¿Existen técnicas conocidas para ofuscar las reglas de IDS, por lo que los atacantes no pueden usarlas fácilmente para aplicar ingeniería inversa a la vulnerabilidad que detectan?
Déjame dar un poco de contexto. A veces, los proveedores de IDS se dan cuenta de una vulnerabilidad de día cero (una que aún no se ha divulgado públicamente). En esa situación, uno puede crear una regla para detectar la explotación de esa vulnerabilidad y enviarla a todos, para tratar de evitar la explotación de la vulnerabilidad ... pero esto conlleva un nuevo riesgo. En particular, un atacante podría analizar la regla de IDS y usarla para obtener algunas pistas que faciliten al atacante identificar la vulnerabilidad y comenzar a usarla para atacar otros sistemas. Por lo tanto, en un mundo donde algunas personas tardan en parchear y no usan el IDS, existe el riesgo de que el hecho de prescindir de una regla tan nueva pueda aumentar (perversamente) la explotación general de la vulnerabilidad de día cero, en lugar de disminuirla. / p>
¿Existen técnicas conocidas para mitigar este riesgo y dificultar que los atacantes aprendan algo útil de las nuevas reglas de IDS? Por ejemplo, ¿existe una manera de distribuir la regla IDS en una forma ofuscada o encriptada, de modo que los usuarios finales todavía puedan usarla para detectar ataques, pero los atacantes que no están familiarizados con la vulnerabilidad no pueden usar la regla para volver a descubrirla? ¿La vulnerabilidad y empezar a atacar a los demás?