您的惡意軟件測試能力有多強
——確保針對受感染系統和負載的測試

思博倫通信

?

思博倫技術專欄

您的惡意軟件測試能力有多強
——確保針對受感染系統和負載的測試

思博倫通信

編者按：根據反釣魚工作組等反網絡犯罪聯盟所收集的數據，惡意軟件已經感染全世界近1/3的計算機。更糟糕的是，這些數字還在不斷增加。Panda Security所進行的研究顯示，惡意軟件的每日采樣數已從每天8萬份（2013年第四季度）增加至2014年第一季度的16萬份。思博倫通信的《您的惡意軟件測試能力有多強》一文對惡意軟件測試能力進行了分析和研究，并對針對手感染系統和負載的測試進行了剖析。思博倫的測試技術已經被廣泛應用于仿真真實的流量和威脅及攻擊場景，對世界上最容易受到攻擊的網絡執行全面的安全性、性能和有效性測試和測量，讓這些網絡永遠不會因流量過大而面臨速度限制或服務完全中斷的困擾。

1　引言

根據反釣魚工作組等反網絡犯罪聯盟所收集的數據，惡意軟件已經感染全世界近1/3的計算機。更糟糕的是，這些數字還在不斷增加。Panda Security所進行的研究顯示，惡意軟件的每日采樣數已從每天8萬份（2013年第四季度）增加至2014年第一季度的16萬份。

受影響的企業可能會面臨長期后果，例如競爭地位受損或企業倒閉。而如果受到侵害的是政府部門，則可能導致國家安全受到威脅。在惡意軟件感染的許多實例中，都會有較為先進的持久性威脅會乘機進入受保護的網絡。

2　綜述

當技術不斷發展演化時，惡意軟件也在進化。不幸的是，這意味著技術領域的大趨勢也在為強大的新型惡意軟件搭建舞臺。例如，隨著基礎設施連接性的提高，包括智能度量儀表、智能傳感器和遠程控制公路信號等，都將在核心服務受到干擾時制造出更大的風險。

為了探測和阻止惡意軟件，人們使用了多種安全系統。這些系統包括防火墻和網絡入侵阻止系統、深層包檢查能力、統一威脅管理系統、反病毒和反垃圾郵件網關，以及內容過濾和數據丟失預防系統等。這些系統上還采用了一些更新的安全技術，可以查出受保護網絡上已被感染的端點，從而探測入侵情況。實現這一目標的方法通常是使用多種類型的、基于網絡的行為剖面分析。

即使所有這些安全系統和能力均已就位，惡意軟件仍會設法感染目標系統。為了阻止惡意軟件，必須使用各類基于惡意軟件的攻擊，對所有的安全系統都進行仔細的測試和驗證，確保這些系統的正常運行。在對安全系統進行強健測試時，所需的測試設備必須能夠生成真實的惡意軟件負載，并且仿真出已受感染系統的網絡流量。

在對安全系統的全面測試時，還需要采用適當的測 試 方 法 ，將 性 能（Performance）、可 用 性（Availability）、安全性（Security）和規模（Scale）均考慮在內。結合這4項變量的全局性測試將能夠得到非常可靠的測試結果。

重要的是，此類測試必須在真實條件下完成。這意味著需要在正常運行條件和系統已經處于巨大壓力中的峰值工作負載下進行測試。這還意味著不僅僅要精確模擬不同級別的網絡流量，而且還要包括真實流量組合的精確呈現。

