在對應(yīng)用進行全面審核時，你會信任哪種模式?在實驗室中運行模擬測試，還是放到互聯(lián)網(wǎng)上實際運行?看起來進行基于實際環(huán)境的驗證似乎更有價值，你是否同意這一點?

現(xiàn)在，讓我們回到本文針對的研究中，偶然發(fā)現(xiàn)NSS實驗室就在致力于這方面的工作。他們采用的一種測試方式就是，在測試計算機上安裝反惡意軟件應(yīng)用，并訪問實際的惡意網(wǎng)站，記錄反惡意軟件工具對威脅的處理情況。

為了保證有效性，對惡意網(wǎng)站進行多次訪問是必須的。因此，NSS實驗室將這一操作進行了自動化處理，可以實現(xiàn)在幾天內(nèi)定時進行測試。關(guān)于這一點，NSS實驗室總裁里克·莫伊是這樣解釋的：

“如果不能從壞人的角度進行測試的話，那這一措施的意義何在?因此，我們選擇走出實驗室來到真實的網(wǎng)絡(luò)環(huán)境中，以找到那些導(dǎo)致真正惡意浪潮的因素。”

建立漏洞中心就是下一步要做的

在實際測試領(lǐng)域，通過建立漏洞中心(ExploitHub)NSS實驗室已經(jīng)前進了一大步。漏洞中心是一個市場，在這里，攻擊代碼開發(fā)者可以將真正的惡意軟件銷售給安全專家并用于實際測試中。里克·莫伊進一步解釋說：

“我們的目標(biāo)是，通過進行更全面的防御測試，消除安全保衛(wèi)者與網(wǎng)絡(luò)犯罪分子和白帽們在能力上的差距。”

正如我在題目都提到的，漏洞中心似乎是一種全新的模式。盡管如此，值得信任的安全專家似乎認(rèn)為它還是有可取之處的。安全漏洞檢測工具Metasploit的開發(fā)者HD·摩爾是這樣認(rèn)為的：

“NSS的做法好像可以讓攻擊代碼開發(fā)者從工作中獲得有效收入，并且為所有滲透測試者提供了大量優(yōu)秀工具。由于他們只關(guān)注細(xì)節(jié)已知漏洞的處理，所以并不會對隱私信息保護帶來很大影響，甚至可能建立一個漏洞攻擊工具的市場。”

里克·莫伊很快就對HD·穆爾提及的問題進行了澄清。只有非零日攻擊類惡意軟件才會成為漏洞中心的一部分。此外，在沒有解決方案的情況下，為什么還要關(guān)心對零日攻擊進行測試?

漏洞中心的特點

為了將漏洞中心打造為一個優(yōu)秀的解決方案，NSS實驗室提供了如下的功能：

◆通過加強測試功能提高數(shù)據(jù)安全性。

◆通過為安全專家提供更多資源來提高測試環(huán)境的有效性。

◆建立了一個可以隨時進行漏洞測試的低成本可持續(xù)生態(tài)體系。

◆改善了安全產(chǎn)品開發(fā)、部署和測試方面的效果。

提問時間

作為信息技術(shù)安全專欄的作者，我有幾個問題。之前，里克·莫伊曾經(jīng)親切地回答過我提出的問題。因此，我毫不懷疑他將再次這么做。下面，就開始了。

記者：在文章前面，我提到過你采用了一種獨特的模式來對反惡意軟件應(yīng)用進行測試。能否請你告訴我們，它的不同之處在哪里?

里克·莫伊：簡單地說，我們的客戶想知道自身防御措施漏洞的位置，以便選擇合適的工具并對風(fēng)險進行處理。通過對互聯(lián)網(wǎng)上無時無刻不處于活躍狀態(tài)的惡意軟件進行測試，我們可以對安全產(chǎn)品的主動和被動覆蓋范圍有量化的認(rèn)識。

記者：看起來，貴公司是唯一采用這種模式的。它可以給客戶帶來什么好處呢?

里克·莫伊：我們的客戶往往非常重視數(shù)據(jù)的安全性，而不是僅僅滿足于普通檢測。他們希望可以對存在問題的數(shù)據(jù)進行處理，以降低風(fēng)險出現(xiàn)的可能。而我們提供的信息服務(wù)，可以幫助他們確定哪些產(chǎn)品更適合自身情況，是否需要安裝補丁，開啟深度防御模式，并確保沒有在安全，甚至項目管理方面投入過多。

記者：漏洞中心被稱為“漏洞攻擊領(lǐng)域的蘋果應(yīng)用程序商店”。這是一個公正的評價么?漏洞中心要實現(xiàn)的功能到底是什么?

