怎樣選擇終端安全產品?這是一份懷疑論者指南
新聞報道中的數據泄露和黑客大戰太多,很容易讓人忽視終端安全設備測試中的風險。最近幾年,終端安全市場中的測試方法迎來了巨大發展。這是因為黑客設計高級惡意軟件和防御者檢測這些惡意軟件的技術都變得越來越復雜和多樣化了。
防御者需保護支持各種操作系統各個發行版本的終端。現場和云上終端也在防御者必須保護的范圍內。而且他們還得充分考慮到很多終端安全產品與其解決方案架構中云元素的獨特互動方式。
令人欣喜的是,今年5月底,反惡意軟件測試標準組織(AMTSO)采納了其第一套賦予高級惡意軟件測試方法透明性的測試協議。
不過,對IT安全人員而言,AMTSO有何意義呢?很明顯,該組織提升了終端安全市場的透明度。但賣家仍需關注獨立測試框架、同儕建議、內部需求和終端安全合作選項,而不是簡單地依賴AMTSO。
想要確保安全產品測試的完整性,可以遵循以下步驟:
1. 當一個懷疑論者
警惕來自供應商的測試建議。對任何供應商的測試建議都應保持警惕。每當他們提出某個建議,一定要問問為什么。最重要的是,確定該建議是否契合自家公司的特定需求。
2. 供應商提供的惡意軟件樣本并非總是合理
這又回到了上面提到的當一個懷疑論者的觀點。供應商提供的樣本有時候會被調整成他們的產品特別擅長檢測和緩解的那類。
最壞情況下,樣本甚至沒有任何惡意功能。從供應商那里拿樣本時,別拿太多,并讓供應商告訴你到底哪里表現出了惡意。
不想用供應商的惡意軟件樣本的話,可以使用公共沙箱和分析博客,比如hybrid-analysis.com、virusshare.com、malshare.com 和malware-traffic-analysis.net。
這些站點都是真實惡意軟件的存儲庫,可以提供深度技術分析,讓你知道惡意軟件到底應該是個什么表現。請關注能演示你感興趣的攻擊的高品質樣本,并記住:數量并不是樣本集質量或管理性的良好指標。
3. 樣本之外:測試產品如何處理現實世界的攻擊
只用惡意軟件樣本測試,僅能證明一件事情:該產品對付特定惡意軟件樣本的能力。但你重視的是阻止攻擊的效果,而攻擊不僅僅是惡意軟件。現實世界的攻擊者可不依賴被打包的可執行程序。他們會綜合使用文檔、PowerShell、Python、Java、內置操作系統工具等任何可利用的東西。
可用Metasploit之類滲透測試框架來測試安全解決方案對付現實世界攻擊技術的能力。用Veil-Evasion構建攻擊載荷,并使用真實攻擊中看到的攻擊技術。PowerShell Empire 也是打造PowerShell命令行和宏文檔的絕佳方式,這些東西都比可執行惡意軟件樣本好得多。另外,不妨關閉阻止功能,看看樣本到底怎么動作的。如果你看不到樣本在無防護情況下的動作,又怎么能在樣本穿透防護層是進行有效緩解呢?
其他可以用來評估安全產品的標準還包括:產品與現有員工、過程和技術的匹配度,以及產品在自家環境中減少攻擊者駐留時間的能力。
4. 最有效的安全產品就是你的團隊切實使用的那個
A產品評分98%,B產品評分95%。明顯選擇A產品,對吧?未必喲。3%的偏差意味著兩種產品間的差距其實很小,下一次測試的結果很有可能正好相反。
這種差距不應該成為決定性因素。你要部署的產品應是團隊最用得上,最匹配現有安全棧的。即便選擇了評分稍低的那款,你也做出了更優良的決策。
別羞于根據自家團隊和技術棧的需求來選擇安全產品。獨立測試機構測的是效果。只有你才能測試適用性。如果買來高評分產品只是束之高閣,那你就是在浪費資金還于自家安全狀況毫無幫助。
5. 可見性、測試和響應的重要性
減少自身環境中攻擊者的駐留時間就是靠的可見性、檢測和響應,再怎么強調這三者的重要性都不為過。
終端安全產品應預防、檢測并響應攻擊,所以也應從這幾方面進行測試。想要阻止現今各種各樣的攻擊可不僅僅是擋住幾千個惡意軟件樣本那么簡單。
每種預防方法總有力有未逮的時候。你怎么知道自身環境中出現了這種狀況?安全解決方案應能給出可讓你采取動作的信息,而不僅僅是簡單的惡意軟件攔截。測試解決方案的時候,不妨想想該方案如何應用到攻擊者已經成功突破的防御場景下。看該方案能否減輕你作為響應者的壓力,能否提供探查攻擊范圍和影響的可見性,能否讓你深入了解現實世界黑客所用的工具、技術和過程。
想要看清產品的可見性、檢測和響應功能,不要僅僅圍繞預防做文章——關掉預防。如果你的團隊找不出關掉預防后的價值,那這個產品就不夠好。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
