思博伦通信



思博伦技术专栏

您的恶意软件测试能力有多强
——确保针对受感染系统和负载的测试

思博伦通信

编者按：根据反钓鱼工作组等反网络犯罪联盟所收集的数据，恶意软件已经感染全世界近1/3的计算机。更糟糕的是，这些数字还在不断增加。Panda Security所进行的研究显示，恶意软件的每日采样数已从每天8万份（2013年第四季度）增加至2014年第一季度的16万份。思博伦通信的《您的恶意软件测试能力有多强》一文对恶意软件测试能力进行了分析和研究，并对针对手感染系统和负载的测试进行了剖析。思博伦的测试技术已经被广泛应用于仿真真实的流量和威胁及攻击场景，对世界上最容易受到攻击的网络执行全面的安全性、性能和有效性测试和测量，让这些网络永远不会因流量过大而面临速度限制或服务完全中断的困扰。

1　引言

根据反钓鱼工作组等反网络犯罪联盟所收集的数据，恶意软件已经感染全世界近1/3的计算机。更糟糕的是，这些数字还在不断增加。Panda Security所进行的研究显示，恶意软件的每日采样数已从每天8万份（2013年第四季度）增加至2014年第一季度的16万份。

受影响的企业可能会面临长期后果，例如竞争地位受损或企业倒闭。而如果受到侵害的是政府部门，则可能导致国家安全受到威胁。在恶意软件感染的许多实例中，都会有较为先进的持久性威胁会乘机进入受保护的网络。

2　综述

当技术不断发展演化时，恶意软件也在进化。不幸的是，这意味着技术领域的大趋势也在为强大的新型恶意软件搭建舞台。例如，随着基础设施连接性的提高，包括智能度量仪表、智能传感器和远程控制公路信号等，都将在核心服务受到干扰时制造出更大的风险。

为了探测和阻止恶意软件，人们使用了多种安全系统。这些系统包括防火墙和网络入侵阻止系统、深层包检查能力、统一威胁管理系统、反病毒和反垃圾邮件网关，以及内容过滤和数据丢失预防系统等。这些系统上还采用了一些更新的安全技术，可以查出受保护网络上已被感染的端点，从而探测入侵情况。实现这一目标的方法通常是使用多种类型的、基于网络的行为剖面分析。

即使所有这些安全系统和能力均已就位，恶意软件仍会设法感染目标系统。为了阻止恶意软件，必须使用各类基于恶意软件的攻击，对所有的安全系统都进行仔细的测试和验证，确保这些系统的正常运行。在对安全系统进行强健测试时，所需的测试设备必须能够生成真实的恶意软件负载，并且仿真出已受感染系统的网络流量。

在对安全系统的全面测试时，还需要采用适当的测 试 方 法 ，将 性 能（Performance）、可 用 性（Availability）、安全性（Security）和规模（Scale）均考虑在内。结合这4项变量的全局性测试将能够得到非常可靠的测试结果。

重要的是，此类测试必须在真实条件下完成。这意味着需要在正常运行条件和系统已经处于巨大压力中的峰值工作负载下进行测试。这还意味着不仅仅要精确模拟不同级别的网络流量，而且还要包括真实流量组合的精确呈现。

3　认识恶意软件

Malware就是含有恶意软件的缩写，用于描述怀有敌意的一个软件大类，而此类软件会被用于扰乱计算机运行、收集敏感信息，或获取私人计算机系统的访问权。

常见的恶意软件类型包括：

（1）广告件（Adware）

尽管一些类型的广告件可能被认为是合法的，但也有一些广告件会在未经授权的情况下访问计算机系统，并对用户造成巨大的干扰。

（2）键盘记录器（Keyloggers）

通常，键盘记录器会以隐密的方式跟踪键盘上的敲击动作，并且可能捕获密码或信用卡号。

（3）勒索软件（Ransomware）

勒索软件在计算机系统上安装后，会限制用户的正常访问权，并且索要赎金后方可删除。

（4）Rootkits

这一类型的恶意软件会获取计算机系统的访问权限，并将自己隐藏起来，让正常的探测方法无法发现。

（5）间谍件（Spyware）

间谍件会在计算机用户不知情的情况下观察用户的活动，并将其报告给软件的编写者或其它实体。

（6）木马（Trojan Horse）

木马最初会装扮成一种用户需要的正常功能，并借机以未经授权的方式访问计算机系统。

（7）病毒（Viruse）

计算机病毒通常会将自己附带在可执行文件上，并通过这种方式执行恶意活动并复制到其它系统上。

（8）蠕虫（Worm）

蠕虫是一种独立的软件，但与病毒类似的是，它会执行恶意活动并将自己复制到其它系统上。

根据Panda Security公司2015年第二季度的PandaLabs年度报告，2015年第二季度发生的新威胁数量达到了2100万个。而在这3个月中，每天出现的新恶意软件及其变体的数量达到了23万个。这一局面已经为各IT部门敲响了警钟，只有“经常测试和连续监测”才是消减层出不穷恶意软件威胁的有效办法。

