新聞報道中的數(shù)據(jù)泄露和黑客大戰(zhàn)太多，很容易讓人忽視終端安全設(shè)備測試中的風險。最近幾年，終端安全市場中的測試方法迎來了巨大發(fā)展。這是因為黑客設(shè)計高級惡意軟件和防御者檢測這些惡意軟件的技術(shù)都變得越來越復雜和多樣化了。

[[244267]]

防御者需保護支持各種操作系統(tǒng)各個發(fā)行版本的終端?，F(xiàn)場和云上終端也在防御者必須保護的范圍內(nèi)。而且他們還得充分考慮到很多終端安全產(chǎn)品與其解決方案架構(gòu)中云元素的獨特互動方式。

令人欣喜的是，今年5月底，反惡意軟件測試標準組織(AMTSO)采納了其第一套賦予高級惡意軟件測試方法透明性的測試協(xié)議。

不過，對IT安全人員而言，AMTSO有何意義呢?很明顯，該組織提升了終端安全市場的透明度。但賣家仍需關(guān)注獨立測試框架、同儕建議、內(nèi)部需求和終端安全合作選項，而不是簡單地依賴AMTSO。

想要確保安全產(chǎn)品測試的完整性，可以遵循以下步驟：

1. 當一個懷疑論者

警惕來自供應商的測試建議。對任何供應商的測試建議都應保持警惕。每當他們提出某個建議，一定要問問為什么。最重要的是，確定該建議是否契合自家公司的特定需求。

2. 供應商提供的惡意軟件樣本并非總是合理

這又回到了上面提到的當一個懷疑論者的觀點。供應商提供的樣本有時候會被調(diào)整成他們的產(chǎn)品特別擅長檢測和緩解的那類。

最壞情況下，樣本甚至沒有任何惡意功能。從供應商那里拿樣本時，別拿太多，并讓供應商告訴你到底哪里表現(xiàn)出了惡意。

不想用供應商的惡意軟件樣本的話，可以使用公共沙箱和分析博客，比如hybrid-analysis.com、virusshare.com、malshare.com 和malware-traffic-analysis.net。

這些站點都是真實惡意軟件的存儲庫，可以提供深度技術(shù)分析，讓你知道惡意軟件到底應該是個什么表現(xiàn)。請關(guān)注能演示你感興趣的攻擊的高品質(zhì)樣本，并記?。簲?shù)量并不是樣本集質(zhì)量或管理性的良好指標。

3. 樣本之外：測試產(chǎn)品如何處理現(xiàn)實世界的攻擊

只用惡意軟件樣本測試，僅能證明一件事情：該產(chǎn)品對付特定惡意軟件樣本的能力。但你重視的是阻止攻擊的效果，而攻擊不僅僅是惡意軟件?，F(xiàn)實世界的攻擊者可不依賴被打包的可執(zhí)行程序。他們會綜合使用文檔、PowerShell、Python、Java、內(nèi)置操作系統(tǒng)工具等任何可利用的東西。

可用Metasploit之類滲透測試框架來測試安全解決方案對付現(xiàn)實世界攻擊技術(shù)的能力。用Veil-Evasion構(gòu)建攻擊載荷，并使用真實攻擊中看到的攻擊技術(shù)。PowerShell Empire 也是打造PowerShell命令行和宏文檔的絕佳方式，這些東西都比可執(zhí)行惡意軟件樣本好得多。另外，不妨關(guān)閉阻止功能，看看樣本到底怎么動作的。如果你看不到樣本在無防護情況下的動作，又怎么能在樣本穿透防護層是進行有效緩解呢?

其他可以用來評估安全產(chǎn)品的標準還包括：產(chǎn)品與現(xiàn)有員工、過程和技術(shù)的匹配度，以及產(chǎn)品在自家環(huán)境中減少攻擊者駐留時間的能力。

4. 最有效的安全產(chǎn)品就是你的團隊切實使用的那個

A產(chǎn)品評分98%，B產(chǎn)品評分95%。明顯選擇A產(chǎn)品，對吧?未必喲。3%的偏差意味著兩種產(chǎn)品間的差距其實很小，下一次測試的結(jié)果很有可能正好相反。

這種差距不應該成為決定性因素。你要部署的產(chǎn)品應是團隊最用得上，最匹配現(xiàn)有安全棧的。即便選擇了評分稍低的那款，你也做出了更優(yōu)良的決策。

別羞于根據(jù)自家團隊和技術(shù)棧的需求來選擇安全產(chǎn)品。獨立測試機構(gòu)測的是效果。只有你才能測試適用性。如果買來高評分產(chǎn)品只是束之高閣，那你就是在浪費資金還于自家安全狀況毫無幫助。

5. 可見性、測試和響應的重要性

減少自身環(huán)境中攻擊者的駐留時間就是靠的可見性、檢測和響應，再怎么強調(diào)這三者的重要性都不為過。

終端安全產(chǎn)品應預防、檢測并響應攻擊，所以也應從這幾方面進行測試。想要阻止現(xiàn)今各種各樣的攻擊可不僅僅是擋住幾千個惡意軟件樣本那么簡單。

每種預防方法總有力有未逮的時候。你怎么知道自身環(huán)境中出現(xiàn)了這種狀況?安全解決方案應能給出可讓你采取動作的信息，而不僅僅是簡單的惡意軟件攔截。測試解決方案的時候，不妨想想該方案如何應用到攻擊者已經(jīng)成功突破的防御場景下?？丛摲桨改芊駵p輕你作為響應者的壓力，能否提供探查攻擊范圍和影響的可見性，能否讓你深入了解現(xiàn)實世界黑客所用的工具、技術(shù)和過程。

想要看清產(chǎn)品的可見性、檢測和響應功能，不要僅僅圍繞預防做文章——關(guān)掉預防。如果你的團隊找不出關(guān)掉預防后的價值，那這個產(chǎn)品就不夠好。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文