基于現(xiàn)實(shí)環(huán)境的全面測試
在看完這段視頻后���,大家可能就會發(fā)現(xiàn)讓我著迷于NSS實(shí)驗(yàn)室的某些原因。里克和他的團(tuán)隊(duì)采用了獨(dú)特的方式來對設(shè)備以及軟件進(jìn)行測試�����。一有可能����,他們就會針對現(xiàn)實(shí)環(huán)境進(jìn)行取樣。對此��,里克是這么解釋的:
在基于現(xiàn)實(shí)環(huán)境的全面測試中�����,最關(guān)鍵的部分就是采用目前網(wǎng)絡(luò)犯罪分子正在使用的實(shí)時(shí)攻擊技術(shù)��。而NSS實(shí)驗(yàn)室分布在全球的威脅情報(bào)網(wǎng)絡(luò)正在對40個(gè)不同國家里的威脅態(tài)勢保持著持續(xù)監(jiān)視��。
現(xiàn)實(shí)環(huán)境中發(fā)生的問題可以直接反饋到我們的現(xiàn)場測試工具上�。這樣的話,我們就可以讓產(chǎn)品同時(shí)運(yùn)行在各種配置上�,并針對連接到互聯(lián)網(wǎng)上出現(xiàn)的實(shí)時(shí)威脅攻擊進(jìn)行測試。這種模式讓我們可以實(shí)現(xiàn)防范來自任何特定時(shí)刻中現(xiàn)實(shí)威脅的目標(biāo)�,并針對用戶保護(hù)情況作出最準(zhǔn)確的評估。
據(jù)我所知�,沒有其它測試機(jī)構(gòu)可以做到這一點(diǎn)。為了確保沒有記錯����,我特地詢問里克以便確定:
是的,我們確實(shí)屬于獨(dú)一無二的選擇�����。首先,其它測試機(jī)構(gòu)(實(shí)驗(yàn)室和企業(yè)技術(shù)團(tuán)隊(duì))沒有建立起這么高級別的可見性或訪問技術(shù)來應(yīng)對全球性威脅�。他們通常采用的是功能和方式有限的免費(fèi)或現(xiàn)成產(chǎn)品。
而我們所使用的現(xiàn)場測試工具則屬于完全自主設(shè)計(jì)和內(nèi)部開發(fā)的��。建立并運(yùn)行這種類型的基礎(chǔ)設(shè)施就意味著大量復(fù)雜工作以及高昂成本�。對于供應(yīng)商贊助的測試實(shí)驗(yàn)室來說,技術(shù)和財(cái)務(wù)方面的限制都會讓這種高效自動化的處理流程無法得以實(shí)現(xiàn)���。
大家現(xiàn)在明白了����,為什么在涉及到防火墻問題的時(shí)間����,我會毫不猶豫地直接聯(lián)系里克的原因么。
下一代防火墻面對的測試環(huán)境
對下一代防火墻進(jìn)行實(shí)際測試確實(shí)超出了我個(gè)人的能力范圍�,但對于NSS實(shí)驗(yàn)室來說,答案顯然就是否定的——這里就是下一代防火墻測試方法的書面文檔���。對于正在認(rèn)真考慮購買下一代防火墻的讀者來說�����,我個(gè)人強(qiáng)烈建議仔細(xì)閱讀一下這些資料。
從文件的一個(gè)章節(jié)中,我發(fā)現(xiàn)NSS實(shí)驗(yàn)室建立的測試網(wǎng)絡(luò)非常有趣��。
在測試中��,NSS實(shí)驗(yàn)室采用了思科Catalyst 6500系列交換機(jī)(光纖和銅纜千兆接口)來建立一張配置多個(gè)千兆接口的網(wǎng)絡(luò)����。
網(wǎng)絡(luò)流量發(fā)送和接受設(shè)備——采用的是BreakingPoint和思博倫Smartbits之類的傳輸端口——實(shí)現(xiàn)“內(nèi)部”和“外部”網(wǎng)絡(luò)之間的連接。
攻擊者可以連接到外部網(wǎng)絡(luò)上����,而與此同時(shí)易受攻擊的主機(jī)和面向互聯(lián)網(wǎng)的服務(wù)器 (如Web、FTP等等)則會連接到包括非軍事化區(qū)域(DMZ)的內(nèi)部網(wǎng)絡(luò)�。這讓我們可以根據(jù)產(chǎn)品的部署和使用情況針對多種方案進(jìn)行全面的性能測試。
看起來����,NSS實(shí)驗(yàn)室似乎做好了進(jìn)行完全測試的準(zhǔn)備。但是�,我希望對下一代防火墻相關(guān)情況進(jìn)行更為深入的了解。而下面列出的內(nèi)容��,就是我所找到的�。
卡斯勒:剛才,你介紹了現(xiàn)實(shí)威脅以及網(wǎng)絡(luò)方面的情況�����。因此,現(xiàn)在的問題就是:在對下一代防火墻進(jìn)行測試的時(shí)間�����,你究竟會怎么做?
