ModSecurity规则:哪个更好 - GotRoot或TrustWave？

Question

我们正在为ModSecurity(mod_security)寻找一些额外的规则 - 有两个商业选项,GotRoot或TrustWave的新选项

http://www.gotroot.com/mod_security+rules

https://www.trustwave.com/modsecurity-rules-support.php

我听说过TrustWave而不是GotRoot.然而,GotRoot规则似乎在Google等上有更多的提及 - 似乎TrustWave的规则只出现在大约一个月左右之前

我们将使用它们来保护电子商务网站

Answer 1

我是Trustwave SpiderLabs研究团队的ModSecurity项目负责人.比较两个规则集并询问哪个"更好"取决于您的应用程序设置和所需的安全需求.您提到这是一个电子商务网站.它是否使用osCommerce等公共软件？

Trustwave的商业ModSecurity规则具有许多一般优势:

1. 这些规则由Trustwave SpiderLabs研究团队创建,该团队开发ModSecurity代码,从而降低规则准确性的错误(请参阅下面有关GotRoot问题的数据)

2. SpiderLabs研究团队针对我们的规则进行广泛的测试和研究,以使其更好.查看我们最近的SQL注入挑战 - http://blog.spiderlabs.com/2011/07/modsecurity-sql-injection-challenge-lessons-learned.html

3. 这些规则可以单独使用,也可以与OWASP ModSecurity核心规则集(也由同一个Trustwave SpiderLabs研究团队管理)集成.这允许部署的灵活性并且还提高了准确性,因为存在对攻击有效载荷的协作检测.最终结果是假阴性(失踪攻击)的可能性较低.

4. 可以使用攻击类型或应用程序类型方法应用Trustwave规则.例如,如果您正在运行osCommerce站点,我们有一个打包的规则集,其中仅包含该特定应用程序的虚拟补丁.这种方法的好处是,您只需激活适用于您的环境的规则,而不是运行数百或数千个不需要的规则.这种方法的另一个好处是它将减少请求的处理时间/延迟.

5. Trustwave虚拟补丁还包括元数据,其中包含指向第三方漏洞数据(如OSVDB)的http链接.

至于GotRoot规则本身,我在审查其公共延迟规则后发现了一些准确性问题,这些问题可能会导致错误的负面问题.主要问题在于转换功能的使用不当.转换函数(示例t:base64Decode)用于在应用运算符之前规范化数据.有许多GotRoot规则应用不正确的转换函数,即使存在恶意数据,也会以操作员永远不会匹配的方式更改数据.这表明这些尚未经过精确度测试.

希望这些信息有所帮助