在對(duì)應(yīng)用進(jìn)行全面審核時(shí)，你會(huì)信任哪種模式?在實(shí)驗(yàn)室中運(yùn)行模擬測(cè)試，還是放到互聯(lián)網(wǎng)上實(shí)際運(yùn)行?看起來(lái)進(jìn)行基于實(shí)際環(huán)境的驗(yàn)證似乎更有價(jià)值，你是否同意這一點(diǎn)?

現(xiàn)在，讓我們回到本文針對(duì)的研究中，偶然發(fā)現(xiàn)NSS實(shí)驗(yàn)室就在致力于這方面的工作。他們采用的一種測(cè)試方式就是，在測(cè)試計(jì)算機(jī)上安裝反惡意軟件應(yīng)用，并訪問(wèn)實(shí)際的惡意網(wǎng)站，記錄反惡意軟件工具對(duì)威脅的處理情況。

為了保證有效性，對(duì)惡意網(wǎng)站進(jìn)行多次訪問(wèn)是必須的。因此，NSS實(shí)驗(yàn)室將這一操作進(jìn)行了自動(dòng)化處理，可以實(shí)現(xiàn)在幾天內(nèi)定時(shí)進(jìn)行測(cè)試。關(guān)于這一點(diǎn)，NSS實(shí)驗(yàn)室總裁里克·莫伊是這樣解釋的：

“如果不能從壞人的角度進(jìn)行測(cè)試的話，那這一措施的意義何在?因此，我們選擇走出實(shí)驗(yàn)室來(lái)到真實(shí)的網(wǎng)絡(luò)環(huán)境中，以找到那些導(dǎo)致真正惡意浪潮的因素。”

建立漏洞中心就是下一步要做的

在實(shí)際測(cè)試領(lǐng)域，通過(guò)建立漏洞中心(ExploitHub)NSS實(shí)驗(yàn)室已經(jīng)前進(jìn)了一大步。漏洞中心是一個(gè)市場(chǎng)，在這里，攻擊代碼開(kāi)發(fā)者可以將真正的惡意軟件銷(xiāo)售給安全專(zhuān)家并用于實(shí)際測(cè)試中。里克·莫伊進(jìn)一步解釋說(shuō)：

“我們的目標(biāo)是，通過(guò)進(jìn)行更全面的防御測(cè)試，消除安全保衛(wèi)者與網(wǎng)絡(luò)犯罪分子和白帽們?cè)谀芰ι系牟罹唷?rdquo;

正如我在題目都提到的，漏洞中心似乎是一種全新的模式。盡管如此，值得信任的安全專(zhuān)家似乎認(rèn)為它還是有可取之處的。安全漏洞檢測(cè)工具M(jìn)etasploit的開(kāi)發(fā)者HD·摩爾是這樣認(rèn)為的：

“NSS的做法好像可以讓攻擊代碼開(kāi)發(fā)者從工作中獲得有效收入，并且為所有滲透測(cè)試者提供了大量?jī)?yōu)秀工具。由于他們只關(guān)注細(xì)節(jié)已知漏洞的處理，所以并不會(huì)對(duì)隱私信息保護(hù)帶來(lái)很大影響，甚至可能建立一個(gè)漏洞攻擊工具的市場(chǎng)。”

里克·莫伊很快就對(duì)HD·穆?tīng)柼峒暗膯?wèn)題進(jìn)行了澄清。只有非零日攻擊類(lèi)惡意軟件才會(huì)成為漏洞中心的一部分。此外，在沒(méi)有解決方案的情況下，為什么還要關(guān)心對(duì)零日攻擊進(jìn)行測(cè)試?

漏洞中心的特點(diǎn)

為了將漏洞中心打造為一個(gè)優(yōu)秀的解決方案，NSS實(shí)驗(yàn)室提供了如下的功能：

◆通過(guò)加強(qiáng)測(cè)試功能提高數(shù)據(jù)安全性。

◆通過(guò)為安全專(zhuān)家提供更多資源來(lái)提高測(cè)試環(huán)境的有效性。

◆建立了一個(gè)可以隨時(shí)進(jìn)行漏洞測(cè)試的低成本可持續(xù)生態(tài)體系。

◆改善了安全產(chǎn)品開(kāi)發(fā)、部署和測(cè)試方面的效果。

提問(wèn)時(shí)間

作為信息技術(shù)安全專(zhuān)欄的作者，我有幾個(gè)問(wèn)題。之前，里克·莫伊曾經(jīng)親切地回答過(guò)我提出的問(wèn)題。因此，我毫不懷疑他將再次這么做。下面，就開(kāi)始了。

記者：在文章前面，我提到過(guò)你采用了一種獨(dú)特的模式來(lái)對(duì)反惡意軟件應(yīng)用進(jìn)行測(cè)試。能否請(qǐng)你告訴我們，它的不同之處在哪里?

里克·莫伊：簡(jiǎn)單地說(shuō)，我們的客戶想知道自身防御措施漏洞的位置，以便選擇合適的工具并對(duì)風(fēng)險(xiǎn)進(jìn)行處理。通過(guò)對(duì)互聯(lián)網(wǎng)上無(wú)時(shí)無(wú)刻不處于活躍狀態(tài)的惡意軟件進(jìn)行測(cè)試，我們可以對(duì)安全產(chǎn)品的主動(dòng)和被動(dòng)覆蓋范圍有量化的認(rèn)識(shí)。

記者：看起來(lái)，貴公司是唯一采用這種模式的。它可以給客戶帶來(lái)什么好處呢?