里克·莫伊：我們開發(fā)漏洞中心是為了建立市場，和其它所有市場一樣，目標(biāo)就是提高買賣的效率。我們意識到，單一公司的解決方案無法滿足實際需求。因此，我們主動提議和建立了供數(shù)百名研究人員出售自己作品的商業(yè)渠道。對于急需的用戶來說，這樣可以在同樣的投入下，獲得更多的功能。

記者：看起來，漏洞中心就象是利用現(xiàn)實世界的惡意代碼來測試反惡意應(yīng)用理念的延伸。我說得對么?

里克·莫伊：是的。我們目前所進行的對基于實際環(huán)境測試的宣傳都是為了提高安全性。不論是在自己的實驗室中進行測試，還是向最終用戶提供工具進行測試，它都必須是真實的。我們相信，如果你不能從壞人的角度來考慮問題，真刀真槍地戰(zhàn)斗，那測試又有什么實際意義呢?

記者：關(guān)于你將購買并銷售漏洞攻擊代碼的行為，我有些不明白?？雌饋?，這就象你將惡意代碼商業(yè)化了。

里克·莫伊：我們不是第一個吃螃蟹的。作為合法業(yè)務(wù)，漏洞攻擊代碼銷售已經(jīng)存在了好幾年;銷售滲透測試工具的公司就是典型的例子。但是，現(xiàn)在供應(yīng)領(lǐng)域出現(xiàn)了緊縮。我們真正要做的是對業(yè)務(wù)進程進行優(yōu)化和合法化處理，以便更多的內(nèi)容被需要的人獲得。

記者：其它安全研究人員是怎么看待漏洞中心的?我看到過一些對攻擊代碼可能落入壞人之手的擔(dān)憂。

里克·莫伊：這些漏洞攻擊代碼已經(jīng)落到壞人手里了，并且在網(wǎng)上迅速傳播。盡管好人正在盡力保護網(wǎng)絡(luò)的安全，但他們的人數(shù)太少了。我們正在進行的戰(zhàn)斗，就是不對稱戰(zhàn)爭的典范。我們需要公平的競爭環(huán)境。盡管如此，我們正盡力將連接控制在合法領(lǐng)域，并對安全專業(yè)人士進行識別。

記者：我聽說你們的產(chǎn)品將使用Metasploit的框架。怎樣才能做到這一點?

里克·莫伊：該項目的目標(biāo)是讓用戶獲得輕松、自動化和值得信賴的使用體驗。提交的漏洞攻擊代碼可以在Metasploit框架中運行。用戶還可以利用搜索結(jié)果輕松地實現(xiàn)購買，內(nèi)容將直接下載到MSF里。

記者：對于漏洞測試來說，漏洞中心似乎是一種非常獨特的方式。由于它是有點另類，你有什么想法么?

里克·莫伊：當(dāng)一些模式已經(jīng)失去效果時，你就需要找到另外的有效方式。當(dāng)前，從業(yè)者已經(jīng)無法找到網(wǎng)絡(luò)中所有的已知漏洞，所以，我們必須開辟新的途徑。應(yīng)用程序商店模式通過利用市場動態(tài)已經(jīng)解決了不少棘手問題，并且擁有包括易趣、Craigslist、iPod應(yīng)用程序商店和安致市場在內(nèi)的幾個成功典例。

最后的思考

我發(fā)現(xiàn)漏洞中心是一個有趣的概念，似乎可以達到雙贏的局面。漏洞攻擊代碼開發(fā)者和安全研究人員都可以利用漏洞中心獲得好處。你是否同意這一點呢?

【編輯推薦】

1. 專業(yè)安全評測機構(gòu)NSS最新報告出爐 趨勢斬獲桂冠
2. NSS Labs入侵防御系統(tǒng)測試 McAfee獨占鰲頭
3. NSS Labs安全軟件第三季度測試 卡巴偏科嚴(yán)重
4. NSS Labs攻擊防范測試 Radware DefensePro榮獲推薦