新闻报道中的数据泄露和黑客大战太多,很容易让人忽视终端安全设备测试中的风险。最近几年,终端安全市场中的测试方法迎来了巨大发展。这是因为黑客设计高级恶意软件和防御者检测这些恶意软件的技术都变得越来越复杂和多样化了。
防御者需保护支持各种操作系统各个发行版本的终端。现场和云上终端也在防御者必须保护的范围内。而且他们还得充分考虑到很多终端安全产品与其解决方案架构中云元素的独特互动方式。
令人欣喜的是,今年5月底,反恶意软件测试标准组织(AMTSO)采纳了其第一套赋予高级恶意软件测试方法透明性的测试协议。
不过,对IT安全人员而言,AMTSO有何意义呢?很明显,该组织提升了终端安全市场的透明度。但卖家仍需关注独立测试框架、同侪建议、内部需求和终端安全合作选项,而不是简单地依赖AMTSO。
想要确保安全产品测试的完整性,可以遵循以下步骤:
1. 当一个怀疑论者
警惕来自供应商的测试建议。对任何供应商的测试建议都应保持警惕。每当他们提出某个建议,一定要问问为什么。最重要的是,确定该建议是否契合自家公司的特定需求。
2. 供应商提供的恶意软件样本并非总是合理
这又回到了上面提到的当一个怀疑论者的观点。供应商提供的样本有时候会被调整成他们的产品特别擅长检测和缓解的那类。
最坏情况下,样本甚至没有任何恶意功能。从供应商那里拿样本时,别拿太多,并让供应商告诉你到底哪里表现出了恶意。
不想用供应商的恶意软件样本的话,可以使用公共沙箱和分析博客,比如hybrid-analysis.com、virusshare.com、malshare.com 和malware-traffic-analysis.net。
这些站点都是真实恶意软件的存储库,可以提供深度技术分析,让你知道恶意软件到底应该是个什么表现。请关注能演示你感兴趣的攻击的高品质样本,并记住:数量并不是样本集质量或管理性的良好指标。
3. 样本之外:测试产品如何处理现实世界的攻击
只用恶意软件样本测试,仅能证明一件事情:该产品对付特定恶意软件样本的能力。但你重视的是阻止攻击的效果,而攻击不仅仅是恶意软件。现实世界的攻击者可不依赖被打包的可执行程序。他们会综合使用文档、PowerShell、Python、Java、内置操作系统工具等任何可利用的东西。
可用Metasploit之类渗透测试框架来测试安全解决方案对付现实世界攻击技术的能力。用Veil-Evasion构建攻击载荷,并使用真实攻击中看到的攻击技术。PowerShell Empire 也是打造PowerShell命令行和宏文档的绝佳方式,这些东西都比可执行恶意软件样本好得多。另外,不妨关闭阻止功能,看看样本到底怎么动作的。如果你看不到样本在无防护情况下的动作,又怎么能在样本穿透防护层是进行有效缓解呢?
其他可以用来评估安全产品的标准还包括:产品与现有员工、过程和技术的匹配度,以及产品在自家环境中减少攻击者驻留时间的能力。
4. 最有效的安全产品就是你的团队切实使用的那个
A产品评分98%,B产品评分95%。明显选择A产品,对吧?未必哟。3%的偏差意味着两种产品间的差距其实很小,下一次测试的结果很有可能正好相反。
这种差距不应该成为决定性因素。你要部署的产品应是团队最用得上,最匹配现有安全栈的。即便选择了评分稍低的那款,你也做出了更优良的决策。
别羞于根据自家团队和技术栈的需求来选择安全产品。独立测试机构测的是效果。只有你才能测试适用性。如果买来高评分产品只是束之高阁,那你就是在浪费资金还于自家安全状况毫无帮助。
5. 可见性、测试和响应的重要性
减少自身环境中攻击者的驻留时间就是靠的可见性、检测和响应,再怎么强调这三者的重要性都不为过。
终端安全产品应预防、检测并响应攻击,所以也应从这几方面进行测试。想要阻止现今各种各样的攻击可不仅仅是挡住几千个恶意软件样本那么简单。
每种预防方法总有力有未逮的时候。你怎么知道自身环境中出现了这种状况?安全解决方案应能给出可让你采取动作的信息,而不仅仅是简单的恶意软件拦截。测试解决方案的时候,不妨想想该方案如何应用到攻击者已经成功突破的防御场景下。看该方案能否减轻你作为响应者的压力,能否提供探查攻击范围和影响的可见性,能否让你深入了解现实世界黑客所用的工具、技术和过程。
想要看清产品的可见性、检测和响应功能,不要仅仅围绕预防做文章——关掉预防。如果你的团队找不出关掉预防后的价值,那这个产品就不够好。
相关阅读
