您的惡意軟件測試能力有多強
——確保針對受感染系統(tǒng)和負載的測試

思博倫通信

?

思博倫技術(shù)專欄

您的惡意軟件測試能力有多強
——確保針對受感染系統(tǒng)和負載的測試

思博倫通信

編者按：根據(jù)反釣魚工作組等反網(wǎng)絡(luò)犯罪聯(lián)盟所收集的數(shù)據(jù)，惡意軟件已經(jīng)感染全世界近1/3的計算機。更糟糕的是，這些數(shù)字還在不斷增加。Panda Security所進行的研究顯示，惡意軟件的每日采樣數(shù)已從每天8萬份（2013年第四季度）增加至2014年第一季度的16萬份。思博倫通信的《您的惡意軟件測試能力有多強》一文對惡意軟件測試能力進行了分析和研究，并對針對手感染系統(tǒng)和負載的測試進行了剖析。思博倫的測試技術(shù)已經(jīng)被廣泛應(yīng)用于仿真真實的流量和威脅及攻擊場景，對世界上最容易受到攻擊的網(wǎng)絡(luò)執(zhí)行全面的安全性、性能和有效性測試和測量，讓這些網(wǎng)絡(luò)永遠不會因流量過大而面臨速度限制或服務(wù)完全中斷的困擾。

1　引言

根據(jù)反釣魚工作組等反網(wǎng)絡(luò)犯罪聯(lián)盟所收集的數(shù)據(jù)，惡意軟件已經(jīng)感染全世界近1/3的計算機。更糟糕的是，這些數(shù)字還在不斷增加。Panda Security所進行的研究顯示，惡意軟件的每日采樣數(shù)已從每天8萬份（2013年第四季度）增加至2014年第一季度的16萬份。

受影響的企業(yè)可能會面臨長期后果，例如競爭地位受損或企業(yè)倒閉。而如果受到侵害的是政府部門，則可能導(dǎo)致國家安全受到威脅。在惡意軟件感染的許多實例中，都會有較為先進的持久性威脅會乘機進入受保護的網(wǎng)絡(luò)。

2　綜述

當(dāng)技術(shù)不斷發(fā)展演化時，惡意軟件也在進化。不幸的是，這意味著技術(shù)領(lǐng)域的大趨勢也在為強大的新型惡意軟件搭建舞臺。例如，隨著基礎(chǔ)設(shè)施連接性的提高，包括智能度量儀表、智能傳感器和遠程控制公路信號等，都將在核心服務(wù)受到干擾時制造出更大的風(fēng)險。

為了探測和阻止惡意軟件，人們使用了多種安全系統(tǒng)。這些系統(tǒng)包括防火墻和網(wǎng)絡(luò)入侵阻止系統(tǒng)、深層包檢查能力、統(tǒng)一威脅管理系統(tǒng)、反病毒和反垃圾郵件網(wǎng)關(guān)，以及內(nèi)容過濾和數(shù)據(jù)丟失預(yù)防系統(tǒng)等。這些系統(tǒng)上還采用了一些更新的安全技術(shù)，可以查出受保護網(wǎng)絡(luò)上已被感染的端點，從而探測入侵情況。實現(xiàn)這一目標(biāo)的方法通常是使用多種類型的、基于網(wǎng)絡(luò)的行為剖面分析。

即使所有這些安全系統(tǒng)和能力均已就位，惡意軟件仍會設(shè)法感染目標(biāo)系統(tǒng)。為了阻止惡意軟件，必須使用各類基于惡意軟件的攻擊，對所有的安全系統(tǒng)都進行仔細的測試和驗證，確保這些系統(tǒng)的正常運行。在對安全系統(tǒng)進行強健測試時，所需的測試設(shè)備必須能夠生成真實的惡意軟件負載，并且仿真出已受感染系統(tǒng)的網(wǎng)絡(luò)流量。

在對安全系統(tǒng)的全面測試時，還需要采用適當(dāng)?shù)臏y 試 方 法 ，將 性 能（Performance）、可 用 性（Availability）、安全性（Security）和規(guī)模（Scale）均考慮在內(nèi)。結(jié)合這4項變量的全局性測試將能夠得到非常可靠的測試結(jié)果。