里克·莫伊：我們的客戶往往非常重視數(shù)據(jù)的安全性，而不是僅僅滿足于普通檢測(cè)。他們希望可以對(duì)存在問(wèn)題的數(shù)據(jù)進(jìn)行處理，以降低風(fēng)險(xiǎn)出現(xiàn)的可能。而我們提供的信息服務(wù)，可以幫助他們確定哪些產(chǎn)品更適合自身情況，是否需要安裝補(bǔ)丁，開(kāi)啟深度防御模式，并確保沒(méi)有在安全，甚至項(xiàng)目管理方面投入過(guò)多。

記者：漏洞中心被稱(chēng)為“漏洞攻擊領(lǐng)域的蘋(píng)果應(yīng)用程序商店”。這是一個(gè)公正的評(píng)價(jià)么?漏洞中心要實(shí)現(xiàn)的功能到底是什么?

里克·莫伊：我們開(kāi)發(fā)漏洞中心是為了建立市場(chǎng)，和其它所有市場(chǎng)一樣，目標(biāo)就是提高買(mǎi)賣(mài)的效率。我們意識(shí)到，單一公司的解決方案無(wú)法滿足實(shí)際需求。因此，我們主動(dòng)提議和建立了供數(shù)百名研究人員出售自己作品的商業(yè)渠道。對(duì)于急需的用戶來(lái)說(shuō)，這樣可以在同樣的投入下，獲得更多的功能。

記者：看起來(lái)，漏洞中心就象是利用現(xiàn)實(shí)世界的惡意代碼來(lái)測(cè)試反惡意應(yīng)用理念的延伸。我說(shuō)得對(duì)么?

里克·莫伊：是的。我們目前所進(jìn)行的對(duì)基于實(shí)際環(huán)境測(cè)試的宣傳都是為了提高安全性。不論是在自己的實(shí)驗(yàn)室中進(jìn)行測(cè)試，還是向最終用戶提供工具進(jìn)行測(cè)試，它都必須是真實(shí)的。我們相信，如果你不能從壞人的角度來(lái)考慮問(wèn)題，真刀真槍地戰(zhàn)斗，那測(cè)試又有什么實(shí)際意義呢?

記者：關(guān)于你將購(gòu)買(mǎi)并銷(xiāo)售漏洞攻擊代碼的行為，我有些不明白。看起來(lái)，這就象你將惡意代碼商業(yè)化了。

里克·莫伊：我們不是第一個(gè)吃螃蟹的。作為合法業(yè)務(wù)，漏洞攻擊代碼銷(xiāo)售已經(jīng)存在了好幾年;銷(xiāo)售滲透測(cè)試工具的公司就是典型的例子。但是，現(xiàn)在供應(yīng)領(lǐng)域出現(xiàn)了緊縮。我們真正要做的是對(duì)業(yè)務(wù)進(jìn)程進(jìn)行優(yōu)化和合法化處理，以便更多的內(nèi)容被需要的人獲得。

記者：其它安全研究人員是怎么看待漏洞中心的?我看到過(guò)一些對(duì)攻擊代碼可能落入壞人之手的擔(dān)憂。

里克·莫伊：這些漏洞攻擊代碼已經(jīng)落到壞人手里了，并且在網(wǎng)上迅速傳播。盡管好人正在盡力保護(hù)網(wǎng)絡(luò)的安全，但他們的人數(shù)太少了。我們正在進(jìn)行的戰(zhàn)斗，就是不對(duì)稱(chēng)戰(zhàn)爭(zhēng)的典范。我們需要公平的競(jìng)爭(zhēng)環(huán)境。盡管如此，我們正盡力將連接控制在合法領(lǐng)域，并對(duì)安全專(zhuān)業(yè)人士進(jìn)行識(shí)別。

記者：我聽(tīng)說(shuō)你們的產(chǎn)品將使用Metasploit的框架。怎樣才能做到這一點(diǎn)?

里克·莫伊：該項(xiàng)目的目標(biāo)是讓用戶獲得輕松、自動(dòng)化和值得信賴的使用體驗(yàn)。提交的漏洞攻擊代碼可以在Metasploit框架中運(yùn)行。用戶還可以利用搜索結(jié)果輕松地實(shí)現(xiàn)購(gòu)買(mǎi)，內(nèi)容將直接下載到MSF里。

記者：對(duì)于漏洞測(cè)試來(lái)說(shuō)，漏洞中心似乎是一種非常獨(dú)特的方式。由于它是有點(diǎn)另類(lèi)，你有什么想法么?

里克·莫伊：當(dāng)一些模式已經(jīng)失去效果時(shí)，你就需要找到另外的有效方式。當(dāng)前，從業(yè)者已經(jīng)無(wú)法找到網(wǎng)絡(luò)中所有的已知漏洞，所以，我們必須開(kāi)辟新的途徑。應(yīng)用程序商店模式通過(guò)利用市場(chǎng)動(dòng)態(tài)已經(jīng)解決了不少棘手問(wèn)題，并且擁有包括易趣、Craigslist、iPod應(yīng)用程序商店和安致市場(chǎng)在內(nèi)的幾個(gè)成功典例。

最后的思考

我發(fā)現(xiàn)漏洞中心是一個(gè)有趣的概念，似乎可以達(dá)到雙贏的局面。漏洞攻擊代碼開(kāi)發(fā)者和安全研究人員都可以利用漏洞中心獲得好處。你是否同意這一點(diǎn)呢?

原文鏈接：http://netsecurity.51cto.com/art/201101/242394.htm

標(biāo)簽： 安全 代碼 互聯(lián)網(wǎng) 開(kāi)發(fā)者 漏洞 搜索 網(wǎng)絡(luò) 信息技術(shù) 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。