NSS发布漏洞测试全新模式:漏洞中心

在对应用进行全面审核时,你会信任哪种模式?在实验室中运行模拟测试,还是放到互联网上实际运行?看起来进行基于实际环境的验证似乎更有价值,你是否同意这一点?

现在,让我们回到本文针对的研究中,我偶然发现NSS实验室就在致力于这方面的工作。他们采用的一种测试方式就是,在测试计算机上安装反恶意软件应用,并访问实际的恶意网站,记录反恶意软件工具对威胁的处理情况。

为了保证有效性,对恶意网站进行多次访问是必须的。因此,NSS实验室将这一操作进行了自动化处理,可以实现在几天内定时进行测试。关于这一点,NSS实验室总裁里克·莫伊是这样解释的:

“如果不能从坏人的角度进行测试的话,那这一措施的意义何在?因此,我们选择走出实验室来到真实的网络环境中,以找到那些导致真正恶意浪潮的因素。”

建立漏洞中心就是下一步要做

在实际测试领域,通过建立漏洞中心(ExploitHub)NSS实验室已经前进了一大步。漏洞中心是一个市场,在这里,攻击代码开发者可以将真正的恶意软件销售给安全专家并用于实际测试中。里克·莫伊进一步解释说:

“我们的目标是,通过进行更全面的防御测试,消除安全保卫者与网络犯罪分子和白帽们在能力上的差距。”

正如我在题目都提到的,漏洞中心似乎是一种全新的模式。尽管如此,值得信任的安全专家似乎认为它还是有可取之处的。安全漏洞检测工具Metasploit的开发者HD·摩尔是这样认为的:

“NSS的做法好像可以让攻击代码开发者从工作中获得有效收入,并且为所有渗透测试者提供了大量优秀工具。由于他们只关注细节已知漏洞的处理,所以并不会对隐私信息保护带来很大影响,甚至可能建立一个漏洞攻击工具的市场。”

里克·莫伊很快就对HD·穆尔提及的问题进行了澄清。只有非零日攻击类恶意软件才会成为漏洞中心的一部分。此外,在没有解决方案的情况下,为什么还要关心对零日攻击进行测试?

漏洞中心的特点

为了将漏洞中心打造为一个优秀的解决方案,NSS实验室提供了如下的功能:

通过加强测试功能提高数据安全性。

通过为安全专家提供更多资源来提高测试环境的有效性。

建立了一个可以随时进行漏洞测试的低成本可持续生态体系。

改善了安全产品开发、部署和测试方面的效果。

提问时间

作为信息技术安全专栏的作者,我有几个问题。之前,里克·莫伊曾经亲切地回答过我提出的问题。因此,我毫不怀疑他将再次这么做。下面,就开始了。

探客网:在文章前面,我提到过你采用了一种独特的模式来对反恶意软件应用进行测试。能否请你告诉我们,它的不同之处在哪里?

里克·莫伊:简单地说,我们的客户想知道自身防御措施漏洞的位置,以便选择合适的工具并对风险进行处理。通过对互联网上无时无刻不处于活跃状态的恶意软件进行测试,我们可以对安全产品的主动和被动覆盖范围有量化的认识。

探客网:看起来,贵公司是唯一采用这种模式的。它可以给客户带来什么好处呢?

里克·莫伊:我们的客户往往非常重视数据的安全性,而不是仅仅满足于普通检测。他们希望可以对存在问题的数据进行处理,以降低风险出现的可能。而我们提供的信息服务,可以帮助他们确定哪些产品更适合自身情况,是否需要安装补丁,开启深度防御模式,并确保没有在安全,甚至项目管理方面投入过多。

探客网:漏洞中心被称为“漏洞攻击领域的苹果应用程序商店”。这是一个公正的评价么?漏洞中心要实现的功能到底是什么?

里克·莫伊:我们开发漏洞中心是为了建立市场,和其它所有市场一样,目标就是提高买卖的效率。我们意识到,单一公司的解决方案无法满足实际需求。因此,我们主动提议和建立了供数百名研究人员出售自己作品的商业渠道。对于急需的用户来说,这样可以在同样的投入下,获得更多的功能。

探客网:看起来,漏洞中心就象是利用现实世界的恶意代码来测试反恶意应用理念的延伸。我说得对么?

里克·莫伊:是的。我们目前所进行的对基于实际环境测试的宣传都是为了提高安全性。不论是在自己的实验室中进行测试,还是向最终用户提供工具进行测试,它都必须是真实的。我们相信,如果你不能从坏人的角度来考虑问题,真刀真枪地战斗,那测试又有什么实际意义呢?

探客网:关于你将购买并销售漏洞攻击代码的行为,我有些不明白。看起来,这就象你将恶意代码商业化了。

里克·莫伊:我们不是第一个吃螃蟹的。作为合法业务,漏洞攻击代码销售已经存在了好几年;销售渗透测试工具的公司就是典型的例子。但是,现在供应领域出现了紧缩。我们真正要做的是对业务进程进行优化和合法化处理,以便更多的内容被需要的人获得。

探客网:其它安全研究人员是怎么看待漏洞中心的?我看到过一些对攻击代码可能落入坏人之手的担忧。

里克·莫伊:这些漏洞攻击代码已经落到坏人手里了,并且在网上迅速传播。尽管好人正在尽力保护网络的安全,但他们的人数太少了。我们正在进行的战斗,就是不对称战争的典范。我们需要公平的竞争环境。尽管如此,我们正尽力将连接控制在合法领域,并对安全专业人士进行识别。

探客网:我听说你们的产品将使用Metasploit的框架。怎样才能做到这一点?

里克·莫伊:该项目的目标是让用户获得轻松、自动化和值得信赖的使用体验。提交的漏洞攻击代码可以在Metasploit框架中运行。用户还可以利用搜索结果轻松地实现购买,内容将直接下载到MSF里。

探客网:对于漏洞测试来说,漏洞中心似乎是一种非常独特的方式。由于它是有点另类,你有什么想法么?

里克·莫伊:当一些模式已经失去效果时,你就需要找到另外的有效方式。当前,从业者已经无法找到网络中所有的已知漏洞,所以,我们必须开辟新的途径。应用程序商店模式通过利用市场动态已经解决了不少棘手问题,并且拥有包括易趣、Craigslist、iPod应用程序商店和安致市场在内的几个成功典例。

最后的思考

我发现漏洞中心是一个有趣的概念,似乎可以达到双赢的局面。漏洞攻击代码开发者和安全研究人员都可以利用漏洞中心获得好处。你是否同意这一点呢?