アカウント名:
パスワード:
「うちの製品はMade in USAで、中国パーツや組み立てではない!」と力説していました。(シスコのニセモノルーターが出た後の話)
………それで高いのを正当化しないでくれ!
いまどきマトモで安全なものは高いのですよ
PAN-OS 4.0.x だったと思います。最初の内はずいぶん検出されるし、その割に確かにスループットは落ちないし、と感心していたのですが、だんだん不信感が芽生えてきたわけです。
とりあえずいちばん検証しやすいウイルスから、検出されたものを VirusTotal [virustotal.com] で全数検査することにしました。あと、脆弱性に対する攻撃も可能な限り検証することにしました。URL filtering のライセンスは無かったのでレポートはIPアドレスとポート番号しか出力されず、URL等を確認する仕組みから作るはめになりましたが、これを 1年ぐらい続けたと思います。これで誤検出率が分かるわけですが、90%は軽く超えていました。
一方、SMTP の方は検出のみにして、別にメールサーバに amavisd 経由で F-Secure を呼び出してマルウェア付メールをトラップしていましたが、こちらも F-Secure が検出したものを全部 VirusTotal にかけます。あとトレンドマイクロも手元にあるのでこれでチェックしてマルウェアと判定されなければトレンドマイクロに検体として送って確認を依頼します。こうすると間違いなくマルウェアであるものが判明しますので、これをどれだけ PaloAlto が検出できたかのデータを得ることができます。こちらは数字をはっきり覚えていませんが、ほとんど検出できていなかったように思います。10%も行かなかったような。
ブルートフォース系のアタックも検出できるとあるのに、例えば POP3 への攻撃が検出されずに問い合わせると、「攻撃元のポート番号が変わるとブルートフォース判定されません」と言われて、そんなの使い物になるか、と思った記憶があります。
あと誤検出を例外設定だけして放置しておくと危険というのもしんどかった。必ずサポートに誤検出を連絡しておかないといけない。なぜかというと Threat-ID というものをマルウェアなどに振っているのですが、これが 16bit しかない。全然足りないのでどうするかというと誤検出が判明したものは、誤検出しないようにパターンファイルを更新するのではなくて Threat-ID を廃止してしまう(常にではないですが)。そしてそのうち別のマルウェアにその ID を割り当ててしまっていました。つまり、誤検出だから例外設定をして検出しないようにしておいて、別にユーザが誤検出をレポートすると、いつの間にか別のマルウェアが素通りする設定に変わっていた、ということになります。サポートに連絡しておくと、その Threat-ID が対応されたという連絡がいつかは来るので、そうしたら例外設定を解除する(このときに未割り当てになっていたり別のマルウェアに割り当てられていることが分かります)、という運用をしていました。
それからウイルスと誤検出されるものの中に、一般 PC 用アンチウイルスソフトのパターンファイルが該当する率が体感ですがかなり高いように思いました。つまり PC でのウイルス対策の足を引っ張ってくれるわけです。腹が立ちます。たぶんウイルスのパターンがパターンファイル中に含まれているのが原因ではないかと思っていますが、とにかく誤検出対策を講じていないのではとすら思いました。
というわけで、根拠は実体験しかありません。使用される場合には検出されたものの全数検査をお勧めします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
以前、パロアルトネットワークスが発表会で (スコア:0)
「うちの製品はMade in USAで、中国パーツや組み立てではない!」と力説していました。
(シスコのニセモノルーターが出た後の話)
………それで高いのを正当化しないでくれ!
Re:以前、パロアルトネットワークスが発表会で (スコア:0)
いまどきマトモで安全なものは高いのですよ
Re:以前、パロアルトネットワークスが発表会で (スコア:2)
# 動作を検証しなければ安心感はあるかも…
Re:以前、パロアルトネットワークスが発表会で (スコア:1)
Re:以前、パロアルトネットワークスが発表会で (スコア:3)
PAN-OS 4.0.x だったと思います。最初の内はずいぶん検出されるし、その割に確かにスループットは落ちないし、と感心していたのですが、だんだん不信感が芽生えてきたわけです。
とりあえずいちばん検証しやすいウイルスから、検出されたものを VirusTotal [virustotal.com] で全数検査することにしました。あと、脆弱性に対する攻撃も可能な限り検証することにしました。URL filtering のライセンスは無かったのでレポートはIPアドレスとポート番号しか出力されず、URL等を確認する仕組みから作るはめになりましたが、これを 1年ぐらい続けたと思います。これで誤検出率が分かるわけですが、90%は軽く超えていました。
一方、SMTP の方は検出のみにして、別にメールサーバに amavisd 経由で F-Secure を呼び出してマルウェア付メールをトラップしていましたが、こちらも F-Secure が検出したものを全部 VirusTotal にかけます。あとトレンドマイクロも手元にあるのでこれでチェックしてマルウェアと判定されなければトレンドマイクロに検体として送って確認を依頼します。こうすると間違いなくマルウェアであるものが判明しますので、これをどれだけ PaloAlto が検出できたかのデータを得ることができます。こちらは数字をはっきり覚えていませんが、ほとんど検出できていなかったように思います。10%も行かなかったような。
ブルートフォース系のアタックも検出できるとあるのに、例えば POP3 への攻撃が検出されずに問い合わせると、「攻撃元のポート番号が変わるとブルートフォース判定されません」と言われて、そんなの使い物になるか、と思った記憶があります。
あと誤検出を例外設定だけして放置しておくと危険というのもしんどかった。必ずサポートに誤検出を連絡しておかないといけない。なぜかというと Threat-ID というものをマルウェアなどに振っているのですが、これが 16bit しかない。全然足りないのでどうするかというと誤検出が判明したものは、誤検出しないようにパターンファイルを更新するのではなくて Threat-ID を廃止してしまう(常にではないですが)。そしてそのうち別のマルウェアにその ID を割り当ててしまっていました。つまり、誤検出だから例外設定をして検出しないようにしておいて、別にユーザが誤検出をレポートすると、いつの間にか別のマルウェアが素通りする設定に変わっていた、ということになります。サポートに連絡しておくと、その Threat-ID が対応されたという連絡がいつかは来るので、そうしたら例外設定を解除する(このときに未割り当てになっていたり別のマルウェアに割り当てられていることが分かります)、という運用をしていました。
それからウイルスと誤検出されるものの中に、一般 PC 用アンチウイルスソフトのパターンファイルが該当する率が体感ですがかなり高いように思いました。つまり PC でのウイルス対策の足を引っ張ってくれるわけです。腹が立ちます。たぶんウイルスのパターンがパターンファイル中に含まれているのが原因ではないかと思っていますが、とにかく誤検出対策を講じていないのではとすら思いました。
というわけで、根拠は実体験しかありません。使用される場合には検出されたものの全数検査をお勧めします。