面对如此众多的恶意软件和数不胜数的变体，恶意软件用来感染计算机系统的方法自然也是数量巨大。例如，恶意软件可以利用操作系统、应用、浏览器插件和其它类型的软件中存在的安全缺陷。它还会利用不安全的设计，例如某些老式电子邮件系统会自动打开含有恶意JavaScript代码的HTML邮件。过度权限用户和过度权限代码也会为恶意软件破坏计算机系统的活动创造更大的机会。

恶意软件还会使用多种方法将自己散布到其它计算机系统上：

●文件服务器，例如基于通用Internet文件系统（SMB/CIFS）和网络文件系统（NFS）的服务器。当用户访问和下载受感染的文件时，恶意软件也将随之快速扩散。

●文件共享软件可能允许恶意软件复制到可移动介质上，并且传播到其它计算机系统上。

●P2P文件共享所共享的音乐或图片看似无害，但却有可能成为恶意软件的传播渠道。

●电子邮件附件中包含的恶意代码可能被警惕心不强的用户打开，并且被执行。这些附件甚至可能被转发给其他用户，进一步帮助恶意软件四处传播。

●可远程利用的漏洞使黑客能够在极大的地理距离之外访问系统，几乎不需要与计算机用户打任何交道。

从上述方法可以看出，恶意软件通常会通过网络渗透到商业机构、大学、政府机构和家庭中。尽管网络已经成为入侵的主要源头，但它也提供了机会阻止恶意软件到达目标计算机系统。防火墙、统一威胁管理（UTM）系统、验证系统和其它方法都可以用于减轻恶意软件的威胁。与此同时，必须使用基于各类恶意软件的攻击，对所有这些系统进行认真的测试，确保它们处于最新状态并且工作正常，尤其是在每天都会有如此众多攻击被发现的情况下。

4　动机、风险和影响

想要阻止恶意软件，首先要了解相关的动机、风险和影响。要时刻记住，这几方面都是相互关联的。例如，财务方面的动机通常与财务风险相关，并且会最终导致财务方面的影响。

（1）动机

恶意软件背后会有形形色色的多种动机，而且无法预测，因此会为阻止恶意软件的工作带来更多的挑战。有时，动机很简单，就是为了名声，有的黑客希望在黑客的小社会里证明自己。有些黑客为自己正名的方式是将黑客活动与行动主义联系在一起，而这种表达言论的方式也被称为黑动主义（Hactivism）。例如，如果某个个人或团队相信某些政府数据应当被公之于众，他们很可能就会使用恶意软件窃取这些数据并向公众发布。某些形式的恶意软件出于经济或财务方面的动机。以个人或群体形式存在的网络罪犯会开发和使用恶意软件，盗取数据、身份信息和金钱，还有很多其它形式的恶意软件。

（2）风险和影响

与恶意软件背后的动机一样，恶意软件感染造成的相关风险数量众多而且形式多样。而且风险的程度还取决于受攻击的机构类型。对于保存客户信用卡信息等金融数据的企业而言，恶意软件造成的风险可能带来巨大的经济损失，企业将不得不支付巨额的诉讼费用和赔偿金。这些企业还会因品牌声誉受损和客户信心丧失而蒙受更大的损失。

即便有些企业并没有什么金融资产或其它形式的有价值数据，它们也有可能成为攻击的目标。有些攻击者只是想侵入此类机构的IT基础设施，目的就是为了发送垃圾邮件或向其它机构发起攻击。有时，攻击者的目标并不是有价值数据，而是曝光敏感数据，制造恐慌或尴尬。

一旦被恶意软件感染，企业可能受到较为轻微的暂时性影响，例如企业活动受到干扰等。而另一方面，它们可能会面临更严重的长期影响，例如竞争地位受损害，或者导致企业破产。当政府机构成为恶意软件的受害者时，后果可能是生命损失或国家安全受到威胁。

