因时而变,因势而变,网络安全测试亦须如此。随着云计算、大数据、移动互联网的快速发展,“应用”、“移动化”等在成为网络安全的新关键词。我们正在进入新网络安全时代,那么诸如下一代防火墙这类应对下一代恶意威胁的安全产品是否真的能够发挥出其预期的效果?面对下一代网络安全,需要提供与之适应的安全测试方法。思博伦通信亚太区业务发展经理曲博认为,随着移动互联网的快速发展,应用的极大丰富以及快速更新,对网络安全测试提出了新的需求。
下一代网络安全提出测试新要求
下一代网络安全的特点主要表现在两个方面:应用的爆炸增长使得应用感知成为下一代网络安全的特点之一;另一方面,攻击在变得更加复杂,而且基于应用的攻击快速增加。不同的应用会使用不同的应用协议,而同一应用也会具有不同的版本和行为,所以如何对各类应用进行精准模拟就极为重要,因为只有这样才能为用户提供最接近真实的测试环境。下一代网络安全会面临更多来自于0 Day漏洞的未知攻击、恶意软件这类基于应用的攻击,以及利用协议的攻击等等,这就需要在测试时能够提供尽可能全面的攻击库。另外我们需要注意到,分布式、大流量这两大特征使得针对DDoS攻击的安全测试具有一定难度。而且现在的DDoS攻击正在呈现出更加智能化的特性,比如,会通过重定向的方法绕过安全防线,那么如何模拟真实的攻击场景就十分重要了。在真实的网络环境中,攻击流量都是混杂在正常的网络流量里,好的安全产品应该是在能够准确拦截攻击的同时,不会降低其自身性能。所以在进行测试时需要将真实流量和混合流量混合在一起。
下一代网络安全测试要真实全面更具人性化
总结上面的下一代网络安全测试新要求可以看到,下一代网络安全测试解决方案要能够提供真实网络环境下的真实应用流量模拟,海量应用仿真以及真实网络环境下的攻击仿真测试。在提供标准应用库、攻击库的同时,要使得用户能够根据自己的需求,扩展定制其测试能力。专业的网络安全测试往往意味着复杂的操作,这使得并不专业的用户们都大为头疼。所以下一代的安全测试需要更加人性化,提供更好的用户体验。而思博伦所提出的测试方法学则能够帮助用户更好的实施安全测试。
1、真实的应用流量模拟
移动互联网刺激了应用的空前繁荣,各种流行应用极大丰富了人们的生活,在实际的应用流量里不仅有各种类型的应用、不同版本的应用,而且应用之间也会互相产生影响,许多攻击更是附着在应用之上。所以在模拟应用流量上就需要注意到前述这些要素。据曲博介绍,针对此,思博伦提供及时、周期性更新的应用库。而相应的编辑工具,能够帮助用户按照需要生成最新应用,并以此建立应用库——SAPEE(PCAP导入)。这使得构造复杂的应用场景性能测试变得轻松简单。
2、真实的攻击仿真测试
下一代的恶意攻击非常复杂,不仅有病毒、蠕虫、木马、宏病毒、垃圾邮件、间谍软件、广告软件、Rootkit等传统方法,APT、DDoS攻击、网络钓鱼、零日攻击、社交攻击等新型攻击手段更在不断挑战用户的安全防线。思博伦的下一代网络安全测试方案不仅提供大流量DDoS仿真测试,还能进行DDoS攻击和正常流量相混合情况下的测试、内嵌攻击安全测试等。目前,思博伦支持8000多种已知攻击/漏洞测试方法,其攻击库每月更新,攻击模型包含了多种软件平台和攻击场景,混合攻击流量和业务背景流量使用同一个端口发送,还可以同时测试恶意攻击识别能力和系统的正常业务处理能力。
3、建立真实的网络测试环境
一些安全设备在单纯的攻击流量环境中,可以阻断所有攻击,但是当环境中同时混合了攻击流量和正常流量的时候,这些设备就会漏报部分攻击。而在真实的网络中,并没有单纯的攻击流量,所有的攻击都是和其它流量混合在一起的。攻击流量与正常流量混合的测试方法可以检查安全设备在检测和阻断攻击流量的同时,不影响其对正常流量的转发,即无性能上的损耗。
另外,新网络安全时代的安全测试对正常流量部分的模拟也有了更高的要求:需要根据不同应用场景建立不同流量模型,然后测试攻击流量在不同流量模型下对安全设备或者网络处理应用性能的影响。
思博伦的下一代网络安全测试方案Avalanche NEXT包含数千种攻击属性和向量,使用户能够对攻击和应用的任意组合执行测试。Avalanche NEXT可生成包含可靠负载的应用流量,对实际使用中的真实安全性、负载和功能进行测试。Avalanche NEXT是世界上连接速率性能最高的HTTP测试议,为用户提供了将设备和网络推向极限的强大能力。Avalanche NEXT中包含的Spirent TestCloud使得用户能够访问数以千计最新的性能和安全性测试。
测试要有标准,但标准不是唯一的,标准是测试的立足之本,在标准之上会进行扩张,使得测试更符合用户需求。因此,需求测试仪表只是一个工具,重要的是测试方法。曲博认为“好的测试方法可以指导用户更有效的测试”,测试方法学将实际的测试需求与测试仪器的操作融合在一体。思博伦一直很重视测试方法学的研究,多年来将测试经验、测试专业整理成测试方法学,提供给客户。
面对下一代网络安全,测试方法已经准备好了,那么下一代安全产品们是否也已经Ready?