洞見(jiàn):并非作弊 開(kāi)放測(cè)試標(biāo)準(zhǔn)可提高安全性
在建立安全標(biāo)準(zhǔn)時(shí),通過(guò)保證測(cè)試方法覆蓋多個(gè)場(chǎng)景,來(lái)確保設(shè)備在所有環(huán)境中都能正常運(yùn)行非常重要。
網(wǎng)絡(luò)由很多定義標(biāo)準(zhǔn)不同的部分組成。這些標(biāo)準(zhǔn)有助于解決從安全性到性能和可用性相關(guān)的網(wǎng)絡(luò)問(wèn)題。
開(kāi)放標(biāo)準(zhǔn)是一種公開(kāi)可用的標(biāo)準(zhǔn),人們可以通過(guò)多種方式使用它來(lái)為網(wǎng)絡(luò)部署安全解決方案。人們通過(guò)閱讀開(kāi)放安全標(biāo)準(zhǔn)來(lái)了解一項(xiàng)技術(shù)如何有助于解決網(wǎng)絡(luò)安全問(wèn)題。開(kāi)放標(biāo)準(zhǔn)的執(zhí)行者可以創(chuàng)建解決方案來(lái)解決已有的安全問(wèn)題。網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)閱讀這些標(biāo)準(zhǔn)來(lái)了解不同的實(shí)踐如何協(xié)同工作,從而形成一個(gè)完整的安全解決方案。
這些網(wǎng)絡(luò)解決方案通常出自不同的地方,這導(dǎo)致出現(xiàn)了各種測(cè)試流程和方法來(lái)確保網(wǎng)絡(luò)組件支持用戶的所有安全和性能需求。由于大多數(shù)標(biāo)準(zhǔn)也是開(kāi)放的,所以測(cè)試方法也是開(kāi)放的。但通常情況并非如此,雖然應(yīng)該如此。
有關(guān)開(kāi)放安全測(cè)試標(biāo)準(zhǔn)的案例
經(jīng)常聽(tīng)到的反對(duì)開(kāi)放測(cè)試標(biāo)準(zhǔn)的觀點(diǎn)是,網(wǎng)絡(luò)組件工程師可以看到測(cè)試并根據(jù)已知的標(biāo)準(zhǔn)創(chuàng)建解決方案。這看起來(lái)像是在作弊,因?yàn)闇y(cè)試題目是已知的,網(wǎng)絡(luò)運(yùn)營(yíng)商可以設(shè)計(jì)他們的產(chǎn)品來(lái)通過(guò)測(cè)試。如果測(cè)試完全覆蓋了網(wǎng)絡(luò)運(yùn)營(yíng)商想要的安全功能,那么他們是否知道測(cè)試內(nèi)容并不重要。測(cè)試的結(jié)果將是一個(gè)網(wǎng)絡(luò)組件完全符合測(cè)試用例。通過(guò)創(chuàng)建一個(gè)開(kāi)放的測(cè)試環(huán)境,網(wǎng)絡(luò)組件工程師可以建立一個(gè)滿足網(wǎng)絡(luò)運(yùn)營(yíng)商需求的解決方案。
在建立安全標(biāo)準(zhǔn)時(shí),保證測(cè)試方法覆蓋多個(gè)場(chǎng)景,以確保設(shè)備在所有環(huán)境中都能正常運(yùn)行非常重要。至于安全測(cè)試方法,可能需要隨機(jī)化輸入?yún)?shù)來(lái)覆蓋所有用例,用來(lái)檢測(cè)出那些只是調(diào)整設(shè)備性能以滿足測(cè)試用例需求而不是實(shí)際需求的設(shè)備。例如在測(cè)試防火墻是否能檢測(cè)到CVEs時(shí),運(yùn)行一個(gè)包含漏洞的流量組合非常重要,這樣才能確保設(shè)備能在各種情況下都能檢測(cè)到攻擊并阻止攻擊。
開(kāi)放測(cè)試標(biāo)準(zhǔn)的另一個(gè)優(yōu)點(diǎn)是,用戶和網(wǎng)絡(luò)運(yùn)營(yíng)商能夠了解什么是安全測(cè)試以及如何去執(zhí)行測(cè)試。操作人員可以通過(guò)了解現(xiàn)在使用的安全測(cè)試用例,來(lái)確認(rèn)測(cè)試是否滿足特定的需求。如果不滿足,他們可以進(jìn)行其他測(cè)試。
建立反饋循環(huán)
如果有組織機(jī)構(gòu)負(fù)責(zé)維護(hù)該標(biāo)準(zhǔn),那么運(yùn)營(yíng)商可以通過(guò)信息反饋查漏補(bǔ)缺,這樣將來(lái)網(wǎng)絡(luò)運(yùn)營(yíng)商就不必進(jìn)行額外的測(cè)試了。了解如何對(duì)網(wǎng)絡(luò)組件進(jìn)行測(cè)試還可以讓網(wǎng)絡(luò)運(yùn)營(yíng)商和用戶更好地理解測(cè)試結(jié)果,因?yàn)闇y(cè)試結(jié)果本身往往無(wú)法提供有關(guān)測(cè)試條件的足夠背景信息。 例如,了解一個(gè)設(shè)備是否在沒(méi)有負(fù)載時(shí)通過(guò)了安全測(cè)試,但在有負(fù)載時(shí)卻沒(méi)有檢測(cè)到攻擊非常重要。
比較來(lái)自不同網(wǎng)絡(luò)供應(yīng)商的安全測(cè)試報(bào)告也非常重要。這樣可以提高測(cè)試方法的透明度,優(yōu)化決策過(guò)程。開(kāi)放測(cè)試標(biāo)準(zhǔn)提供了一個(gè)能夠進(jìn)行比較的機(jī)會(huì)。例如,在安全性能測(cè)試中,防火墻的帶寬測(cè)試結(jié)果會(huì)根據(jù)啟用的安全功能不同發(fā)生很大變化。如果沒(méi)有開(kāi)放標(biāo)準(zhǔn)明確這些信息,用戶可能對(duì)著兩份不同執(zhí)行結(jié)果報(bào)告,而不理解結(jié)果的不同取決于啟用了哪些功能。
安全標(biāo)準(zhǔn)的執(zhí)行者可以通過(guò)開(kāi)放測(cè)試標(biāo)準(zhǔn)更好地了解網(wǎng)絡(luò)運(yùn)營(yíng)商感興趣的測(cè)試內(nèi)容。網(wǎng)絡(luò)運(yùn)營(yíng)商則可以通過(guò)開(kāi)放標(biāo)準(zhǔn)測(cè)試進(jìn)行比較,使網(wǎng)絡(luò)決策變得更加容易。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
