2014年1月，Gartner發(fā)布的《通過更廣泛的測試、改進監(jiān)測和及時打補丁而打擊規(guī)避網絡安全的行為》調查報告顯示：“高級規(guī)避技術可以繞過防御來利用未被發(fā)現(xiàn)的漏洞。在升級或更換網絡安全平臺時，首席信息安全官必須將規(guī)避功能視為強制性要求，并為包括技術嫻熟的安全團隊的深度防御方法做好預算。”

高級規(guī)避技術是什么?規(guī)避這個術語是用來描述一種能夠繞過信息安全設備進行入侵、攻擊或植入惡意軟件到目標網絡或系統(tǒng)而不被發(fā)現(xiàn)的技術。如今，高級規(guī)避技術得到資源充足、目標明確的攻擊者的廣泛應用。它的工作方法如下：將惡意負載分割成小塊，加以掩飾，然后跨越多項協(xié)議進行發(fā)送。一旦侵入，即會進行重組釋放惡意軟件。簡單來說，這項技術通過在入侵者與目標之間建立通道，躲避網絡監(jiān)測手段，這個通道面對的不是目標，而是網絡上的安全設備。

要想阻止高級規(guī)避技術保護企業(yè)安全，就必須了解這些破壞安全系統(tǒng)的復雜規(guī)避技術。對此，企業(yè)應該加強這方面的安全投資。目前，對網絡安全技術的投資有時候是為了實現(xiàn)一項新的業(yè)務計劃，或通過降低違規(guī)風險或相關成本(如停機、恢復、客戶數據丟失和信譽)來保護業(yè)務。如果攻擊在某種程度上能夠繞過或規(guī)避安全投資又如何呢?這是否意味著安全投資的回報為負數或零呢?可以說，這項為了保護機構的投資失敗了。這是否就是一次糟糕的投資?不一定。在網絡中部署技術之前、之中或之后進行安全測試將有助于確保投資的確帶來回報或實現(xiàn)既定的投資目標。

現(xiàn)在，攻擊者擁有的技術越來越先進，可以找到任何漏洞并利用尚未發(fā)現(xiàn)和糾正的漏洞。攻擊者擁有非對稱優(yōu)勢，他們只需要找到其中一個漏洞便可以獲勝，而企業(yè)卻需要關閉所有漏洞。這使企業(yè)處于不利的地位，因為進行更多的審計或局部評估所需的成本和時間令人望而卻步。配置更改、新的補丁和軟件更新伴隨著偏差和更新，因而不能進行持續(xù)的測試來驗證網絡安全，這會造成更大的不確定性和風險。

因此，企業(yè)必須盡可能的在攻擊者利用漏洞之前就發(fā)現(xiàn)漏洞。這就要求首席信息安全官不僅要實施安全解決方案，還需驗證測試這些解決方案。在購買之前評估安全設備時，指導安全人員全面地測試所有的反規(guī)避措施，以衡量有效性以及對性能的影響。這樣企業(yè)才能在遭受來自現(xiàn)實世界的應用和安全攻擊時，加強保護并找到攻擊檢測、規(guī)避和功效方面的問題。#p#

那么，安全測試及其在企業(yè)的安全戰(zhàn)略中將發(fā)揮怎樣的作用?讓我們一起來看看Ixia公司首席產品官Dennis Cox怎樣解答的。

問：Dennis，首先您能告訴我們?yōu)槭裁唇M織機構應該對安全性測試予以更多的考慮嗎?

答：我的一個老同事曾經說過，“如果你還沒有測試它，那么它就是壞的。”這句話也適用于業(yè)務中的所有技術。當涉及到安全性時，不應該有猜測或希望。組織機構必須進行測試，以確保網絡基礎架構按照預期安全地運作。此外，由于每個網絡基礎架構配置各異，供應商的規(guī)格表并不總能提供全面的信息。測試是確定在面臨增加的網絡壓力時配置依然可用的一種方法。

問：如今，大多數組織進行安全測試嗎?