5　日益提升的恶意软件风险

当技术不断发展演化时，恶意软件也在进化。虽然所有类型的机构都在部署和使用新的技术，以便更好地实现自己的目标，但恶意软件的开发者很快就能从未曾预见的漏洞中发现机会。不幸的是，这意味着技术领域的大趋势也在为强大的新型恶意软件搭建舞台。

（1）基础设施连接性

在千年之交时，已经有人预见到，世界上所有的IT基础设施都是互联互通的，但仍然存在一些技术孤岛。例如，公共基础设施，包括执法、消防、交通、水电等，通常都至少保有一些隔离开来的IT组件。现在，在这些曾经被隔离的基础设施中，许多已经可以通过Internet访问，并且成为网络中的一部分。几十年来，网络和Internet充当过恶意软件散布的路径。今天，可以看到越来越多的基础设施以各种形式实现了互联。智能测量仪表、智能传感器和远程遥控的公路信号标志都可以通过Internet来访问。虽然这种加强互联的做法有一定的好处，例如提高效率，但也会增加基础设施和相关服务受到恶意软件干扰的风险。

（2）不断增多的端点

连接到网络中的端点在数量和类型方面都在快速增长，而且已经超过了基础设施连接性的增长速度。例如，就在几年前，企业IT部门要支持的可能只是单一型号的桌面计算机、两种不同版本的笔记本，以及某种经过批准的智能电话。但随着平板电脑和自带设备的大量涌现，在工作场所联网的设备几乎已经达到无穷无尽的地步。

明显的挑战是，在这些设备中很多都是在办公场所之外使用的，所连接的网络也远没有办公场所那么安全。当这些端点受到感染后，恶意软件便会传播到工作场所的许多其它设备上。目前，许多IT机构已经失去了对联网设备的完整控制权，它们急需更好的方法来阻止恶意软件。

6　预防恶意软件

为了探测和预防恶意软件，几乎每一个IT环境都在使用某种类型的安全系统。

深层包检查（DPI）是另外一种阻止恶意软件的重要方法。DPI将入侵探测系统（IDS）和入侵阻止系统（IPS）的功能与传统的有状态防火墙结合在了一起。

许多交换机还提供了为数众多的内建安全能力，其中包括：访问控制列表（ACL）；DHCP嗅探阻止；动态ARP检查；端口级流量控制；安全系统与恶意软件。

在防火墙可以配置多种规则来探测和阻止各种类型的恶意软件。UTM系统能够在单台设备中实现多种安全能力，从而提供更为全面的保护。这些能力可能包括防火墙、NGFW、网络入侵阻止、网关反病毒（AV）、网关反垃圾邮件、虚拟个人网络（VPN）、内容过滤以及数据泄密阻止能力。

（1）安全系统必须经受测试

即便所有这些安全系统和能力均已就位，但恶意软件仍会设法感染目标系统。问题的部分原因在于，在这些安全措施中，很多都过于复杂，因此在部署、配置或管理过程中常常会存在不正确的地方。不幸的是，只要有一个防火墙或交换机端口配置不当，就有可能决定环境安全可靠，还是轻易能够被恶意软件攻破。如果测试时使用的是时间超过6年的大型恶意软件数据库，那么这样的测试是根本没有意义的。思博伦提供的是新发现的和当日恶意软件构件，能够通过TestCloud™内容购阅快速提供数千种恶意软件样本，实现快速且全面的测试覆盖。

为了阻止恶意软件，必须使用多种基于恶意软件的攻击，对所有的安全系统进行仔细的测试和验证，确保它们能够正确运行。在此过程中，必须使用强健的最新恶意软件特征库，确保针对最新攻击开始全面完整的测试。此外，此类测试在执行时还应在网络中采用可靠、真实的流量。

（2）受感染的系统和负载

并非所有的测试设备都能够驱动安全系统全面测试所需的流量。例如，安全系统应探测已经受感染的系统，以及网络流量中的恶意软件负载。然而，如果测试设备无法精确模拟受感染系统的网络行为，恶意软件探测系统将无法得到全面的测试。同样，如果测试设备无法生成真实的恶意软件负载，则DPI等安全系统也将不可能接受全面的测试。要记住，您所选择的测试设备必须能够生成真实的恶意软件负载，并且仿真出已受感染系统的网络流量。测试设备应有能力在大规模条件下生成这两种类型的流量，同时还要驱动其它真实的网络流量。

