セキュリティの世界では、シグネチャとは、「エクスプロイト(プログラムのセキュリティ上の脆弱性を攻撃するために作成されたプログラム)に存在する特徴的なマークまたは特性に依存する検出方法」として定義されています。
これらのシグネチャは、特有のマークを利用することで既知の悪用を検出するように設計されています。新たなエクスプロイト情報は、通常、検出後1日後に分類され、シグネチャに追記されます。
ウイルス対策企業は、この種のテクノロジーを利用して、ウイルスの発生から顧客を保護していますが、シグネチャ追記までにはどうしてもライムラグが発生してしまうため、限られた保護能力にとどまってしまうという弱点があります。
ルールは、1日後ではなく、0日検出の利点をもたらします。
ルールは、エクスプロイト情報や固有データを利用するシグネチャとは異なる別の方法論で、実際の脆弱性を検出することに基づいています。
ルールを作成するためには、それぞれの脆弱性が実際にどのように機能するのかを正確に理解する必要があります。
Snortは2種類のルールセットを提供しています。
→Snort →Snort FAQ →What are the differences in the rule sets?
「コミュニティルールセット」は、GPLv2 Talos認定のルールセットで、有償版「サブスクライバルールセット」のサブセットです。
無料で配布され、すべてのユーザーが自由に利用できます。
無償版は、最新のルールセットが適用されるまで30日かかります。
「サブスクライバルールセット」は、セキュリティインテリジェンスおよびリサーチチーム「Talos」によって開発/テスト/承認されたルールを指します。
「Talos」は、攻撃者が絶えず新しい脆弱性を発見し、新しい攻撃方法を開発し、既知の脆弱性を悪用するという驚異に対して、先手を打った対策を提供しています。
「サブスクライバルールセット」は、サブスクリプションを購入することで利用でき、リアルタイムで最新ルールセットを適用できます。
Snortから提供されるルールセットの他に、エンドユーザーが自分の環境用に特別に作成したルールも適用できます。
OSS×Cloud ACCESS RANKING