重要的是，此類測試必須在真實條件下完成。這意味著需要在正常運行條件和系統(tǒng)已經(jīng)處于巨大壓力中的峰值工作負載下進行測試。這還意味著不僅僅要精確模擬不同級別的網(wǎng)絡(luò)流量，而且還要包括真實流量組合的精確呈現(xiàn)。

3　認識惡意軟件

Malware就是含有惡意軟件的縮寫，用于描述懷有敵意的一個軟件大類，而此類軟件會被用于擾亂計算機運行、收集敏感信息，或獲取私人計算機系統(tǒng)的訪問權(quán)。

常見的惡意軟件類型包括：

（1）廣告件（Adware）

盡管一些類型的廣告件可能被認為是合法的，但也有一些廣告件會在未經(jīng)授權(quán)的情況下訪問計算機系統(tǒng)，并對用戶造成巨大的干擾。

（2）鍵盤記錄器（Keyloggers）

通常，鍵盤記錄器會以隱密的方式跟蹤鍵盤上的敲擊動作，并且可能捕獲密碼或信用卡號。

（3）勒索軟件（Ransomware）

勒索軟件在計算機系統(tǒng)上安裝后，會限制用戶的正常訪問權(quán)，并且索要贖金后方可刪除。

（4）Rootkits

這一類型的惡意軟件會獲取計算機系統(tǒng)的訪問權(quán)限，并將自己隱藏起來，讓正常的探測方法無法發(fā)現(xiàn)。

（5）間諜件（Spyware）

間諜件會在計算機用戶不知情的情況下觀察用戶的活動，并將其報告給軟件的編寫者或其它實體。

（6）木馬（Trojan Horse）

木馬最初會裝扮成一種用戶需要的正常功能，并借機以未經(jīng)授權(quán)的方式訪問計算機系統(tǒng)。

（7）病毒（Viruse）

計算機病毒通常會將自己附帶在可執(zhí)行文件上，并通過這種方式執(zhí)行惡意活動并復(fù)制到其它系統(tǒng)上。

（8）蠕蟲（Worm）

蠕蟲是一種獨立的軟件，但與病毒類似的是，它會執(zhí)行惡意活動并將自己復(fù)制到其它系統(tǒng)上。

根據(jù)Panda Security公司2015年第二季度的PandaLabs年度報告，2015年第二季度發(fā)生的新威脅數(shù)量達到了2100萬個。而在這3個月中，每天出現(xiàn)的新惡意軟件及其變體的數(shù)量達到了23萬個。這一局面已經(jīng)為各IT部門敲響了警鐘，只有“經(jīng)常測試和連續(xù)監(jiān)測”才是消減層出不窮惡意軟件威脅的有效辦法。

面對如此眾多的惡意軟件和數(shù)不勝數(shù)的變體，惡意軟件用來感染計算機系統(tǒng)的方法自然也是數(shù)量巨大。例如，惡意軟件可以利用操作系統(tǒng)、應(yīng)用、瀏覽器插件和其它類型的軟件中存在的安全缺陷。它還會利用不安全的設(shè)計，例如某些老式電子郵件系統(tǒng)會自動打開含有惡意JavaScript代碼的HTML郵件。過度權(quán)限用戶和過度權(quán)限代碼也會為惡意軟件破壞計算機系統(tǒng)的活動創(chuàng)造更大的機會。

惡意軟件還會使用多種方法將自己散布到其它計算機系統(tǒng)上：

●文件服務(wù)器，例如基于通用Internet文件系統(tǒng)（SMB/CIFS）和網(wǎng)絡(luò)文件系統(tǒng)（NFS）的服務(wù)器。當(dāng)用戶訪問和下載受感染的文件時，惡意軟件也將隨之快速擴散。

●文件共享軟件可能允許惡意軟件復(fù)制到可移動介質(zhì)上，并且傳播到其它計算機系統(tǒng)上。

●P2P文件共享所共享的音樂或圖片看似無害，但卻有可能成為惡意軟件的傳播渠道。

●電子郵件附件中包含的惡意代碼可能被警惕心不強的用戶打開，并且被執(zhí)行。這些附件甚至可能被轉(zhuǎn)發(fā)給其他用戶，進一步幫助惡意軟件四處傳播。

