怎样选择终端安全产品?这是一份怀疑论者指南

新闻报道中的数据泄露和黑客大战太多,很容易让人忽视终端安全设备测试中的风险。最近几年,终端安全市场中的测试方法迎来了巨大发展。这是因为黑客设计高级恶意软件和防御者检测这些恶意软件的技术都变得越来越复杂和多样化了。

创新互联建站服务项目包括台儿网站建设、台儿网站制作、台儿网页制作以及台儿网络营销策划等。多年来,我们专注于互联网行业,利用自身积累的技术优势、行业经验、深度合作伙伴关系等,向广大中小型企业、政府机构等提供互联网行业的解决方案,台儿网站推广取得了明显的社会效益与经济效益。目前,我们服务的客户以成都为中心已经辐射到台儿省份的部分城市,未来相信会继续扩大服务区域并继续获得客户的支持与信任!

防御者需保护支持各种操作系统各个发行版本的终端。现场和云上终端也在防御者必须保护的范围内。而且他们还得充分考虑到很多终端安全产品与其解决方案架构中云元素的独特互动方式。

令人欣喜的是,今年5月底,反恶意软件测试标准组织(AMTSO)采纳了其第一套赋予高级恶意软件测试方法透明性的测试协议。

不过,对IT安全人员而言,AMTSO有何意义呢?很明显,该组织提升了终端安全市场的透明度。但卖家仍需关注独立测试框架、同侪建议、内部需求和终端安全合作选项,而不是简单地依赖AMTSO。

想要确保安全产品测试的完整性,可以遵循以下步骤:

1. 当一个怀疑论者

警惕来自供应商的测试建议。对任何供应商的测试建议都应保持警惕。每当他们提出某个建议,一定要问问为什么。最重要的是,确定该建议是否契合自家公司的特定需求。

2. 供应商提供的恶意软件样本并非总是合理

这又回到了上面提到的当一个怀疑论者的观点。供应商提供的样本有时候会被调整成他们的产品特别擅长检测和缓解的那类。

最坏情况下,样本甚至没有任何恶意功能。从供应商那里拿样本时,别拿太多,并让供应商告诉你到底哪里表现出了恶意。

不想用供应商的恶意软件样本的话,可以使用公共沙箱和分析博客,比如hybrid-analysis.com、virusshare.com、malshare.com 和malware-traffic-analysis.net。

这些站点都是真实恶意软件的存储库,可以提供深度技术分析,让你知道恶意软件到底应该是个什么表现。请关注能演示你感兴趣的攻击的高品质样本,并记住:数量并不是样本集质量或管理性的良好指标。

3. 样本之外:测试产品如何处理现实世界的攻击

只用恶意软件样本测试,仅能证明一件事情:该产品对付特定恶意软件样本的能力。但你重视的是阻止攻击的效果,而攻击不仅仅是恶意软件。现实世界的攻击者可不依赖被打包的可执行程序。他们会综合使用文档、PowerShell、Python、Java、内置操作系统工具等任何可利用的东西。

可用Metasploit之类渗透测试框架来测试安全解决方案对付现实世界攻击技术的能力。用Veil-Evasion构建攻击载荷,并使用真实攻击中看到的攻击技术。PowerShell Empire 也是打造PowerShell命令行和宏文档的绝佳方式,这些东西都比可执行恶意软件样本好得多。另外,不妨关闭阻止功能,看看样本到底怎么动作的。如果你看不到样本在无防护情况下的动作,又怎么能在样本穿透防护层是进行有效缓解呢?

其他可以用来评估安全产品的标准还包括:产品与现有员工、过程和技术的匹配度,以及产品在自家环境中减少攻击者驻留时间的能力。

4. 最有效的安全产品就是你的团队切实使用的那个

A产品评分98%,B产品评分95%。明显选择A产品,对吧?未必哟。3%的偏差意味着两种产品间的差距其实很小,下一次测试的结果很有可能正好相反。

这种差距不应该成为决定性因素。你要部署的产品应是团队最用得上,最匹配现有安全栈的。即便选择了评分稍低的那款,你也做出了更优良的决策。

别羞于根据自家团队和技术栈的需求来选择安全产品。独立测试机构测的是效果。只有你才能测试适用性。如果买来高评分产品只是束之高阁,那你就是在浪费资金还于自家安全状况毫无帮助。

5. 可见性、测试和响应的重要性

减少自身环境中攻击者的驻留时间就是靠的可见性、检测和响应,再怎么强调这三者的重要性都不为过。

终端安全产品应预防、检测并响应攻击,所以也应从这几方面进行测试。想要阻止现今各种各样的攻击可不仅仅是挡住几千个恶意软件样本那么简单。

每种预防方法总有力有未逮的时候。你怎么知道自身环境中出现了这种状况?安全解决方案应能给出可让你采取动作的信息,而不仅仅是简单的恶意软件拦截。测试解决方案的时候,不妨想想该方案如何应用到攻击者已经成功突破的防御场景下。看该方案能否减轻你作为响应者的压力,能否提供探查攻击范围和影响的可见性,能否让你深入了解现实世界黑客所用的工具、技术和过程。

想要看清产品的可见性、检测和响应功能,不要仅仅围绕预防做文章——关掉预防。如果你的团队找不出关掉预防后的价值,那这个产品就不够好。

【本文是专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

当前题目:怎样选择终端安全产品?这是一份怀疑论者指南
文章分享:http://www.shufengxianlan.com/qtweb/news8/57058.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联