基于現(xiàn)實環(huán)境的全面測試
在看完這段視頻后,大家可能就會發(fā)現(xiàn)讓我著迷于NSS實驗室的某些原因。里克和他的團隊采用了獨特的方式來對設(shè)備以及軟件進行測試。一有可能,他們就會針對現(xiàn)實環(huán)境進行取樣����。對此�,里克是這么解釋的:
在基于現(xiàn)實環(huán)境的全面測試中,最關(guān)鍵的部分就是采用目前網(wǎng)絡(luò)犯罪分子正在使用的實時攻擊技術(shù)��。而NSS實驗室分布在全球的威脅情報網(wǎng)絡(luò)正在對40個不同國家里的威脅態(tài)勢保持著持續(xù)監(jiān)視��。
現(xiàn)實環(huán)境中發(fā)生的問題可以直接反饋到我們的現(xiàn)場測試工具上�����。這樣的話,我們就可以讓產(chǎn)品同時運行在各種配置上�,并針對連接到互聯(lián)網(wǎng)上出現(xiàn)的實時威脅攻擊進行測試。這種模式讓我們可以實現(xiàn)防范來自任何特定時刻中現(xiàn)實威脅的目標���,并針對用戶保護情況作出最準確的評估��。
據(jù)我所知��,沒有其它測試機構(gòu)可以做到這一點�����。為了確保沒有記錯�,我特地詢問里克以便確定:
是的����,我們確實屬于獨一無二的選擇。首先�����,其它測試機構(gòu)(實驗室和企業(yè)技術(shù)團隊)沒有建立起這么高級別的可見性或訪問技術(shù)來應(yīng)對全球性威脅����。他們通常采用的是功能和方式有限的免費或現(xiàn)成產(chǎn)品�����。
而我們所使用的現(xiàn)場測試工具則屬于完全自主設(shè)計和內(nèi)部開發(fā)的。建立并運行這種類型的基礎(chǔ)設(shè)施就意味著大量復雜工作以及高昂成本����。對于供應(yīng)商贊助的測試實驗室來說,技術(shù)和財務(wù)方面的限制都會讓這種高效自動化的處理流程無法得以實現(xiàn)��。
大家現(xiàn)在明白了����,為什么在涉及到防火墻問題的時間,我會毫不猶豫地直接聯(lián)系里克的原因么���。
下一代防火墻面對的測試環(huán)境
對下一代防火墻進行實際測試確實超出了我個人的能力范圍���,但對于NSS實驗室來說,答案顯然就是否定的——這里就是下一代防火墻測試方法的書面文檔�����。對于正在認真考慮購買下一代防火墻的讀者來說,我個人強烈建議仔細閱讀一下這些資料����。
從文件的一個章節(jié)中,我發(fā)現(xiàn)NSS實驗室建立的測試網(wǎng)絡(luò)非常有趣�����。
在測試中�����,NSS實驗室采用了思科Catalyst 6500系列交換機(光纖和銅纜千兆接口)來建立一張配置多個千兆接口的網(wǎng)絡(luò)��。
網(wǎng)絡(luò)流量發(fā)送和接受設(shè)備——采用的是BreakingPoint和思博倫Smartbits之類的傳輸端口——實現(xiàn)“內(nèi)部”和“外部”網(wǎng)絡(luò)之間的連接��。
攻擊者可以連接到外部網(wǎng)絡(luò)上�,而與此同時易受攻擊的主機和面向互聯(lián)網(wǎng)的服務(wù)器 (如Web、FTP等等)則會連接到包括非軍事化區(qū)域(DMZ)的內(nèi)部網(wǎng)絡(luò)�。這讓我們可以根據(jù)產(chǎn)品的部署和使用情況針對多種方案進行全面的性能測試。
看起來��,NSS實驗室似乎做好了進行完全測試的準備��。但是��,我希望對下一代防火墻相關(guān)情況進行更為深入的了解。而下面列出的內(nèi)容����,就是我所找到的。
卡斯勒:剛才�,你介紹了現(xiàn)實威脅以及網(wǎng)絡(luò)方面的情況。因此���,現(xiàn)在的問題就是:在對下一代防火墻進行測試的時間,你究竟會怎么做?
莫伊:在針對下一代防火墻的第一次全面測試中���,我們會將重點集中在基本功能�、性能以及應(yīng)對受控攻擊的有效性等領(lǐng)域中�。這些攻擊將來自互聯(lián)網(wǎng)、類似Metasploit和ExploitHub的開源工具以及其它行業(yè)合作伙伴��。
我們將利用1500多種獨立方式來攻擊通用漏洞披露(CVE)系統(tǒng);考慮到所模擬的是非常關(guān)鍵的企業(yè)環(huán)境��,因此還將使用到通用安全漏洞評估系統(tǒng)(CVSS-7+)���。這里面將包含有遠程服務(wù)器攻擊�,以及大量針對瀏覽器����、插件和辦公應(yīng)用軟件的客戶端攻擊��。
在針對隱藏在下一代防火墻后面的目標機器進行攻擊后��,我們將對目標機器返回的命令外殼程序進行監(jiān)測���。如果做到了這一點,就意味著攻擊者獲得了終端的完全控制權(quán)����。而這就說明攻擊獲得了成功,下一代防火墻沒有起到有效的保護作用�����。
即便在沒有連接到互聯(lián)網(wǎng)的情況下����,我們就已經(jīng)發(fā)現(xiàn)了幾個客戶必須認識到的問題和限制。下一階段的測試將在第二季度開始�����,我們將利用來自互聯(lián)網(wǎng)上的威脅對下一代防火墻進行測試����。
卡斯勒:在文檔中���,你提到了測試的具體標準,里面包括了:安全有效性��、抗規(guī)避性�����、性能��、穩(wěn)定性以及總體擁有成本����。你能否對所有類別進行一下簡要說明?我特別感興趣的就是“抗規(guī)避性”���。它究竟是什么意思?