7　针对恶意软件（Malware）的测试方法

IT中的许多问题都会涉及多种相互依存的变量和折中。例如，很多IT项目在定义过程中都要在范围、时间计划和资源方面相互妥协。如果需要额外的特性，则需要应用额外的资源，并且/或者必须接受更长的时间表。同样，如果关键项目的工作人员（即资源）受抽走，则必须延长时间计划，并且/或者缩减项目的范围。在阻止恶意软件的努力中，也要或多或少地遵循这种动态行为方式，只不过要涉及的变量会多得多。

为了保护企业免受恶意软件的侵害，IT安全性可以提高到极其严格的地步，但这样又会使企业的平稳运行变得极为困难。例如，如果没有人能够访问IT系统，包括合法的用户在内，那么很明显，恶意软件阻止系统的工作方式根本就是不正确的。

在处理恶意软件阻止等安全问题时，还需要考虑4个相互之间存在依存关系的变量：性能、可用性、安全性和规模。要想执行适当的安全性测试，必须对所有这4个变量进行测试，并确保它们之间实现适当的妥协。

测试可以回答关于每个变量的许多问题，而且所有这些问题均与恶意软件测试环境密切关联。下面我们就来提供一些实例。

（1）性能

●您的网络在查找恶意软件的同时还能够处理多少合法流量？

●恶意软件阻止机制在时延和服务质量（QoS）方面对用户有何影响？

（2）可用性

●当恶意软件导致设备进入故障开启或故障关闭状态时，关键服务是否会陷入停顿？

●在受到攻击时，您是否仍然能够为客户提供服务？

●服务转换至故障切换模式需要多长的时间？

（3）安全性

●您的系统能够探测和阻止多少种独立的恶意软件？

●您的系统是否能够阻止最新的安全威胁？您的恶意软件库是否处于最新状态？

（4）规模

●您在正常条件下能支持多少用户？在受到攻击时又能支持多少用户？

●添加的新安全解决方案是否会对可支持的用户数造成影响？

8　您的恶意软件测试能力有多强

确保针对受感染系统和负载的测试。

（1）关于测试的其它考虑

重要的是，测试必须在真实条件下完成。这意味着需要在正常运行条件和系统已经处于巨大压力中的峰值工作负载下进行测试。为了对安全性进行验证，还必须在模拟的攻击条件下执测试。如果测试不够真实，便无法找出问题，遗留下来的这些问题将会在生产环境中突显出来，到时解决问题所面临的成本将是最高的。

在真实条件下进行测试不仅仅要精确模拟不同级别的网络流量，还必须包括真实流量组合的精确呈现。例如，有些用户可能会使用SSL连接和/或IPSEC隧道执行商业交易，因此就应当在加密和非加密流量条件下平等执行恶意软件测试。我们在阻止恶意软件的同时，必须保证合法活动能够不受干扰，正常进行。

（2）总结

为探测和阻止恶意软件，要用到多种安全系统。这些系统包括防火墙、下一代防火墙、网络入侵阻止系统、深层包检查能力、统一威胁管理系统、反病毒和反垃圾邮件网关、虚拟个人网络和内容过滤，以及数据泄密阻止系统等。

然而，即便所有这些安全系统和能力均已就位，恶意软件也会设法感染目标系统。为阻止恶意软件，必须使用各类基于恶意软件的攻击，对所有的安全系统进行仔细的测试和验证，确保它们能够正常工作。

在对安全系统进行强健测试时，所需的设备必须能够生成真实的恶意软件负载，并且仿真出已受感染系统的网络流量。在对安全系统的全面测试时，还需要采用PASS等适当的测试方法，也就是对所涉及的性能、可用性、安全性和规模进行测试。

在执行安全测试时，思博伦解决方案能够满足您所有的需求。

而且，思博伦对安全了如指掌，能够充满信心地保证各类网络和服务的安全性和弹性，确保其连续、顺畅的运行，让企业、政府机构、设备厂商、服务和基础设施供应商可以高枕无忧。

关于安全和应用（AppSec）：思博伦的测试技术已经被广泛应用于仿真真实的流量和威胁及攻击场景，对世界上最容易受到攻击的网络执行全面的安全性、性能和有效性测试和测量，让这些网络永远不会因流量过大而面临速度限制或服务完全中断的困扰。