Προστασία στα μέσα κοινωνικής δικτύωσης και Προσθήκη κατηγορίας μόλυνσης συστήματος

Εισαγωγή

Από το έγγραφο αναλύει την προσθήκη στις πληροφορίες μεταδεδομένων σχετικά με υπογραφές που προστίθεται στην έκδοση 14.0.0.

Απαιτήσεις

Οι απαιτήσεις πίσω από αυτήν τη λειτουργία είναι οι εξής:

  • Η δυνατότητα εμφάνισης στο χρήστη διαφορετικών πληροφοριών σε περίπτωση επίθεσης που σχετίζονται με μέσα κοινωνικής δικτύωσης.

  • Η δυνατότητα εκτέλεσης εργαλείων, όπως το NPE (ή η σύσταση για αυτό) σε ένα σύστημα που ενεργοποιεί τις υπογραφές μόλυνσης αναρτήσεων.

    π.χ. Εκτέλεση σάρωσης "Επιθετικής λειτουργίας" στο σύστημα.

Σχέδιο

Και οι δύο απαιτήσεις που αναφέρονται παραπάνω θα εφαρμοστούν με την πραγματοποίηση των παρακάτω αλλαγών:

XML Μεταδεδομένων (αρχείο su-cr.md)

Προσθέστε περισσότερες πληροφορίες στα μεταδεδομένα μιας υπογραφής, ώστε να αντανακλά το αν πρόκειται για υπογραφή που βασίζεται σε προστασία στα μέσα κοινωνικής δικτύωσης ή για υπογραφή μετά από μόλυνση. Αυτά θα προστεθούν με τη μορφή δύο νέων κόμβων ως θυγατρικοί κόμβοι του κόμβου <Συμβάν>.

Αυτήν τη στιγμή, το αρχείο xml μεταδεδομένων περιέχει μερικούς κόμβους που μπορούν να χρησιμοποιηθούν για τον προσδιορισμό των ίδιων πληροφοριών.

Για παράδειγμα, ο κόμβος <Κατηγορία> ή η χρήση της υπάρχουσας μάσκας bit με ιδιότητες υπογραφής για να συμπεριλαμβάνονται αυτές οι πληροφορίες. Ωστόσο, στην περίπτωση της κατηγορίας, χρησιμοποιόταν ήδη έτσι ώστε να μπορούν να ρυθμιστούν περισσότεροι από ένας κόμβοι <Κατηγορίας> για ένα θέμα/συμβάν.

Αυτό το σχέδιο δεν θα λειτουργούσε για κόμβους μία εμφάνισης μόνο, όπως <Κατηγορία> και <Υποκατηγορία>. Η μάσκα bit επισημάνσεων χρησιμοποιείται για τον προσδιορισμό της τάσης της υπογραφής όταν ενεργοποιείται, συνεπώς, αποφασίστηκε να μην χρησιμοποιείται για αυτόν το σκοπό.

Για αυτούς τους λόγους, θεωρήθηκε κατάλληλο να δημιουργηθεί ένα εξολοκλήρου νέο σύνολο Κόμβων.

Αυτοί οι νέοι Κόμβοι είναι <Κατηγορία> και <Υποκατηγορία>. Η <Κατηγορία> της υπογραφής θα περιέχει πληροφορίες για το αν η υπογραφή αποτελεί "Επίθεση κοινωνικού δικτύου" ή "Μολυσμένο σύστημα". Η <Υποκατηγορία> της υπογραφής θα περιέχει επιπλέον κατηγοριοποίηση μιας μεμονωμένης κατηγορίας. Για παράδειγμα, η "Επίθεση κοινωνικού δικτύου" θα μπορούσε να έχει πολλές υποκατηγορίες, όπως "Like Jacking" κλπ.

Οι κόμβοι στον κόμβο su-cr.md <Συμβάν> θα έμοιαζαν ως εξής:

<Event><Modified>2011082301</Modified><UniqueID>24014</UniqueID><State>A</State><TYPE>ACTOR_HEURISTIC</TYPE><SUB_TYPE>CONFIRMED_MALICIOUS_ACTIVITY</SUB_TYPE><SUBMIT>TRUE</SUBMIT><MANUALREMEDIATION>FALSE</MANUALREMEDIATION><EVENTRESPONSE>BLOCK</EVENTRESPONSE>......<Class Id="3">SocialNetworkAttack</Class><SubClass Id="1">LikeJacking</SubClass>......</Event>

Οι κόμβοι θα ονομάζονται <Κατηγορία> και <Υποκατηγορία>, κάθε κόμβος θα περιέχει το χαρακτηριστικό αναγνωριστικού και το όνομα.

Θα αποθηκεύεται μόνο η τιμή του αναγνωριστικού στο αρχείο metadata.dat, η τιμή του ονόματος θα αγνοηθεί, καθώς αποτελεί μέρος του xml για σκοπούς αναγνωσιμότητας.

Μπορεί να υπάρχει μόνο μία εμφάνιση αυτών των κόμβων ανά κόμβο <Συμβάν>.

Και οι δύο κόμβοι είναι προαιρετικοί, δηλαδή μπορούν να είναι παρόντες για ορισμένα συμβάντα και όχι για κάποια άλλα.

Ο κόμβος <Υποκατηγορία> μπορεί να υπάρχει μόνο αν υπάρχει κόμβος <Κατηγορία>.