3　認識惡意軟件

Malware就是含有惡意軟件的縮寫，用于描述懷有敵意的一個軟件大類，而此類軟件會被用于擾亂計算機運行、收集敏感信息，或獲取私人計算機系統的訪問權。

常見的惡意軟件類型包括：

（1）廣告件（Adware）

盡管一些類型的廣告件可能被認為是合法的，但也有一些廣告件會在未經授權的情況下訪問計算機系統，并對用戶造成巨大的干擾。

（2）鍵盤記錄器（Keyloggers）

通常，鍵盤記錄器會以隱密的方式跟蹤鍵盤上的敲擊動作，并且可能捕獲密碼或信用卡號。

（3）勒索軟件（Ransomware）

勒索軟件在計算機系統上安裝后，會限制用戶的正常訪問權，并且索要贖金后方可刪除。

（4）Rootkits

這一類型的惡意軟件會獲取計算機系統的訪問權限，并將自己隱藏起來，讓正常的探測方法無法發現。

（5）間諜件（Spyware）

間諜件會在計算機用戶不知情的情況下觀察用戶的活動，并將其報告給軟件的編寫者或其它實體。

（6）木馬（Trojan Horse）

木馬最初會裝扮成一種用戶需要的正常功能，并借機以未經授權的方式訪問計算機系統。

（7）病毒（Viruse）

計算機病毒通常會將自己附帶在可執行文件上，并通過這種方式執行惡意活動并復制到其它系統上。

（8）蠕蟲（Worm）

蠕蟲是一種獨立的軟件，但與病毒類似的是，它會執行惡意活動并將自己復制到其它系統上。

根據Panda Security公司2015年第二季度的PandaLabs年度報告，2015年第二季度發生的新威脅數量達到了2100萬個。而在這3個月中，每天出現的新惡意軟件及其變體的數量達到了23萬個。這一局面已經為各IT部門敲響了警鐘，只有“經常測試和連續監測”才是消減層出不窮惡意軟件威脅的有效辦法。

面對如此眾多的惡意軟件和數不勝數的變體，惡意軟件用來感染計算機系統的方法自然也是數量巨大。例如，惡意軟件可以利用操作系統、應用、瀏覽器插件和其它類型的軟件中存在的安全缺陷。它還會利用不安全的設計，例如某些老式電子郵件系統會自動打開含有惡意JavaScript代碼的HTML郵件。過度權限用戶和過度權限代碼也會為惡意軟件破壞計算機系統的活動創造更大的機會。

惡意軟件還會使用多種方法將自己散布到其它計算機系統上：

●文件服務器，例如基于通用Internet文件系統（SMB/CIFS）和網絡文件系統（NFS）的服務器。當用戶訪問和下載受感染的文件時，惡意軟件也將隨之快速擴散。

●文件共享軟件可能允許惡意軟件復制到可移動介質上，并且傳播到其它計算機系統上。

●P2P文件共享所共享的音樂或圖片看似無害，但卻有可能成為惡意軟件的傳播渠道。

●電子郵件附件中包含的惡意代碼可能被警惕心不強的用戶打開，并且被執行。這些附件甚至可能被轉發給其他用戶，進一步幫助惡意軟件四處傳播。

●可遠程利用的漏洞使黑客能夠在極大的地理距離之外訪問系統，幾乎不需要與計算機用戶打任何交道。

從上述方法可以看出，惡意軟件通常會通過網絡滲透到商業機構、大學、政府機構和家庭中。盡管網絡已經成為入侵的主要源頭，但它也提供了機會阻止惡意軟件到達目標計算機系統。防火墻、統一威脅管理（UTM）系統、驗證系統和其它方法都可以用于減輕惡意軟件的威脅。與此同時，必須使用基于各類惡意軟件的攻擊，對所有這些系統進行認真的測試，確保它們處于最新狀態并且工作正常，尤其是在每天都會有如此眾多攻擊被發現的情況下。

4　動機、風險和影響

想要阻止惡意軟件，首先要了解相關的動機、風險和影響。要時刻記住，這幾方面都是相互關聯的。例如，財務方面的動機通常與財務風險相關，并且會最終導致財務方面的影響。

（1）動機

惡意軟件背后會有形形色色的多種動機，而且無法預測，因此會為阻止惡意軟件的工作帶來更多的挑戰。有時，動機很簡單，就是為了名聲，有的黑客希望在黑客的小社會里證明自己。有些黑客為自己正名的方式是將黑客活動與行動主義聯系在一起，而這種表達言論的方式也被稱為黑動主義（Hactivism）。例如，如果某個個人或團隊相信某些政府數據應當被公之于眾，他們很可能就會使用惡意軟件竊取這些數據并向公眾發布。某些形式的惡意軟件出于經濟或財務方面的動機。以個人或群體形式存在的網絡罪犯會開發和使用惡意軟件，盜取數據、身份信息和金錢，還有很多其它形式的惡意軟件。

（2）風險和影響

與惡意軟件背后的動機一樣，惡意軟件感染造成的相關風險數量眾多而且形式多樣。而且風險的程度還取決于受攻擊的機構類型。對于保存客戶信用卡信息等金融數據的企業而言，惡意軟件造成的風險可能帶來巨大的經濟損失，企業將不得不支付巨額的訴訟費用和賠償金。這些企業還會因品牌聲譽受損和客戶信心喪失而蒙受更大的損失。

即便有些企業并沒有什么金融資產或其它形式的有價值數據，它們也有可能成為攻擊的目標。有些攻擊者只是想侵入此類機構的IT基礎設施，目的就是為了發送垃圾郵件或向其它機構發起攻擊。有時，攻擊者的目標并不是有價值數據，而是曝光敏感數據，制造恐慌或尷尬。

