正文

最新的SELabs测试报告中为何忽略了下一代终端产品?

admin
admin V管理员 /0 评论 /28 阅读
0318
此篇文章发布距今已超过1146天,您需要注意文章的内容或图片是否可用!

导读

一、      前言

二、      基本介绍

三、      传统安全厂商与下一代安全厂商之间的博弈

四、      报告内容详解

五、      现状分析

六、      结论

七、      其他资料

 

(一)、前言

英国的产品测试实验室SELabs近期发布了三份针对终端安全产品的测试报告。在拿到了这些测试报告之后,SecurityWeek的安全专家们立刻对其中的一份测试报告进行了非常详细的分析。这份报告的标题为《2016年4月至6月的企业终端保护测试报告》,在这份报告中还介绍了很多测试样本,其中绝大多数的恶意软件样本都是勒索软件。测试结果显示,卡巴斯基实验室的安全防护产品针对这些恶意软件样本的检测准确率能达到100%。而微软公司的企业级安全防护软件(System Center Endpoint Protection,其前身为MSE)检测准确率只有77%。

 

(二)、基本介绍

SELabs是英国一家专门进行产品安全测试的第三方安全公司,其总部设在克罗伊登(英格兰东南部的一座城市),Simon Edwards目前是这家公司的负责人。在此之前,Edwards曾是Dennis技术实验室(Dennis Technology Labs)的技术总监,而且他还出任过反恶意软件测试标准组织(AMTSO)的董事长。他非常热爱信息安全这一行业,而且他也非常精通反病毒软件的理论知识和实践方法,是一名在业内得到了广泛好评的安全研究专家。

(三)、传统安全厂商与下一代安全厂商之间的博弈

目前,下一代终端安全市场似乎出现了供给与需求之间的断裂。比如说,大约有75%-80%的企业正在购买新的高级威胁防护工具,而剩下的20%-25%企业选择了终端防护和响应工具。这就引出了一个非常明显的问题:这种行为是否是市场不成熟的表现?这种情况是否会随着时间的发展而有所改善呢?

 

现在,很多传统的安全厂商正在对现有的产品增加新的安全保护功能。而与此同时,他们也在收购安全领域的初创企业,以此来为其产品增加创新型软件的功能。如果这些传统的安全厂商能够顶住下一代终端安全初创企业的猛攻,并加强其销售、服务和技术支持能力,它们将很有可能获得重生的机会。

 

(四)、报告内容详解

我们可以从报告中看到两个明显的特点:第一,这份报告中只包含有六款测试产品;第二,报告并没有涉及到下一代安全产品。鉴于目前传统的反病毒厂商和下一代安全防护产品之间的微妙关系,关于下一代安全产品测试内容的“缺失”着实有些令人惊讶。SELabs的负责人Simon Edwards解释称,对现代安全产品的测试其过程是非常复杂的,需要消耗大量的人力物力。我们必须考虑到这一点,所以只能对有限数量的产品进行测试。他在接受SecurityWeek的采访时表示:“我们只对目前最热门的几款产品进行了测试。我们根据这些产品所占的市场份额,再加上我们自己对这些产品的看法,选取出了目前业内关注度较高几款安全产品来进行分析测试。”

 

所以,我们不得不在分析结果的客观价值上打一个小小的问号。当信息安全专家为了解决终端产品中存在的问题时,往往需要寻找到最佳的解决方案。但是在这个过程中,他们的判断通常都带有个人的主观色彩。虽然在这份报告中SELabs的分析人员只对一小部分安全产品进行了测试,但测试结果是否真实有效?这些测试结果是否能得到这些安全厂商的认可?这仍然是个问题。

 

关于这一点,每个人都有自己的看法。为此,SecurityWeek与多家在此报告中没有提及的安全厂商进行了沟通。Luis Corrons是PandaLabs的技术总监,他表示:“如果参与测试的产品数量有限,那么测试结果的价值也就是有限的。很明显,参与测试的产品数量肯定是越多越好。”

 