●可遠程利用的漏洞使黑客能夠在極大的地理距離之外訪問系統(tǒng)，幾乎不需要與計算機用戶打任何交道。

從上述方法可以看出，惡意軟件通常會通過網(wǎng)絡(luò)滲透到商業(yè)機構(gòu)、大學(xué)、政府機構(gòu)和家庭中。盡管網(wǎng)絡(luò)已經(jīng)成為入侵的主要源頭，但它也提供了機會阻止惡意軟件到達目標(biāo)計算機系統(tǒng)。防火墻、統(tǒng)一威脅管理（UTM）系統(tǒng)、驗證系統(tǒng)和其它方法都可以用于減輕惡意軟件的威脅。與此同時，必須使用基于各類惡意軟件的攻擊，對所有這些系統(tǒng)進行認真的測試，確保它們處于最新狀態(tài)并且工作正常，尤其是在每天都會有如此眾多攻擊被發(fā)現(xiàn)的情況下。

4　動機、風(fēng)險和影響

想要阻止惡意軟件，首先要了解相關(guān)的動機、風(fēng)險和影響。要時刻記住，這幾方面都是相互關(guān)聯(lián)的。例如，財務(wù)方面的動機通常與財務(wù)風(fēng)險相關(guān)，并且會最終導(dǎo)致財務(wù)方面的影響。

（1）動機

惡意軟件背后會有形形色色的多種動機，而且無法預(yù)測，因此會為阻止惡意軟件的工作帶來更多的挑戰(zhàn)。有時，動機很簡單，就是為了名聲，有的黑客希望在黑客的小社會里證明自己。有些黑客為自己正名的方式是將黑客活動與行動主義聯(lián)系在一起，而這種表達言論的方式也被稱為黑動主義（Hactivism）。例如，如果某個個人或團隊相信某些政府?dāng)?shù)據(jù)應(yīng)當(dāng)被公之于眾，他們很可能就會使用惡意軟件竊取這些數(shù)據(jù)并向公眾發(fā)布。某些形式的惡意軟件出于經(jīng)濟或財務(wù)方面的動機。以個人或群體形式存在的網(wǎng)絡(luò)罪犯會開發(fā)和使用惡意軟件，盜取數(shù)據(jù)、身份信息和金錢，還有很多其它形式的惡意軟件。

（2）風(fēng)險和影響

與惡意軟件背后的動機一樣，惡意軟件感染造成的相關(guān)風(fēng)險數(shù)量眾多而且形式多樣。而且風(fēng)險的程度還取決于受攻擊的機構(gòu)類型。對于保存客戶信用卡信息等金融數(shù)據(jù)的企業(yè)而言，惡意軟件造成的風(fēng)險可能帶來巨大的經(jīng)濟損失，企業(yè)將不得不支付巨額的訴訟費用和賠償金。這些企業(yè)還會因品牌聲譽受損和客戶信心喪失而蒙受更大的損失。

即便有些企業(yè)并沒有什么金融資產(chǎn)或其它形式的有價值數(shù)據(jù)，它們也有可能成為攻擊的目標(biāo)。有些攻擊者只是想侵入此類機構(gòu)的IT基礎(chǔ)設(shè)施，目的就是為了發(fā)送垃圾郵件或向其它機構(gòu)發(fā)起攻擊。有時，攻擊者的目標(biāo)并不是有價值數(shù)據(jù)，而是曝光敏感數(shù)據(jù)，制造恐慌或?qū)擂巍?/p>

一旦被惡意軟件感染，企業(yè)可能受到較為輕微的暫時性影響，例如企業(yè)活動受到干擾等。而另一方面，它們可能會面臨更嚴重的長期影響，例如競爭地位受損害，或者導(dǎo)致企業(yè)破產(chǎn)。當(dāng)政府機構(gòu)成為惡意軟件的受害者時，后果可能是生命損失或國家安全受到威脅。