一旦被惡意軟件感染，企業可能受到較為輕微的暫時性影響，例如企業活動受到干擾等。而另一方面，它們可能會面臨更嚴重的長期影響，例如競爭地位受損害，或者導致企業破產。當政府機構成為惡意軟件的受害者時，后果可能是生命損失或國家安全受到威脅。

5　日益提升的惡意軟件風險

當技術不斷發展演化時，惡意軟件也在進化。雖然所有類型的機構都在部署和使用新的技術，以便更好地實現自己的目標，但惡意軟件的開發者很快就能從未曾預見的漏洞中發現機會。不幸的是，這意味著技術領域的大趨勢也在為強大的新型惡意軟件搭建舞臺。

（1）基礎設施連接性

在千年之交時，已經有人預見到，世界上所有的IT基礎設施都是互聯互通的，但仍然存在一些技術孤島。例如，公共基礎設施，包括執法、消防、交通、水電等，通常都至少保有一些隔離開來的IT組件。現在，在這些曾經被隔離的基礎設施中，許多已經可以通過Internet訪問，并且成為網絡中的一部分。幾十年來，網絡和Internet充當過惡意軟件散布的路徑。今天，可以看到越來越多的基礎設施以各種形式實現了互聯。智能測量儀表、智能傳感器和遠程遙控的公路信號標志都可以通過Internet來訪問。雖然這種加強互聯的做法有一定的好處，例如提高效率，但也會增加基礎設施和相關服務受到惡意軟件干擾的風險。

（2）不斷增多的端點

連接到網絡中的端點在數量和類型方面都在快速增長，而且已經超過了基礎設施連接性的增長速度。例如，就在幾年前，企業IT部門要支持的可能只是單一型號的桌面計算機、兩種不同版本的筆記本，以及某種經過批準的智能電話。但隨著平板電腦和自帶設備的大量涌現，在工作場所聯網的設備幾乎已經達到無窮無盡的地步。

明顯的挑戰是，在這些設備中很多都是在辦公場所之外使用的，所連接的網絡也遠沒有辦公場所那么安全。當這些端點受到感染后，惡意軟件便會傳播到工作場所的許多其它設備上。目前，許多IT機構已經失去了對聯網設備的完整控制權，它們急需更好的方法來阻止惡意軟件。

6　預防惡意軟件

為了探測和預防惡意軟件，幾乎每一個IT環境都在使用某種類型的安全系統。

深層包檢查（DPI）是另外一種阻止惡意軟件的重要方法。DPI將入侵探測系統（IDS）和入侵阻止系統（IPS）的功能與傳統的有狀態防火墻結合在了一起。

許多交換機還提供了為數眾多的內建安全能力，其中包括：訪問控制列表（ACL）；DHCP嗅探阻止；動態ARP檢查；端口級流量控制；安全系統與惡意軟件。

在防火墻可以配置多種規則來探測和阻止各種類型的惡意軟件。UTM系統能夠在單臺設備中實現多種安全能力，從而提供更為全面的保護。這些能力可能包括防火墻、NGFW、網絡入侵阻止、網關反病毒（AV）、網關反垃圾郵件、虛擬個人網絡（VPN）、內容過濾以及數據泄密阻止能力。

（1）安全系統必須經受測試

即便所有這些安全系統和能力均已就位，但惡意軟件仍會設法感染目標系統。問題的部分原因在于，在這些安全措施中，很多都過于復雜，因此在部署、配置或管理過程中常常會存在不正確的地方。不幸的是，只要有一個防火墻或交換機端口配置不當，就有可能決定環境安全可靠，還是輕易能夠被惡意軟件攻破。如果測試時使用的是時間超過6年的大型惡意軟件數據庫，那么這樣的測試是根本沒有意義的。思博倫提供的是新發現的和當日惡意軟件構件，能夠通過TestCloud?內容購閱快速提供數千種惡意軟件樣本，實現快速且全面的測試覆蓋。

為了阻止惡意軟件，必須使用多種基于惡意軟件的攻擊，對所有的安全系統進行仔細的測試和驗證，確保它們能夠正確運行。在此過程中，必須使用強健的最新惡意軟件特征庫，確保針對最新攻擊開始全面完整的測試。此外，此類測試在執行時還應在網絡中采用可靠、真實的流量。

（2）受感染的系統和負載

并非所有的測試設備都能夠驅動安全系統全面測試所需的流量。例如，安全系統應探測已經受感染的系統，以及網絡流量中的惡意軟件負載。然而，如果測試設備無法精確模擬受感染系統的網絡行為，惡意軟件探測系統將無法得到全面的測試。同樣，如果測試設備無法生成真實的惡意軟件負載，則DPI等安全系統也將不可能接受全面的測試。要記住，您所選擇的測試設備必須能夠生成真實的惡意軟件負載，并且仿真出已受感染系統的網絡流量。測試設備應有能力在大規模條件下生成這兩種類型的流量，同時還要驅動其它真實的網絡流量。