Αλλαγές ροής εργασιών

Η ροή εργασιών θα απαιτεί την παροχή UI για τον προσδιορισμό της Κατηγορίας και της Υποκατηγορίας για κάθε υπογραφή. Αυτό μπορεί να είναι ένα αναπτυσσόμενο και επεξεργάσιμο μενού με προπληρωμένες τιμές. Κάθε κατηγορία και υποκατηγορία θα αντιπροσωπεύεται από ένα μη μηδενικό αριθμητικό αναγνωριστικό. Η τιμή 0 αναγνωριστικού αντιπροσωπεύει το στοιχείο "Δεν ορίστηκε". δηλαδή, η Κατηγορία ή η Υποκατηγορία δεν έχει οριστεί για υπογραφή. Ανατρέξτε στην ενότητα "Τιμές", για να λάβετε την έγκυρη Κατηγορία και Υποκατηγορία και τα αντίστοιχα αναγνωριστικά που ισχύουν από σήμερα. Τα OP αναμένονται να ορίσουν τις τιμές Κατηγορίας και Υποκατηγορίας για όλες τις υπογραφές που ανήκουν στην κατηγορία "Προστασία στα μέσα κοινωνικής δικτύωσης" και "Μολυσμένο σύστημα". Οι υπόλοιπες υπογραφές μπορούν να παραμείνουν ως έχουν για τώρα. Αναμένεται επίσης από τα OP να επεκταθούν σε αυτήν τη λίστα κατηγοριών και Υποκατηγοριών με τον καλύτερο δυνατό τρόπο, ωστόσο τα αναγνωριστικά της τρέχουσας λίστας δεν θα πρέπει να αλλάξουν, καθώς θα εκτίθενται στα προϊόντα και δεν μπορούν να αλλάξουν. Επίσης, έχετε υπόψη ότι το αρχείο su-cr.md απαιτείται να περιέχει το αναγνωριστικό ως χαρακτηριστικό για τους κόμβους <Κατηγορία> και <Υποκατηγορία>.

Πληροφορίες υπογραφής

Οι πληροφορίες υπογραφής θα περιέχουν δύο ακόμη ιδιότητες και πιο συγκεκριμένα τις PROPERTY_CLASSIDCLASSID και PROPERTY_SUBCLASSID. Αυτές θα είναι διαθέσιμες για ερωτήματα μέσω του περιβάλλοντος εργασίας SignatureInfo, δηλαδή του "IIDSSignatureInfo".

Η μέθοδος IIDSSignatureInfo::GetProperty() μπορεί να χρησιμοποιηθεί ως εξής για τη λήψη δύο DWORD.

DWORD dwClassID = 0;DWORD dwSubClassID = 0;dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_CLASSID, dwClassID);if (SYM_FAILED (dwResult)){ return;}dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_SUBCLASSID, dwSubClassID);if (SYM_FAILED (dwResult)){ return;}

Ανατρέξτε στο αρχείο IIDSSignatureInfo.h για περισσότερες πληροφορίες.

Το παραπάνω δείγμα κώδικα είναι μόνο ένας τρόπος λήψης αυτών των τιμών. Το προϊόν θα πρέπει να έχει ήδη έναν κώδικα για την εξαγωγή στοιχείων από το αντικείμενο πληροφοριών υπογραφής.

Η χρήση της ίδιας λογικής, αλλά με τις τιμές PROPERTY_CLASSID και PROPERTY_SUBCLASSID θα πρέπει να είναι επαρκής.

Συμβάν

Το συμβάν "Ειδοποίηση" που αποστέλλεται στο προϊόν θα ενημερωθεί, ώστε να περιλαμβάνει τα εξής 3 πεδία:

SigClassID Το προϊόν θα προσπελάσει αυτήν την τιμή και θα αποφασίσει να ενεργήσει σε περίπτωση που ανήκει στην κατηγορία "Προστασία στα μέσα κοινωνικής δικτύωσης" ή "Μολυσμένο σύστημα". Μια τιμή 0 αναγνωριστικού, στην πραγματικότητα, σημαίνει ότι η τιμή δεν ορίστηκε. Δείγμα κώδικα για την εξαγωγή της τιμής από μια ειδοποίηση:

DWORD dwClassID = 0; if((pData->GetValue(<Event_Key>, dwClassID))) { // Do Something with the ClassID. }

Όπου το pData είναι cc::IKeyValueCollectionConstPtr και το <Event_Key> θα μπορούσε να είναι οποιαδήποτε από τις παρακάτω τιμές:

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_NO_PORT_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_NO_PORT_SigClassID

Δείτε το IDSEvents.h για περισσότερες πληροφορίες.

Ορισμένες από τις τιμές του ClassID #ορίζονται στο αρχείο IIDSSignatureInfo.h. Αυτές οι τιμές είναι:

#define SIG_CLASS_NOT_SET 0#define SIG_CLASS_SOCIAL_PROTECTION 3 // The product is expected to show a different UI (URL) when this class of signaure event is passed to it.#define SIG_CLASS_SYSTEM_INFECTED 4 // The product is expected to execute NPE when this class of signature event is passed to it.#define SIG_SUBCLASS_NOT_SET 0

Το προϊόν θα πρέπει να συγκρίνεται με τα SIG_CLASS_SOCIAL_PROTECTION και SIG_CLASS_SYSTEM_INFECTED.

Σας ευχαριστούμε!

Ευχαριστούμε που χρησιμοποιήσατε την υποστήριξη Norton.

< Επιστροφή

Ήταν χρήσιμες αυτές οι πληροφορίες;

DOCID: v97291096_retail_el_el
Τελευταία τροποποίηση: 16/06/2014