怎樣選擇終端安全產品?這是一份懷疑論者指南
新聞報道中的資料洩露和黑客大戰太多,很容易讓人忽視終端安全裝置測試中的風險。最近幾年,終端安全市場中的測試方法迎來了巨大發展。這是因為黑客設計高階惡意軟體和防禦者檢測這些惡意軟體的技術都變得越來越複雜和多樣化了。
防禦者需保護支援各種作業系統各個發行版本的終端。現場和雲上終端也在防禦者必須保護的範圍內。而且他們還得充分考慮到很多終端安全產品與其解決方案架構中雲元素的獨特互動方式。
令人欣喜的是,今年5月底,反惡意軟體測試標準組織(AMTSO)採納了其第一套賦予高階惡意軟體測試方法透明性的測試協議。
不過,對IT安全人員而言,AMTSO有何意義呢?很明顯,該組織提升了終端安全市場的透明度。但賣家仍需關注獨立測試框架、同儕建議、內部需求和終端安全合作選項,而不是簡單地依賴AMTSO。
想要確保安全產品測試的完整性,可以遵循以下步驟:
1. 當一個懷疑論者
警惕來自供應商的測試建議。對任何供應商的測試建議都應保持警惕。每當他們提出某個建議,一定要問問為什麼。最重要的是,確定該建議是否契合自家公司的特定需求。
2. 供應商提供的惡意軟體樣本並非總是合理
這又回到了上面提到的當一個懷疑論者的觀點。供應商提供的樣本有時候會被調整成他們的產品特別擅長檢測和緩解的那類。
最壞情況下,樣本甚至沒有任何惡意功能。從供應商那裡拿樣本時,別拿太多,並讓供應商告訴你到底哪裡表現出了惡意。
不想用供應商的惡意軟體樣本的話,可以使用公共沙箱和分析部落格,比如h ybrid-analysis.com 、 virusshare.com 、 malshare.com 和 ofollow,noindex">malware-traffic-analysis.net 。
這些站點都是真實惡意軟體的儲存庫,可以提供深度技術分析,讓你知道惡意軟體到底應該是個什麼表現。請關注能演示你感興趣的攻擊的高品質樣本,並記住:數量並不是樣本集質量或管理性的良好指標。
3. 樣本之外:測試產品如何處理現實世界的攻擊
只用惡意軟體樣本測試,僅能證明一件事情:該產品對付特定惡意軟體樣本的能力。但你重視的是阻止攻擊的效果,而攻擊不僅僅是惡意軟體。現實世界的攻擊者可不依賴被打包的可執行程式。他們會綜合使用文件、Shell/">PowerShell、Python、Java、內建作業系統工具等任何可利用的東西。
可用Metasploit之類滲透測試框架來測試安全解決方案對付現實世界攻擊技術的能力。用Veil-Evasion構建攻擊載荷,並使用真實攻擊中看到的攻擊技術。PowerShell Empire 也是打造PowerShell命令列和巨集文件的絕佳方式,這些東西都比可執行惡意軟體樣本好得多。另外,不妨關閉阻止功能,看看樣本到底怎麼動作的。如果你看不到樣本在無防護情況下的動作,又怎麼能在樣本穿透防護層是進行有效緩解呢?
其他可以用來評估安全產品的標準還包括:產品與現有員工、過程和技術的匹配度,以及產品在自家環境中減少攻擊者駐留時間的能力。
4. 最有效的安全產品就是你的團隊切實使用的那個
A產品評分98%,B產品評分95%。明顯選擇A產品,對吧?未必喲。3%的偏差意味著兩種產品間的差距其實很小,下一次測試的結果很有可能正好相反。
這種差距不應該成為決定性因素。你要部署的產品應是團隊最用得上,最匹配現有安全棧的。即便選擇了評分稍低的那款,你也做出了更優良的決策。
別羞於根據自家團隊和技術棧的需求來選擇安全產品。獨立測試機構測的是效果。只有你才能測試適用性。如果買來高評分產品只是束之高閣,那你就是在浪費資金還於自家安全狀況毫無幫助。
5. 可見性、測試和響應的重要性
減少自身環境中攻擊者的駐留時間就是靠的可見性、檢測和響應,再怎麼強調這三者的重要性都不為過。
終端安全產品應預防、檢測並響應攻擊,所以也應從這幾方面進行測試。想要阻止現今各種各樣的攻擊可不僅僅是擋住幾千個惡意軟體樣本那麼簡單。
每種預防方法總有力有未逮的時候。你怎麼知道自身環境中出現了這種狀況?安全解決方案應能給出可讓你採取動作的資訊,而不僅僅是簡單的惡意軟體攔截。測試解決方案的時候,不妨想想該方案如何應用到攻擊者已經成功突破的防禦場景下。看該方案能否減輕你作為響應者的壓力,能否提供探查攻擊範圍和影響的可見性,能否讓你深入瞭解現實世界黑客所用的工具、技術和過程。
想要看清產品的可見性、檢測和響應功能,不要僅僅圍繞預防做文章——關掉預防。如果你的團隊找不出關掉預防後的價值,那這個產品就不夠好。