莫伊:在針對下一代防火墻的第一次全面測試中����,我們會將重點(diǎn)集中在基本功能、性能以及應(yīng)對受控攻擊的有效性等領(lǐng)域中�。這些攻擊將來自互聯(lián)網(wǎng)、類似Metasploit和ExploitHub的開源工具以及其它行業(yè)合作伙伴�����。
我們將利用1500多種獨(dú)立方式來攻擊通用漏洞披露(CVE)系統(tǒng);考慮到所模擬的是非常關(guān)鍵的企業(yè)環(huán)境��,因此還將使用到通用安全漏洞評估系統(tǒng)(CVSS-7+)���。這里面將包含有遠(yuǎn)程服務(wù)器攻擊��,以及大量針對瀏覽器����、插件和辦公應(yīng)用軟件的客戶端攻擊。
在針對隱藏在下一代防火墻后面的目標(biāo)機(jī)器進(jìn)行攻擊后�,我們將對目標(biāo)機(jī)器返回的命令外殼程序進(jìn)行監(jiān)測。如果做到了這一點(diǎn)����,就意味著攻擊者獲得了終端的完全控制權(quán)�����。而這就說明攻擊獲得了成功���,下一代防火墻沒有起到有效的保護(hù)作用���。
即便在沒有連接到互聯(lián)網(wǎng)的情況下,我們就已經(jīng)發(fā)現(xiàn)了幾個(gè)客戶必須認(rèn)識到的問題和限制��。下一階段的測試將在第二季度開始�����,我們將利用來自互聯(lián)網(wǎng)上的威脅對下一代防火墻進(jìn)行測試�。
卡斯勒:在文檔中,你提到了測試的具體標(biāo)準(zhǔn)��,里面包括了:安全有效性、抗規(guī)避性���、性能�����、穩(wěn)定性以及總體擁有成本�����。你能否對所有類別進(jìn)行一下簡要說明?我特別感興趣的就是“抗規(guī)避性”�����。它究竟是什么意思?
