安全談:如何對企業級安全軟件進行評測
前一陣,筆者參加了有關企業級安全軟件評測的交流會。會后,筆者還與評測專家進行深入的交流。如何對企業級安全軟件進行有效評測一直是筆者很感興趣的內容,所以當時本打算就自己所聽所感馬上成文。可隨著和評測專家更深入的交流,隨著越來越多評測資料的查閱,突然發現自己似乎無從下筆了。
提到評測相信很多相關專業人員都會隨口說出:黑盒測試、白盒測試、灰盒測試、靜態測試、動態測試、功能測試、性能測試、壓力測試、負載測試……等諸多IT軟件、硬件產品的評測方法。而提到安全軟件產品測試時,許多人第一個想到的可能就是病毒庫測試,看看這些安全軟件到底能掃出多少病毒。相信還會有人提到諸如靜態掃描測試、動態防御測試、誤報測試、安全性測試等等。
在2000年的時候有病毒1500個;2002年達到了2萬多;2005年是11萬;到了2007年達到60萬;2008年全球的惡意病毒達到了180萬;2009年已知的病毒會比2008年翻一番還要多。在2006年的時候如果一臺電腦沒有進行適當的防護,聯上網在17分鐘之內就會受到病毒的傳染。那么現在呢,同樣一臺電腦,聯網后最快的在4分鐘之內就會被來自網絡的病毒感染。病毒數量正在急速增長,最公平有效地病毒庫測試方法就是搜集當今世界所有有效病毒進行掃描測試,但很顯然,這是完全不可能的事情。不提如何搜集這些病毒,單就如此龐大的病毒庫進行掃描所消耗的時間就不是評測所能接受的。
在評測交流會上,來自賽門鐵克安全技術與響應中心的終端防護產品集團經理John Harrison先生就明確表示,他并不贊同這種病毒庫掃描測試方法。筆者在與評測專家交流過程中,評測專家也表示,病毒庫掃描測試實際上存在很大的偶然性,可能恰好這個病毒庫里的所有病毒都被某款安全軟件的病毒庫所收錄,也可能恰好有那么幾個病毒還暫時沒被某些安全軟件的病毒庫所收錄。那么沒有掃描檢測出這幾個病毒的安全軟件是否就不好呢?
病毒庫掃描做為最有效地安全軟件評測方法,卻存在這種無可避免的“偶然性”因素,也就決定了病毒庫掃描不能作為評測最重要參考依據,有些環境下,病毒庫掃描甚至僅僅可以作為參考數據。
其實對于安全軟件,特別是企業級安全軟件來說,主要進行的還是黑盒測試,也就是:性能測試、功能測試、安全性測試。只有在特殊需求情況下才進行白盒測試,檢測其代碼是否存在瑕疵、缺陷。
對企業級安全產品進行評測,首先要設置虛擬環境,在這個虛擬環境里主要體現的是用戶操作習慣,也就是體現用戶平常都是怎樣使用電腦,使用電腦都進行哪些操作。因為安裝在用戶(客戶端)的安全軟件是為了保護用戶正常使用計算機,而不是讓其變成專用殺毒機。所以,在這種真實模擬用戶使用情況環境中的測試才最為有效。
然后仔細閱讀研究安全軟件白皮書,針對其所提供功能進行相關測試。比如Symantec Endpoint Protection Small Business Edition的主要功能包含:反病毒/反間諜軟件、桌面防火墻、入侵防護、一般攻擊程式攔截。而Symantec Endpoint Protection除上述四項功能外還多出了:設備和應用控制、Antivirus for Linux這兩項。那也就意味著需要對前者進行四項功能測試,對后者進行六項功能測試。
在進行單項測試過程中,比如掃描惡意軟件。如果有10個惡意軟件樣本,那首先需要測試是否能掃描到10個數量的問題文件,即發現。然后結束本次測試,重新設置初始干凈系統環境,再測試能否探測并阻止單個惡意軟件,依次對10個不同樣本,進行10次初始干凈系統環境下單一樣本測試。這樣主要是為了防止連續測試過程中,不同惡意軟件的交叉破壞影響到安全軟件的實際測試數據。
在測試的過程中,需要時刻注意測試過程中,測試環境所發生的變化,是否影響到用戶的正常使用。如果影響了用戶的正常使用,那么哪怕測試通過,也是一次失敗測試。也就是說,哪怕安全軟件成功阻止了一次安全威脅,但也同時使得用戶無法正常工作,那么安全軟件在這個測試中也沒有起到其應有作用——在不影響用戶的情況下,清除安全威脅。
直接使用病毒庫由于具有“偶然性”因素,那么通過分析各類安全威脅,使用特殊軟件模擬安全威脅感染途徑、感染方法、造成的破壞,然后用此模擬安全威脅對安全軟件進行測試,也是一個不錯的方法。John Harrison先生還就此在交流會現場進行了演示,可惜當時受環境所限,筆者無法將此精彩部分錄制為視頻與各位網友共享。
當然極限環境下的安全軟件性能測試,安全軟件自身的安全性——即安全軟件自身是否安全——測試也是十分重要的測試項目。
如何能對企業級安全軟件進行最為有效的評測,目前還沒有一個統一標準,甚至有些測試方法還存有爭議。不過有一點倒是評測的共同標準:安全軟件的運行是否能夠保障企業網絡環境不受威脅,使得用戶能夠正常工作。
東一句、西一句,說得有些雜亂,不過這些也正是筆者對此次企業級安全軟件評測交流會的一點心得。歡迎各位資深評測專家指出文章所述可能存在的技術問題,并予以討論。
最后感謝組織此次評測技術交流會的賽門鐵克,以及Robert Pregnell先生與John Harrison先生的精彩講解。也希望能有更多機會與更多安全技術專家就安全技術問題進行深入的交流討論。