5　日益提升的惡意軟件風(fēng)險

當(dāng)技術(shù)不斷發(fā)展演化時，惡意軟件也在進化。雖然所有類型的機構(gòu)都在部署和使用新的技術(shù)，以便更好地實現(xiàn)自己的目標(biāo)，但惡意軟件的開發(fā)者很快就能從未曾預(yù)見的漏洞中發(fā)現(xiàn)機會。不幸的是，這意味著技術(shù)領(lǐng)域的大趨勢也在為強大的新型惡意軟件搭建舞臺。

（1）基礎(chǔ)設(shè)施連接性

在千年之交時，已經(jīng)有人預(yù)見到，世界上所有的IT基礎(chǔ)設(shè)施都是互聯(lián)互通的，但仍然存在一些技術(shù)孤島。例如，公共基礎(chǔ)設(shè)施，包括執(zhí)法、消防、交通、水電等，通常都至少保有一些隔離開來的IT組件。現(xiàn)在，在這些曾經(jīng)被隔離的基礎(chǔ)設(shè)施中，許多已經(jīng)可以通過Internet訪問，并且成為網(wǎng)絡(luò)中的一部分。幾十年來，網(wǎng)絡(luò)和Internet充當(dāng)過惡意軟件散布的路徑。今天，可以看到越來越多的基礎(chǔ)設(shè)施以各種形式實現(xiàn)了互聯(lián)。智能測量儀表、智能傳感器和遠程遙控的公路信號標(biāo)志都可以通過Internet來訪問。雖然這種加強互聯(lián)的做法有一定的好處，例如提高效率，但也會增加基礎(chǔ)設(shè)施和相關(guān)服務(wù)受到惡意軟件干擾的風(fēng)險。

（2）不斷增多的端點

連接到網(wǎng)絡(luò)中的端點在數(shù)量和類型方面都在快速增長，而且已經(jīng)超過了基礎(chǔ)設(shè)施連接性的增長速度。例如，就在幾年前，企業(yè)IT部門要支持的可能只是單一型號的桌面計算機、兩種不同版本的筆記本，以及某種經(jīng)過批準(zhǔn)的智能電話。但隨著平板電腦和自帶設(shè)備的大量涌現(xiàn)，在工作場所聯(lián)網(wǎng)的設(shè)備幾乎已經(jīng)達到無窮無盡的地步。

明顯的挑戰(zhàn)是，在這些設(shè)備中很多都是在辦公場所之外使用的，所連接的網(wǎng)絡(luò)也遠沒有辦公場所那么安全。當(dāng)這些端點受到感染后，惡意軟件便會傳播到工作場所的許多其它設(shè)備上。目前，許多IT機構(gòu)已經(jīng)失去了對聯(lián)網(wǎng)設(shè)備的完整控制權(quán)，它們急需更好的方法來阻止惡意軟件。

6　預(yù)防惡意軟件

為了探測和預(yù)防惡意軟件，幾乎每一個IT環(huán)境都在使用某種類型的安全系統(tǒng)。

深層包檢查（DPI）是另外一種阻止惡意軟件的重要方法。DPI將入侵探測系統(tǒng)（IDS）和入侵阻止系統(tǒng)（IPS）的功能與傳統(tǒng)的有狀態(tài)防火墻結(jié)合在了一起。

許多交換機還提供了為數(shù)眾多的內(nèi)建安全能力，其中包括：訪問控制列表（ACL）；DHCP嗅探阻止；動態(tài)ARP檢查；端口級流量控制；安全系統(tǒng)與惡意軟件。

在防火墻可以配置多種規(guī)則來探測和阻止各種類型的惡意軟件。UTM系統(tǒng)能夠在單臺設(shè)備中實現(xiàn)多種安全能力，從而提供更為全面的保護。這些能力可能包括防火墻、NGFW、網(wǎng)絡(luò)入侵阻止、網(wǎng)關(guān)反病毒（AV）、網(wǎng)關(guān)反垃圾郵件、虛擬個人網(wǎng)絡(luò)（VPN）、內(nèi)容過濾以及數(shù)據(jù)泄密阻止能力。

