統一全球網絡安全設備的測評方法!網絡安全標準化將迎來重大進展
責編:gltian |2023-06-16 15:26:27行業組織NetSecOpen最近發布了新版網絡安全設備性能基準測試指南草案,預計將在今年晚些時候正式采納。NetSecOpen是一家由眾多網絡安全公司和硬件測試組織組成的行業聯合會。
今年5月,NetSecOpen針對下一代防火墻技術發布了最新版測試標準,并收集反饋意見,向著最終版標準邁進。NetSecOpen執行總裁Brian Monkman表示,最終版標準將成為共識性方法,指導網絡安全設備基準測試。這樣,即便評估由不同第三方實施,也能對不同供應商的設備進行比較。
他說:“我們正努力實現前所未有的事情——制定一套針對網絡安全產品的標準測試規范,可由多個實驗室使用不同測試工具實施,并獲得可比較的結果。這有點類似汽車里程測試,由于“每加侖里程”的衡量和測試方式繁多,迫使業界制定一套統一標準。這就是我們正在做的事情。”
NetSecOpen成立于2017年,旨在緩解產品制造商和測試實驗室之間的緊張關系,這種關系有時甚至充滿敵意。該組織的會員包括思科、飛塔、Palo Alto Networks、WatchGuard等大型網絡安全公司,Spirent、Ixia等測試設備制造商,以及歐洲高級網絡測試中心(EANTC)、美國新罕布什爾大學互操作性實驗室(UNH-IOL)等評估機構。
將取代20年歷史的舊標準
最新版標準文件的發布是互聯網工程任務組(IETF)流程的一部分。但是,這并不意味著最終版指南是設備制造商必須遵守的強制性互聯網標準。最終版指南將為測試方法和配置提供通用策略,從而提高測試結果的可復制性和透明度。
NetSecOpen在更新版草案(RFC9411)中指出,目前由IETF發布的防火墻測試標準(RFC3511)已有20年的歷史,期間技術發生了巨大變化。
草案表示:“安全功能的實施不斷演變,變得高度多樣化。實施手段有入侵檢測和防御、威脅管理、加密流量分析等等。在這樣一個日益重要的行業,有必要制定定義明確、有可復制性的關鍵績效指標(KPI)。這樣才能對網絡安全功能進行公正合理比較。”
更新版草案認定的NGFW、NGIPS典型功能
真實場景的測試用例
NetSecOpen的測試目的是,使用真實數據將最新網絡安全設備與現實的網絡負載和安全威脅進行比對。比如,攻擊流量測試集匯集了過去十年攻擊者經常利用的漏洞。
NetSecOpen草案推薦了具體的測試架構、IPv4和IPv6之間的流量混合,以及啟用的安全功能。然而,測試還涉及很多其他方面的必要元素,例如模擬瀏覽器的功能、針對已知可利用漏洞的攻擊流量,以及各種吞吐性能的測試——測試指標包括應用程序流量、HTTPS請求、QUIC協議請求等。
網絡安全公司Palo Alto Networks是NetSecOpen的創始成員。該公司產品線管理總監Samaresh Nair表示,Palo Alto Networks一直與NetSecOpen合作“創建測試方法,并積極使用這些方法測試自己的防火墻。測試流程是標準化的,由有資質的測試機構進行認證。通過測試流程,客戶可以得到標準化測試結果,用于評估各種產品。”
此外,NetSecOpen正在更新漏洞測試集,因為美國網絡安全與基礎設施安全局(CISA)論證表明,較小的非關鍵漏洞一旦組合起來,也可以形成有效攻擊。以前,相關組織認為這些漏洞大部分威脅性很低。然而,CISA收集的攻擊鏈數據顯示,攻擊者會做出調整,更好地利用這些漏洞發起攻擊。
Monkman說:“現在,我們必須關注一些過去被忽視的常見漏洞(CVE)。這些漏洞正在被組合起來發起攻擊。這將是我們面臨的最大挑戰,因為CISA發布的已知被利用漏洞(KEV)列表可能會擴容。”
走向云安全
NetSecOpen不僅僅關注新的組合型漏洞,比如當前針對教育和醫療領域的各類威脅,還希望將檢測攻擊者使用的命令與控制通道、感染和橫向移動的預防方法等納入考慮范疇。
UNH-IOL技術經理Chris Brown表示,未來規劃還包括對云環境(例如分布式云防火墻和Web應用防火墻)進行安全測試。該實驗室于2019年加入了NetSecOpen。
“面對云環境,NetSecOpen不會改變追求定義明確、開放和透明的標準的使命,而將擴展正在測試的產品。盡管云計算有許多優點,在可預見的未來,網絡邊界防御仍然很有必要。”
參考資料:darkreading.com
來源:安全內參