莫伊:除了現(xiàn)場測試架構(gòu)以外�����,我們還建立了一張包含有漏洞系統(tǒng)和攻擊系統(tǒng)的大型內(nèi)部網(wǎng)絡(luò)��,以便進行安全有效性方面的測試�����。只有通過對現(xiàn)實攻擊所產(chǎn)生的后果進行深入了解��,我們才能夠發(fā)現(xiàn)哪些產(chǎn)品可以真正阻止它們��。
規(guī)避技術(shù)指的是攻擊者對采用的入侵形式進行偽裝以達到繞過傳統(tǒng)安全工具針對原始攻擊所進行檢測的模式�。在測試中,我們會對攻擊進行調(diào)整��,就如同真正的惡意黑客所以做的那樣��,看看哪些產(chǎn)品會發(fā)現(xiàn)原始以及變形后的攻擊�。
在性能測試中,我們會利用BreakingPoint系統(tǒng)來提供最高80 Gbps的現(xiàn)實網(wǎng)絡(luò)流量���。當然�,數(shù)據(jù)吞吐量僅僅屬于測試中很小的一部分內(nèi)容����。對于數(shù)據(jù)中心和外圍設(shè)備來說,潛伏期的影響����、每秒連接數(shù)以及可以達到的最大并發(fā)連接數(shù)等項目才屬于關(guān)鍵參數(shù)�。
穩(wěn)定性測試是我們測試中最困難的項目之一�。我們將會運行電池相關(guān)方面的協(xié)議以進行長達數(shù)天之久的模糊以及突變測試。在我們針對下一代防火墻進行的測試中�����,有一半產(chǎn)品在這一步中剛開始就以某種方式崩潰�����。
最后����,終于到了總體擁有成本分析階段。現(xiàn)在���,我們將針對很多涉及因素進行全面分析。由于價值并不僅僅局限在成本之中��,所以我們也將針對:
每兆位/秒的安全性會有多高���。
產(chǎn)品規(guī)模是否會給工作人員帶來壓力���。
管理控制臺和模式是否需要額外的運營商來對提示信息進行監(jiān)測和處理����。
卡斯勒:在測試完幾種模式的下一代防火墻后����,你覺得測試結(jié)果中的哪些產(chǎn)品以及什么功能屬于比較令人向往的?
莫伊:我們向所有防火墻供應(yīng)商都發(fā)出了提交產(chǎn)品進行免費測試的邀請。最終的結(jié)果是收到了來自梭子魚��、Check Point��、飛塔����、瞻博、帕洛阿爾托網(wǎng)絡(luò)��、音墻網(wǎng)絡(luò)和磐石網(wǎng)絡(luò)等公司的參評設(shè)備����。
該測試的研究報告、測試結(jié)果�、RFP工具以及分析服務(wù)都提供了訂閱選項。感興趣的讀者也可以訪問我們的網(wǎng)站來獲取更多信息��。
卡斯勒:里克,我知道你對于第一代防火墻有著非常深入的了解——你覺得下一代防火墻的進步很大么?公司是否應(yīng)該開始考慮更換現(xiàn)有的系統(tǒng)了?
莫伊:下一代其實屬于營銷方面的術(shù)語�����,它并不一定意味著對于所有公司和應(yīng)用案例的實際效果都會“更好”����。公司需要做的是認真考慮自身實際需求,而是否屬于下一代防火墻并不屬于很重要的問題����。
舉例來說,很多下一代防火墻產(chǎn)品中都包含了性能和潛伏期方面的功能�,這導致會無法針對特定應(yīng)用程序和數(shù)據(jù)的需求進行有效處理。而這里面就可能會包含有市場交易數(shù)據(jù)或者實時的低延遲應(yīng)用�。
更有趣的是,很多產(chǎn)品還表現(xiàn)出第一代產(chǎn)品就有的典型質(zhì)量問題:穩(wěn)定性�����、性能和管理等方面的困難����。由于從很多方面來看�,下一代防火墻都屬于全新的產(chǎn)品。所以,用戶不能抱有將防火墻加進入侵防御系統(tǒng)就開始幻想以后可以萬事無憂了的態(tài)度�。實際上,添加應(yīng)用程序標識以及控制方面的工作反而會變得更加具挑戰(zhàn)性���。供應(yīng)商將不得不對這些產(chǎn)品的體系結(jié)構(gòu)進行重新考慮�。
最后的思考
提醒一下���,千萬別忘了感謝某位客戶公司的員工���。要不是他的話——以及我的自負——就不能讓我可以向客戶提供更好的建議了。現(xiàn)在�,基于NSS實驗室的測試,她就可以針對下一代防火墻是否適合自身業(yè)務(wù)情況作出決定了�����。