莫伊:除了現(xiàn)場測試架構(gòu)以外�����,我們還建立了一張包含有漏洞系統(tǒng)和攻擊系統(tǒng)的大型內(nèi)部網(wǎng)絡(luò)��,以便進(jìn)行安全有效性方面的測試����。只有通過對現(xiàn)實(shí)攻擊所產(chǎn)生的后果進(jìn)行深入了解,我們才能夠發(fā)現(xiàn)哪些產(chǎn)品可以真正阻止它們��。
規(guī)避技術(shù)指的是攻擊者對采用的入侵形式進(jìn)行偽裝以達(dá)到繞過傳統(tǒng)安全工具針對原始攻擊所進(jìn)行檢測的模式����。在測試中,我們會對攻擊進(jìn)行調(diào)整����,就如同真正的惡意黑客所以做的那樣���,看看哪些產(chǎn)品會發(fā)現(xiàn)原始以及變形后的攻擊�����。
在性能測試中�����,我們會利用BreakingPoint系統(tǒng)來提供最高80 Gbps的現(xiàn)實(shí)網(wǎng)絡(luò)流量�。當(dāng)然�����,數(shù)據(jù)吞吐量僅僅屬于測試中很小的一部分內(nèi)容�。對于數(shù)據(jù)中心和外圍設(shè)備來說��,潛伏期的影響�����、每秒連接數(shù)以及可以達(dá)到的最大并發(fā)連接數(shù)等項(xiàng)目才屬于關(guān)鍵參數(shù)���。
穩(wěn)定性測試是我們測試中最困難的項(xiàng)目之一。我們將會運(yùn)行電池相關(guān)方面的協(xié)議以進(jìn)行長達(dá)數(shù)天之久的模糊以及突變測試���。在我們針對下一代防火墻進(jìn)行的測試中���,有一半產(chǎn)品在這一步中剛開始就以某種方式崩潰。
最后�,終于到了總體擁有成本分析階段。現(xiàn)在���,我們將針對很多涉及因素進(jìn)行全面分析��。由于價(jià)值并不僅僅局限在成本之中���,所以我們也將針對:
每兆位/秒的安全性會有多高。
產(chǎn)品規(guī)模是否會給工作人員帶來壓力。
管理控制臺和模式是否需要額外的運(yùn)營商來對提示信息進(jìn)行監(jiān)測和處理�。
卡斯勒:在測試完幾種模式的下一代防火墻后,你覺得測試結(jié)果中的哪些產(chǎn)品以及什么功能屬于比較令人向往的?
莫伊:我們向所有防火墻供應(yīng)商都發(fā)出了提交產(chǎn)品進(jìn)行免費(fèi)測試的邀請�����。最終的結(jié)果是收到了來自梭子魚��、Check Point����、飛塔、瞻博���、帕洛阿爾托網(wǎng)絡(luò)、音墻網(wǎng)絡(luò)和磐石網(wǎng)絡(luò)等公司的參評設(shè)備���。
該測試的研究報(bào)告���、測試結(jié)果、RFP工具以及分析服務(wù)都提供了訂閱選項(xiàng)��。感興趣的讀者也可以訪問我們的網(wǎng)站來獲取更多信息��。
卡斯勒:里克,我知道你對于第一代防火墻有著非常深入的了解——你覺得下一代防火墻的進(jìn)步很大么?公司是否應(yīng)該開始考慮更換現(xiàn)有的系統(tǒng)了?
莫伊:下一代其實(shí)屬于營銷方面的術(shù)語��,它并不一定意味著對于所有公司和應(yīng)用案例的實(shí)際效果都會“更好”��。公司需要做的是認(rèn)真考慮自身實(shí)際需求�����,而是否屬于下一代防火墻并不屬于很重要的問題���。
舉例來說�,很多下一代防火墻產(chǎn)品中都包含了性能和潛伏期方面的功能��,這導(dǎo)致會無法針對特定應(yīng)用程序和數(shù)據(jù)的需求進(jìn)行有效處理���。而這里面就可能會包含有市場交易數(shù)據(jù)或者實(shí)時(shí)的低延遲應(yīng)用��。
更有趣的是��,很多產(chǎn)品還表現(xiàn)出第一代產(chǎn)品就有的典型質(zhì)量問題:穩(wěn)定性��、性能和管理等方面的困難���。由于從很多方面來看��,下一代防火墻都屬于全新的產(chǎn)品�。所以�,用戶不能抱有將防火墻加進(jìn)入侵防御系統(tǒng)就開始幻想以后可以萬事無憂了的態(tài)度。實(shí)際上����,添加應(yīng)用程序標(biāo)識以及控制方面的工作反而會變得更加具挑戰(zhàn)性。供應(yīng)商將不得不對這些產(chǎn)品的體系結(jié)構(gòu)進(jìn)行重新考慮����。
最后的思考
提醒一下,千萬別忘了感謝某位客戶公司的員工���。要不是他的話——以及我的自負(fù)——就不能讓我可以向客戶提供更好的建議了?�,F(xiàn)在,基于NSS實(shí)驗(yàn)室的測試�,她就可以針對下一代防火墻是否適合自身業(yè)務(wù)情況作出決定了。
