【51CTO.com独家翻译】一项对二十多年间成千上万款安全产品进行调查的研究发现,大多数产品获得认证之前需要经过多轮测试。
周一发布的一份报告指出,78%的安全产品在首次测试时不能按照计划运行,并且需要至少两轮的进一步测试才获得认证。
这份《ICSA 实验室产品保证报告》来自 ICSA 实验室,它是 Verizon Business 公司的一个部门。这份报告是与 Verizon Bussiness 公司的数据破坏调研团队联合推出的,调查结果基于对过去二十多年间的上千款安全产品测试的调查和研究。
这份报告的目的是让购买者认识到“在安全产品领域,所有事情并非是表面看到的那样”,并且让销售商了解认证流程中常见的易犯的错误。
ISCA 实验室总经理乔治·杰帕克(George Japak)和该报告的一个联合作者在一项声明中指出,销售商应将认证失败视为提升他们产品性能的机会。
仅有 4% 的产品在第一轮测试时通过认证。不过,大多数销售商都致力于弥补他们产品中的缺点,并再次提交进行认证。结果是 82% 的提交产品最终获得了认证。
82% 这一数字是平均值,其中包含了杀毒软件、网络防火墙、Wep 应用程序防火墙、网络 IPS、IPsec VPN、SSL VPN 以及定制测试产品。对于这些产品列表中大多数,最终获得认证的产品百分比范围为:80%至100%。但其中一个类别——网络 IPS——是一个例外:仅有 29% 的网络 IPS 产品获得了认证。报告称该类别产品包含了那些具有严格测试要求的复杂科技,并指出许多销售商因无法通过这些严格的测试而在认证流程中被淘汰。
这些认证失败的根本原因在于经过测试的产品没能够做到他们应该完成的功能。
对于杀毒产品,失败原因在于无法阻止病毒,而对于IPS(防止入侵系统),在于没有能够屏蔽恶意网络攻击。
未能正确地记录数据日志是认证失败的第二个最常见的原因。
安全问题是认证失败的第三个最常见原因。44% 的安全产品都出现这种问题。
“更具讽刺意味的例子之一是,我们曾遇到一个 Web 应用程序防火墙,它在Web 管理界面中暴露了大量脆弱点,”该报告。“对于定制测试程序、Web 应用程序防火墙和网络防火墙程序,跨站脚本编程、SQL 注入、缓冲区溢出漏洞和未加密管理界面是一些常见的安全问题。”
【51CTO.com 独家翻译,转载请注明出处及作者!】
【编辑推荐】
