:0)
アプライアンスが必要になるんじゃないか?
Re:このアプライアンスに (スコア:0)
「第三者から攻撃され得る脆弱性については告知しない」ってありえないだろ常識的に考えて…
# そして、未パッチの PatchPoint フロントエンドに導入するアプライアンス製品として、
# Yet Another PatchPoint PatchPoint のような新製品を売り込むわけですね。
これをおすすめしたいサービス (スコア:0)
高過ぎる (スコア:0)
Re:高過ぎる (スコア:0)
検討して要らないって事になりがちだけど。
ぜひとも (スコア:0)
時間稼ぎのアプライアンスを開発してほしい
#さすがにAC
えっ、 (スコア:0)
最近は神様も大変なんだ。