（1）安全系統(tǒng)必須經(jīng)受測試

即便所有這些安全系統(tǒng)和能力均已就位，但惡意軟件仍會設(shè)法感染目標(biāo)系統(tǒng)。問題的部分原因在于，在這些安全措施中，很多都過于復(fù)雜，因此在部署、配置或管理過程中常常會存在不正確的地方。不幸的是，只要有一個防火墻或交換機端口配置不當(dāng)，就有可能決定環(huán)境安全可靠，還是輕易能夠被惡意軟件攻破。如果測試時使用的是時間超過6年的大型惡意軟件數(shù)據(jù)庫，那么這樣的測試是根本沒有意義的。思博倫提供的是新發(fā)現(xiàn)的和當(dāng)日惡意軟件構(gòu)件，能夠通過TestCloud?內(nèi)容購閱快速提供數(shù)千種惡意軟件樣本，實現(xiàn)快速且全面的測試覆蓋。

為了阻止惡意軟件，必須使用多種基于惡意軟件的攻擊，對所有的安全系統(tǒng)進行仔細的測試和驗證，確保它們能夠正確運行。在此過程中，必須使用強健的最新惡意軟件特征庫，確保針對最新攻擊開始全面完整的測試。此外，此類測試在執(zhí)行時還應(yīng)在網(wǎng)絡(luò)中采用可靠、真實的流量。

（2）受感染的系統(tǒng)和負載

并非所有的測試設(shè)備都能夠驅(qū)動安全系統(tǒng)全面測試所需的流量。例如，安全系統(tǒng)應(yīng)探測已經(jīng)受感染的系統(tǒng)，以及網(wǎng)絡(luò)流量中的惡意軟件負載。然而，如果測試設(shè)備無法精確模擬受感染系統(tǒng)的網(wǎng)絡(luò)行為，惡意軟件探測系統(tǒng)將無法得到全面的測試。同樣，如果測試設(shè)備無法生成真實的惡意軟件負載，則DPI等安全系統(tǒng)也將不可能接受全面的測試。要記住，您所選擇的測試設(shè)備必須能夠生成真實的惡意軟件負載，并且仿真出已受感染系統(tǒng)的網(wǎng)絡(luò)流量。測試設(shè)備應(yīng)有能力在大規(guī)模條件下生成這兩種類型的流量，同時還要驅(qū)動其它真實的網(wǎng)絡(luò)流量。

7　針對惡意軟件（Malware）的測試方法

IT中的許多問題都會涉及多種相互依存的變量和折中。例如，很多IT項目在定義過程中都要在范圍、時間計劃和資源方面相互妥協(xié)。如果需要額外的特性，則需要應(yīng)用額外的資源，并且/或者必須接受更長的時間表。同樣，如果關(guān)鍵項目的工作人員（即資源）受抽走，則必須延長時間計劃，并且/或者縮減項目的范圍。在阻止惡意軟件的努力中，也要或多或少地遵循這種動態(tài)行為方式，只不過要涉及的變量會多得多。

為了保護企業(yè)免受惡意軟件的侵害，IT安全性可以提高到極其嚴格的地步，但這樣又會使企業(yè)的平穩(wěn)運行變得極為困難。例如，如果沒有人能夠訪問IT系統(tǒng)，包括合法的用戶在內(nèi)，那么很明顯，惡意軟件阻止系統(tǒng)的工作方式根本就是不正確的。

在處理惡意軟件阻止等安全問題時，還需要考慮4個相互之間存在依存關(guān)系的變量：性能、可用性、安全性和規(guī)模。要想執(zhí)行適當(dāng)?shù)陌踩詼y試，必須對所有這4個變量進行測試，并確保它們之間實現(xiàn)適當(dāng)?shù)耐讌f(xié)。