7　針對惡意軟件（Malware）的測試方法

IT中的許多問題都會涉及多種相互依存的變量和折中。例如，很多IT項目在定義過程中都要在范圍、時間計劃和資源方面相互妥協。如果需要額外的特性，則需要應用額外的資源，并且/或者必須接受更長的時間表。同樣，如果關鍵項目的工作人員（即資源）受抽走，則必須延長時間計劃，并且/或者縮減項目的范圍。在阻止惡意軟件的努力中，也要或多或少地遵循這種動態行為方式，只不過要涉及的變量會多得多。

為了保護企業免受惡意軟件的侵害，IT安全性可以提高到極其嚴格的地步，但這樣又會使企業的平穩運行變得極為困難。例如，如果沒有人能夠訪問IT系統，包括合法的用戶在內，那么很明顯，惡意軟件阻止系統的工作方式根本就是不正確的。

在處理惡意軟件阻止等安全問題時，還需要考慮4個相互之間存在依存關系的變量：性能、可用性、安全性和規模。要想執行適當的安全性測試，必須對所有這4個變量進行測試，并確保它們之間實現適當的妥協。

測試可以回答關于每個變量的許多問題，而且所有這些問題均與惡意軟件測試環境密切關聯。下面我們就來提供一些實例。

（1）性能

●您的網絡在查找惡意軟件的同時還能夠處理多少合法流量？

●惡意軟件阻止機制在時延和服務質量（QoS）方面對用戶有何影響？

（2）可用性

●當惡意軟件導致設備進入故障開啟或故障關閉狀態時，關鍵服務是否會陷入停頓？

●在受到攻擊時，您是否仍然能夠為客戶提供服務？

●服務轉換至故障切換模式需要多長的時間？

（3）安全性

●您的系統能夠探測和阻止多少種獨立的惡意軟件？

●您的系統是否能夠阻止最新的安全威脅？您的惡意軟件庫是否處于最新狀態？

（4）規模

●您在正常條件下能支持多少用戶？在受到攻擊時又能支持多少用戶？

●添加的新安全解決方案是否會對可支持的用戶數造成影響？

8　您的惡意軟件測試能力有多強

確保針對受感染系統和負載的測試。

（1）關于測試的其它考慮

重要的是，測試必須在真實條件下完成。這意味著需要在正常運行條件和系統已經處于巨大壓力中的峰值工作負載下進行測試。為了對安全性進行驗證，還必須在模擬的攻擊條件下執測試。如果測試不夠真實，便無法找出問題，遺留下來的這些問題將會在生產環境中突顯出來，到時解決問題所面臨的成本將是最高的。

在真實條件下進行測試不僅僅要精確模擬不同級別的網絡流量，還必須包括真實流量組合的精確呈現。例如，有些用戶可能會使用SSL連接和/或IPSEC隧道執行商業交易，因此就應當在加密和非加密流量條件下平等執行惡意軟件測試。我們在阻止惡意軟件的同時，必須保證合法活動能夠不受干擾，正常進行。

（2）總結

為探測和阻止惡意軟件，要用到多種安全系統。這些系統包括防火墻、下一代防火墻、網絡入侵阻止系統、深層包檢查能力、統一威脅管理系統、反病毒和反垃圾郵件網關、虛擬個人網絡和內容過濾，以及數據泄密阻止系統等。

然而，即便所有這些安全系統和能力均已就位，惡意軟件也會設法感染目標系統。為阻止惡意軟件，必須使用各類基于惡意軟件的攻擊，對所有的安全系統進行仔細的測試和驗證，確保它們能夠正常工作。

在對安全系統進行強健測試時，所需的設備必須能夠生成真實的惡意軟件負載，并且仿真出已受感染系統的網絡流量。在對安全系統的全面測試時，還需要采用PASS等適當的測試方法，也就是對所涉及的性能、可用性、安全性和規模進行測試。

在執行安全測試時，思博倫解決方案能夠滿足您所有的需求。

而且，思博倫對安全了如指掌，能夠充滿信心地保證各類網絡和服務的安全性和彈性，確保其連續、順暢的運行，讓企業、政府機構、設備廠商、服務和基礎設施供應商可以高枕無憂。

關于安全和應用（AppSec）：思博倫的測試技術已經被廣泛應用于仿真真實的流量和威脅及攻擊場景，對世界上最容易受到攻擊的網絡執行全面的安全性、性能和有效性測試和測量，讓這些網絡永遠不會因流量過大而面臨速度限制或服務完全中斷的困擾。