但是,Edwards也得到了David Harley(ESET的高级安全研究专家)和Sean Sullivan(F-Secure的安全顾问)的支持。Harley认为:“SELabs这样做的一个好处就是,他们不必对每一款安全产品中的恶意软件样本进行分析。因为SELabs对分析样本的选择是非常挑剔且慎重的,所以在测试的过程中,他们不会将时间和精力花费在一些无关紧要的问题上。”所以他的观点就是:SELabs选取目前市场上较为热门的安全产品来进行企业产品测试,是一个非常合理且高效的选择。

 

然而,被报告排除在外的下一代安全厂商对这件事情的回应则略显生硬。当被问及到这份报告是否真的能够被称作《企业终端保护测试报告》时,Cylance公司的副总裁Chad Skipper(分管产品测试与认证部门)则直接给出了否定答案。

 

SentinelOne公司的首席营销官Scott Gainey则认为,如果没有足够数量的测试对象,如果测试对象不包括各种安全威胁(例如当下很多未知的安全威胁,无文件恶意软件,以及各类脚本威胁)在内的话,那就称不上是安全测试了。

(五)、现状分析

这样看来,SELabs在测试过程中只选取了少量测试产品的行为的确是可以理解的。但是这仍然无法解释他们为何没有对下一代安全厂商的防护产品进行测试。Edwards告诉我们:“从我们过去所积累下的经验来看,我们发现很多所谓的“下一代”安全厂商并不愿意向第三方测试机构提交测试样本。他们都有各自的理由,而有些厂商的原因确实很合理。我们私下已经和多个著名的新型安全厂商进行了合作,最新的分析结果很快便会公布出来。自今年年初以来,我已经注意到越来越多的公司逐渐表现出了对产品测试的兴趣。但是只要有一家比较出名的安全厂商拒绝与第三方测试机构合作的话,这将会打击安全测试人员的积极性。所以我认为,现在的时机仍然不够成熟。”

 

这种观点是完全可以理解的。Cylance公司认为:“没错,我们对此一直抱着积极的态度。”SentinelOne公司的Gainey表示:“在几个月之前,曾有多家第三方测试机构联系过我。我向他们提供了SentinelOne的账号,并且还专门抽出了时间来配合他们工程师的工作,但是之后就不了了之了。”Edwards告诉SecurityWeek,如果SELabs也能得到类似的机会,他保证他们会对这些安全产品进行测试。因为这有助于双方共同进步,但很明显,我们目前还没能得到这样的机会。

 

有趣的是,SentinelOne公司愿意花费大量的资金来支持自己的安全产品。在今年的七月底,该公司对外宣布,他们的安全防护产品可以抵御任何勒索软件的威胁。如果用户在安装了他们的安全防护产品之后,仍然感染了勒索软件。那么公司将承诺为个人用户和企业用户分别提供最高一千美金和最高一百万美金的赔偿款。Gainey在接受SecurityWeek的采访时表示:“不只是终端安全厂商,我还想看看类似网络安全和Web安全等其他领域的厂商是否也会采取同样的做法。在此之前,很多安全厂商都称自己的安全防护软件是百分之百安全的,但我们都知道这是不现实的。如果你们的产品真的那么优秀,那么你们根本就不必为自己的产品做出任何的赔偿承诺。”

(六)、结论

虽然在此次的终端产品安全分析报告中,SELabs只对少数的几款安全产品进行了测试。但我们应该注意,SELabs在业内拥有非常好的声誉,而且实验室的安全研究人员技术也非常过硬,他们的研究步骤和处理方式从来没有受到过批评和指责。

 

然而,由于在这份报告中并没有涉及到任何下一代安全产品,所以如果要将这份报告称为“企业终端保护分析报告”的话,未免有些言过于实了。除此之外,如果参与测试的产品数量较少,则会给人带来一种错觉:这款产品检测这些安全威胁的能力可能会比其他产品要强得多。但我们都清楚,这种观点明显是错误的。作为信息安全行业的从业人员,我们不应该让用户产生这样的错觉。

 

(七)、其他资料

1.SELabs官方网站:

http://www.selabs.com/

2. 《2016年4月至6月的企业终端保护测试报告》:

http://blog.selabs.uk/2016/08/2016Q2-regular.html

3.《传统安全厂商与下一代安全厂商之间的“战争”》:

http://www.securityweek.com/inside-competitive-testing-battlefield-endpoint-security