測試可以回答關(guān)于每個變量的許多問題，而且所有這些問題均與惡意軟件測試環(huán)境密切關(guān)聯(lián)。下面我們就來提供一些實例。

（1）性能

●您的網(wǎng)絡(luò)在查找惡意軟件的同時還能夠處理多少合法流量？

●惡意軟件阻止機制在時延和服務(wù)質(zhì)量（QoS）方面對用戶有何影響？

（2）可用性

●當(dāng)惡意軟件導(dǎo)致設(shè)備進入故障開啟或故障關(guān)閉狀態(tài)時，關(guān)鍵服務(wù)是否會陷入停頓？

●在受到攻擊時，您是否仍然能夠為客戶提供服務(wù)？

●服務(wù)轉(zhuǎn)換至故障切換模式需要多長的時間？

（3）安全性

●您的系統(tǒng)能夠探測和阻止多少種獨立的惡意軟件？

●您的系統(tǒng)是否能夠阻止最新的安全威脅？您的惡意軟件庫是否處于最新狀態(tài)？

（4）規(guī)模

●您在正常條件下能支持多少用戶？在受到攻擊時又能支持多少用戶？

●添加的新安全解決方案是否會對可支持的用戶數(shù)造成影響？

8　您的惡意軟件測試能力有多強

確保針對受感染系統(tǒng)和負載的測試。

（1）關(guān)于測試的其它考慮

重要的是，測試必須在真實條件下完成。這意味著需要在正常運行條件和系統(tǒng)已經(jīng)處于巨大壓力中的峰值工作負載下進行測試。為了對安全性進行驗證，還必須在模擬的攻擊條件下執(zhí)測試。如果測試不夠真實，便無法找出問題，遺留下來的這些問題將會在生產(chǎn)環(huán)境中突顯出來，到時解決問題所面臨的成本將是最高的。

在真實條件下進行測試不僅僅要精確模擬不同級別的網(wǎng)絡(luò)流量，還必須包括真實流量組合的精確呈現(xiàn)。例如，有些用戶可能會使用SSL連接和/或IPSEC隧道執(zhí)行商業(yè)交易，因此就應(yīng)當(dāng)在加密和非加密流量條件下平等執(zhí)行惡意軟件測試。我們在阻止惡意軟件的同時，必須保證合法活動能夠不受干擾，正常進行。

（2）總結(jié)

為探測和阻止惡意軟件，要用到多種安全系統(tǒng)。這些系統(tǒng)包括防火墻、下一代防火墻、網(wǎng)絡(luò)入侵阻止系統(tǒng)、深層包檢查能力、統(tǒng)一威脅管理系統(tǒng)、反病毒和反垃圾郵件網(wǎng)關(guān)、虛擬個人網(wǎng)絡(luò)和內(nèi)容過濾，以及數(shù)據(jù)泄密阻止系統(tǒng)等。

然而，即便所有這些安全系統(tǒng)和能力均已就位，惡意軟件也會設(shè)法感染目標(biāo)系統(tǒng)。為阻止惡意軟件，必須使用各類基于惡意軟件的攻擊，對所有的安全系統(tǒng)進行仔細的測試和驗證，確保它們能夠正常工作。

在對安全系統(tǒng)進行強健測試時，所需的設(shè)備必須能夠生成真實的惡意軟件負載，并且仿真出已受感染系統(tǒng)的網(wǎng)絡(luò)流量。在對安全系統(tǒng)的全面測試時，還需要采用PASS等適當(dāng)?shù)臏y試方法，也就是對所涉及的性能、可用性、安全性和規(guī)模進行測試。

在執(zhí)行安全測試時，思博倫解決方案能夠滿足您所有的需求。

而且，思博倫對安全了如指掌，能夠充滿信心地保證各類網(wǎng)絡(luò)和服務(wù)的安全性和彈性，確保其連續(xù)、順暢的運行，讓企業(yè)、政府機構(gòu)、設(shè)備廠商、服務(wù)和基礎(chǔ)設(shè)施供應(yīng)商可以高枕無憂。

關(guān)于安全和應(yīng)用（AppSec）：思博倫的測試技術(shù)已經(jīng)被廣泛應(yīng)用于仿真真實的流量和威脅及攻擊場景，對世界上最容易受到攻擊的網(wǎng)絡(luò)執(zhí)行全面的安全性、性能和有效性測試和測量，讓這些網(wǎng)絡(luò)永遠不會因流量過大而面臨速度限制或服務(wù)完全中斷的困擾。