为什么需要对安全性进行测试

■ 北京 王立

编者按：如今很少有企业能够对所使用的安全产品或解决方案进行验证，这在应对复杂多变的安全形势下是十分不利的，企业应当实施深入的测试来弥补这些风险。

想必网络安全人员都熟悉“信任但要验证”（Trust but Verify）一词。但不幸的是，每当涉及到保护网络时，大多数企业都依赖于信任，但是并没有或很少验证其安全解决方案是否能够正常工作。

最近一项对安全运营有效性进行的调查发现，只有37%的安全专业人员会明确地验证其安全产品是否已正确配置和运行。这种缺乏测试和验证的行为将可能直接导致企业遭受破坏性的网络攻击。

其中一半的调查受访者表示，他们发现在企业遭到网络攻击后，才会有一个或多个安全解决方案按预期发挥作用。在网络防御中存在这样的薄弱环节，那么接下来的这组数据也就不足为奇了：有75%的受访者表示企业在过去的一年中经历了一次漏洞威胁（例如未经授权的入侵、恶意软件的感染或黑客入侵），在过去三年中，有47%的用户发生过三次或以上的数据泄露事件。

企业实施深入的测试策略来弥补这些安全漏洞并减少被破坏的风险，而不是简单地信任并希望其安全产品按预期工作，理解这一点是至关重要的。但是该策略应包括什么？

测试的三个“P”

在制定有效的安全测试策略时，需要考虑三个“P”：

·产品，部署涵盖跨企业网络及其配置的安全工具。

·流 程，涵盖如何安装和维护这些安全产品或服务，包括如何管理和升级补丁。

·人员，主要关注IT和安全团队应对网络事件的能力，但还应包括企业的员工。

测试安全产品

测试产品包括评估每个安全工具或服务的性能，以确保其达到预期的吞吐量、过滤和阻断流量的水平。它涉及检查是否没有任何可被黑客识别和利用的错误配置（例如未更改的出厂默认密码），它还应包括评估解决方案之间任何可能的功能重叠。

在该调查中，2/3的受访者表示他们的安全工具的功能有重叠的现象，当然，用户也表示这种重叠是无意的。换句话说，企业只是将安全产品添加到其安全结构中，而没有适当地评估是否真正需要它们，或检查现有解决方案是否已配置并正常工作。

这些安全工具功能无法充分发挥作用也会导致安全预算的浪费，IT和安全团队的时间也会白白消耗，同时扩大了企业的攻击面。79%的用户表示，如果他们认为某项安全产品无效，就会从名单中删除该产品。毫无疑问，这种做法对于企业整体的安全防护是不利的。产品测试可增强企业的安全状况，并有助于有效利用安全预算和资源。

测试流程

为确保企业网络中不会留下任何被轻易找到的后门，企业必须定期对软件版本进行检查，确保及时更新最新应用软件补丁程序，来有效地管理和维护安全产品。鉴于新威胁和新恶意软件变种的不断涌现，这种检查和更新操作至少应每月进行一次。

根据CVE披露的数据，2019年出现了超过12000个新漏洞，其中1100个以上为严重漏洞，平均每个月就有90多个。因此保持产品更新和定期测试将有助于弥补企业安全架构方面的漏洞。

培训事宜

没有哪个企业能够做到完全自动化的安全，安全团队需要定期处理各种突发情况，与安全产品和解决方案相互补充，以弥补安全产品的不足，而不是成为安全的短板。但该调查显示，只有不到一半的用户表示会定期演练在经历安全事件后如何进行补救和恢复。团队需要针对网络事件场景进行积极演练，才能确保在网络攻击真正发生后进行高效响应。不止是安全团队，培训对象还应该扩展到企业的每一个员工，涵盖诸如如何识别恶意电子邮件或网络钓鱼，以及如何安全保护帐户凭据之类的问题。

总之，永远不能想当然地认为企业安全防护已足够强大，网络犯罪分子在不断尝试新的攻击手段，企业需要确保与时俱进，保持对防范网络攻击手段的“前瞻性”。这意味着要定期对安全产品、流程和人员进行测试，这样做也是为了更好、更有效地防范攻击。