答：有些公司進行風險和治理測試，但僅僅是待辦事項表中的一個復選框。公司——尤其是中型公司——必須做得更多，包括擁有一個首席安全官，其既有權力指揮測試，也能在應該變更或停止活動和進程時做出決定。

問：為什么越來越多的組織沒有執(zhí)行安全測試策略或計劃?

答：對許多公司來說，網絡安全是一個灰色地帶——大多數認為這是妖術，這種理解是不正確的。如果愿意花時間，了解網絡的安全性比他們想象的要簡單得多。但直到行業(yè)標準到位，我們將繼續(xù)看到許多組織利用最低限度的安全測試策略向前發(fā)展。然而，向前發(fā)展的安全戰(zhàn)略和計劃應該從UL對用電設備的做法中學習經驗——創(chuàng)造一套為網絡安全計劃所接受、測試作為戰(zhàn)略的一個核心部分的行業(yè)標準。

問：一個安全測試計劃的重要組成部分有哪些?

答：在我看來，主要有三個重要組成部分：

1.內部——這意味著知識產權的安全性。

2.物理——您如何實現(xiàn)去紙化，人們如何訪問建筑，員工在外如何保護數據，包括筆記本電腦的屏保?

3.網絡安全性——這不僅包括網絡，還包括存儲和訪問網絡的應用。

在理想的情況下，公司里有員工負責這些流程并報告給上述的首席安全官，而首席安全官有權停止或更改包含風險的進程。就首席安全官而言，如果您出于法律目的聘用了法律總顧問而沒有一個首席安全官，我會感到震驚。這兩個角色是非常相似的——避免公司負債。

問：什么樣的組織機構最應該關注安全測試?

答：如果存儲了信用卡信息或個人數據——那么該公司正處于危險之中。這些類型的數據炙手可熱，無論公司規(guī)模如何，都會帶來風險。大多數人沒有考慮到的一個典型例子是餐館的服務器。令人驚訝的是，許多服務器擁有信用卡掃描儀，并出售這些信息。數據可能面臨來自組織內外部的風險。

問：對于進行安全測試，您有沒有任何最佳實踐指南?它是一個一次性事件、年度審計活動還是正在進行的事項?

答：年度審計是一個很棒的活動，我十分喜歡它們。最好的做法是每年改變審計事務所。因為每個審計事務所都有不同的風格，這將確保您能夠全面地了解安全計劃。此外，任何時候您的IT基礎架構發(fā)生改變——請進行安全測試。不只是確保它能夠正常工作——更是確保它的安全性。

問：組織如何證明安全測試的投資成本是合理的?

答：這是一個有趣的話題，因為它不僅僅關乎金錢，更多的關乎大規(guī)模的聲譽損害。證明開支合理關乎聲譽管理，同時還在于從通常不會期待的安全性測試中獲得信息。例如，當您發(fā)現(xiàn)一個問題、解決它、認識它，并問道：“它為我們帶來了什么開支?”，然后用它來證明安全測試中的投資。一個棘手的方面是，安全性測試往往在于發(fā)現(xiàn)可能崩潰的設備，但這通常被歸類為網絡停機時間，而不是安全性測試的好處。查找網絡問題——無論它們是否關乎安全——應該被分配回到發(fā)現(xiàn)它們的測試工具或計劃中。

問：您能夠具體談談Ixia公司所說的“測試安全彈性”是什么意思?

答：對于我們來說，彈性包括性能、穩(wěn)定性和安全性。如果網絡基礎架構運轉良好、安全性高但并不穩(wěn)定——這并非有彈性。同樣地，只有性能和穩(wěn)定性，沒有安全性也并非有彈性。彈性測試不只在于安全性，而在于確保網絡隨時隨地正常工作。

問：安全產品旨在保護組織，為什么存在安全規(guī)避和攻擊檢測的有效性問題呢?

答：常規(guī)掃描可能會顯示您的網絡是健康的。但如果存在規(guī)避，您不知道自己受到損害，并沒有得到所需要的數據以提高網絡的安全性。有不同的方法來逃避檢測——數據包碎片、改變標頭等。所有的這些方法都可以嚴重地破壞網絡的穩(wěn)定性。了解網絡何時何地受到攻擊是確保網絡穩(wěn)定性和安全性、彈性的重要一步。