為什么需要對安全性進行測試

■ 北京 王立

編者按：如今很少有企業能夠對所使用的安全產品或解決方案進行驗證，這在應對復雜多變的安全形勢下是十分不利的，企業應當實施深入的測試來彌補這些風險。

想必網絡安全人員都熟悉“信任但要驗證”（Trust but Verify）一詞。但不幸的是，每當涉及到保護網絡時，大多數企業都依賴于信任，但是并沒有或很少驗證其安全解決方案是否能夠正常工作。

最近一項對安全運營有效性進行的調查發現，只有37%的安全專業人員會明確地驗證其安全產品是否已正確配置和運行。這種缺乏測試和驗證的行為將可能直接導致企業遭受破壞性的網絡攻擊。

其中一半的調查受訪者表示，他們發現在企業遭到網絡攻擊后，才會有一個或多個安全解決方案按預期發揮作用。在網絡防御中存在這樣的薄弱環節，那么接下來的這組數據也就不足為奇了：有75%的受訪者表示企業在過去的一年中經歷了一次漏洞威脅（例如未經授權的入侵、惡意軟件的感染或黑客入侵），在過去三年中，有47%的用戶發生過三次或以上的數據泄露事件。

企業實施深入的測試策略來彌補這些安全漏洞并減少被破壞的風險，而不是簡單地信任并希望其安全產品按預期工作，理解這一點是至關重要的。但是該策略應包括什么？

測試的三個“P”

在制定有效的安全測試策略時，需要考慮三個“P”：

·產品，部署涵蓋跨企業網絡及其配置的安全工具。

·流 程，涵蓋如何安裝和維護這些安全產品或服務，包括如何管理和升級補丁。

·人員，主要關注IT和安全團隊應對網絡事件的能力，但還應包括企業的員工。

測試安全產品

測試產品包括評估每個安全工具或服務的性能，以確保其達到預期的吞吐量、過濾和阻斷流量的水平。它涉及檢查是否沒有任何可被黑客識別和利用的錯誤配置（例如未更改的出廠默認密碼），它還應包括評估解決方案之間任何可能的功能重疊。

在該調查中，2/3的受訪者表示他們的安全工具的功能有重疊的現象，當然，用戶也表示這種重疊是無意的。換句話說，企業只是將安全產品添加到其安全結構中，而沒有適當地評估是否真正需要它們，或檢查現有解決方案是否已配置并正常工作。

這些安全工具功能無法充分發揮作用也會導致安全預算的浪費，IT和安全團隊的時間也會白白消耗，同時擴大了企業的攻擊面。79%的用戶表示，如果他們認為某項安全產品無效，就會從名單中刪除該產品。毫無疑問，這種做法對于企業整體的安全防護是不利的。產品測試可增強企業的安全狀況，并有助于有效利用安全預算和資源。

測試流程

為確保企業網絡中不會留下任何被輕易找到的后門，企業必須定期對軟件版本進行檢查，確保及時更新最新應用軟件補丁程序，來有效地管理和維護安全產品。鑒于新威脅和新惡意軟件變種的不斷涌現，這種檢查和更新操作至少應每月進行一次。

根據CVE披露的數據，2019年出現了超過12000個新漏洞，其中1100個以上為嚴重漏洞，平均每個月就有90多個。因此保持產品更新和定期測試將有助于彌補企業安全架構方面的漏洞。

培訓事宜

沒有哪個企業能夠做到完全自動化的安全，安全團隊需要定期處理各種突發情況，與安全產品和解決方案相互補充，以彌補安全產品的不足，而不是成為安全的短板。但該調查顯示，只有不到一半的用戶表示會定期演練在經歷安全事件后如何進行補救和恢復。團隊需要針對網絡事件場景進行積極演練，才能確保在網絡攻擊真正發生后進行高效響應。不止是安全團隊，培訓對象還應該擴展到企業的每一個員工，涵蓋諸如如何識別惡意電子郵件或網絡釣魚，以及如何安全保護帳戶憑據之類的問題。

總之，永遠不能想當然地認為企業安全防護已足夠強大，網絡犯罪分子在不斷嘗試新的攻擊手段，企業需要確保與時俱進，保持對防范網絡攻擊手段的“前瞻性”。這意味著要定期對安全產品、流程和人員進行測試，這樣做也是為了更好、更有效地防范攻擊。