多數安全產品的初始認證測試都是失敗的
原創【51CTO.com獨家翻譯】一項對二十多年間成千上萬款安全產品進行調查的研究發現,大多數產品獲得認證之前需要經過多輪測試。
周一發布的一份報告指出,78%的安全產品在首次測試時不能按照計劃運行,并且需要至少兩輪的進一步測試才獲得認證。
這份《ICSA 實驗室產品保證報告》來自 ICSA 實驗室,它是 Verizon Business 公司的一個部門。這份報告是與 Verizon Bussiness 公司的數據破壞調研團隊聯合推出的,調查結果基于對過去二十多年間的上千款安全產品測試的調查和研究。
這份報告的目的是讓購買者認識到“在安全產品領域,所有事情并非是表面看到的那樣”,并且讓銷售商了解認證流程中常見的易犯的錯誤。
ISCA 實驗室總經理喬治·杰帕克(George Japak)和該報告的一個聯合作者在一項聲明中指出,銷售商應將認證失敗視為提升他們產品性能的機會。
僅有 4% 的產品在第一輪測試時通過認證。不過,大多數銷售商都致力于彌補他們產品中的缺點,并再次提交進行認證。結果是 82% 的提交產品最終獲得了認證。
82% 這一數字是平均值,其中包含了殺毒軟件、網絡防火墻、Wep 應用程序防火墻、網絡 IPS、IPsec VPN、SSL VPN 以及定制測試產品。對于這些產品列表中大多數,最終獲得認證的產品百分比范圍為:80%至100%。但其中一個類別——網絡 IPS——是一個例外:僅有 29% 的網絡 IPS 產品獲得了認證。報告稱該類別產品包含了那些具有嚴格測試要求的復雜科技,并指出許多銷售商因無法通過這些嚴格的測試而在認證流程中被淘汰。
這些認證失敗的根本原因在于經過測試的產品沒能夠做到他們應該完成的功能。
對于殺毒產品,失敗原因在于無法阻止病毒,而對于IPS(防止入侵系統),在于沒有能夠屏蔽惡意網絡攻擊。
未能正確地記錄數據日志是認證失敗的第二個最常見的原因。
安全問題是認證失敗的第三個最常見原因。44% 的安全產品都出現這種問題。
“更具諷刺意味的例子之一是,我們曾遇到一個 Web 應用程序防火墻,它在Web 管理界面中暴露了大量脆弱點,”該報告。“對于定制測試程序、Web 應用程序防火墻和網絡防火墻程序,跨站腳本編程、SQL 注入、緩沖區溢出漏洞和未加密管理界面是一些常見的安全問題。”
【51CTO.com 獨家翻譯,轉載請注明出處及作者!】
【編輯推薦】
