怎樣選擇終端安全產(chǎn)品?這是一份懷疑論者指南
新聞報(bào)道中的數(shù)據(jù)泄露和黑客大戰(zhàn)太多,很容易讓人忽視終端安全設(shè)備測試中的風(fēng)險(xiǎn)。最近幾年,終端安全市場中的測試方法迎來了巨大發(fā)展。這是因?yàn)楹诳驮O(shè)計(jì)高級惡意軟件和防御者檢測這些惡意軟件的技術(shù)都變得越來越復(fù)雜和多樣化了。
防御者需保護(hù)支持各種操作系統(tǒng)各個(gè)發(fā)行版本的終端。現(xiàn)場和云上終端也在防御者必須保護(hù)的范圍內(nèi)。而且他們還得充分考慮到很多終端安全產(chǎn)品與其解決方案架構(gòu)中云元素的獨(dú)特互動(dòng)方式。
令人欣喜的是,今年5月底,反惡意軟件測試標(biāo)準(zhǔn)組織(AMTSO)采納了其第一套賦予高級惡意軟件測試方法透明性的測試協(xié)議。
不過,對IT安全人員而言,AMTSO有何意義呢?很明顯,該組織提升了終端安全市場的透明度。但賣家仍需關(guān)注獨(dú)立測試框架、同儕建議、內(nèi)部需求和終端安全合作選項(xiàng),而不是簡單地依賴AMTSO。
想要確保安全產(chǎn)品測試的完整性,可以遵循以下步驟:
1. 當(dāng)一個(gè)懷疑論者
警惕來自供應(yīng)商的測試建議。對任何供應(yīng)商的測試建議都應(yīng)保持警惕。每當(dāng)他們提出某個(gè)建議,一定要問問為什么。最重要的是,確定該建議是否契合自家公司的特定需求。
2. 供應(yīng)商提供的惡意軟件樣本并非總是合理
這又回到了上面提到的當(dāng)一個(gè)懷疑論者的觀點(diǎn)。供應(yīng)商提供的樣本有時(shí)候會(huì)被調(diào)整成他們的產(chǎn)品特別擅長檢測和緩解的那類。
最壞情況下,樣本甚至沒有任何惡意功能。從供應(yīng)商那里拿樣本時(shí),別拿太多,并讓供應(yīng)商告訴你到底哪里表現(xiàn)出了惡意。
不想用供應(yīng)商的惡意軟件樣本的話,可以使用公共沙箱和分析博客,比如hybrid-analysis.com、virusshare.com、malshare.com 和malware-traffic-analysis.net。
這些站點(diǎn)都是真實(shí)惡意軟件的存儲(chǔ)庫,可以提供深度技術(shù)分析,讓你知道惡意軟件到底應(yīng)該是個(gè)什么表現(xiàn)。請關(guān)注能演示你感興趣的攻擊的高品質(zhì)樣本,并記住:數(shù)量并不是樣本集質(zhì)量或管理性的良好指標(biāo)。
3. 樣本之外:測試產(chǎn)品如何處理現(xiàn)實(shí)世界的攻擊
只用惡意軟件樣本測試,僅能證明一件事情:該產(chǎn)品對付特定惡意軟件樣本的能力。但你重視的是阻止攻擊的效果,而攻擊不僅僅是惡意軟件。現(xiàn)實(shí)世界的攻擊者可不依賴被打包的可執(zhí)行程序。他們會(huì)綜合使用文檔、PowerShell、Python、Java、內(nèi)置操作系統(tǒng)工具等任何可利用的東西。
可用Metasploit之類滲透測試框架來測試安全解決方案對付現(xiàn)實(shí)世界攻擊技術(shù)的能力。用Veil-Evasion構(gòu)建攻擊載荷,并使用真實(shí)攻擊中看到的攻擊技術(shù)。PowerShell Empire 也是打造PowerShell命令行和宏文檔的絕佳方式,這些東西都比可執(zhí)行惡意軟件樣本好得多。另外,不妨關(guān)閉阻止功能,看看樣本到底怎么動(dòng)作的。如果你看不到樣本在無防護(hù)情況下的動(dòng)作,又怎么能在樣本穿透防護(hù)層是進(jìn)行有效緩解呢?
其他可以用來評估安全產(chǎn)品的標(biāo)準(zhǔn)還包括:產(chǎn)品與現(xiàn)有員工、過程和技術(shù)的匹配度,以及產(chǎn)品在自家環(huán)境中減少攻擊者駐留時(shí)間的能力。
4. 最有效的安全產(chǎn)品就是你的團(tuán)隊(duì)切實(shí)使用的那個(gè)
A產(chǎn)品評分98%,B產(chǎn)品評分95%。明顯選擇A產(chǎn)品,對吧?未必喲。3%的偏差意味著兩種產(chǎn)品間的差距其實(shí)很小,下一次測試的結(jié)果很有可能正好相反。
這種差距不應(yīng)該成為決定性因素。你要部署的產(chǎn)品應(yīng)是團(tuán)隊(duì)最用得上,最匹配現(xiàn)有安全棧的。即便選擇了評分稍低的那款,你也做出了更優(yōu)良的決策。
別羞于根據(jù)自家團(tuán)隊(duì)和技術(shù)棧的需求來選擇安全產(chǎn)品。獨(dú)立測試機(jī)構(gòu)測的是效果。只有你才能測試適用性。如果買來高評分產(chǎn)品只是束之高閣,那你就是在浪費(fèi)資金還于自家安全狀況毫無幫助。
5. 可見性、測試和響應(yīng)的重要性
減少自身環(huán)境中攻擊者的駐留時(shí)間就是靠的可見性、檢測和響應(yīng),再怎么強(qiáng)調(diào)這三者的重要性都不為過。
終端安全產(chǎn)品應(yīng)預(yù)防、檢測并響應(yīng)攻擊,所以也應(yīng)從這幾方面進(jìn)行測試。想要阻止現(xiàn)今各種各樣的攻擊可不僅僅是擋住幾千個(gè)惡意軟件樣本那么簡單。
每種預(yù)防方法總有力有未逮的時(shí)候。你怎么知道自身環(huán)境中出現(xiàn)了這種狀況?安全解決方案應(yīng)能給出可讓你采取動(dòng)作的信息,而不僅僅是簡單的惡意軟件攔截。測試解決方案的時(shí)候,不妨想想該方案如何應(yīng)用到攻擊者已經(jīng)成功突破的防御場景下。看該方案能否減輕你作為響應(yīng)者的壓力,能否提供探查攻擊范圍和影響的可見性,能否讓你深入了解現(xiàn)實(shí)世界黑客所用的工具、技術(shù)和過程。
想要看清產(chǎn)品的可見性、檢測和響應(yīng)功能,不要僅僅圍繞預(yù)防做文章——關(guān)掉預(yù)防。如果你的團(tuán)隊(duì)找不出關(guān)掉預(yù)防后的價(jià)值,那這個(gè)產(chǎn)品就不夠好。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
