摘要：评估网络安全策略效果,需要对现网风险及未来可能情况进行评估,然后通过场景复现的方式来评估策略的有效性并作必要的补充和修正,提高安全系数。思博伦可订制、伸缩性强的现网场景再现方法可以快速验证策略，图形化展示结果验证安全策略执行情况。思博伦发起的NetSecOPEN安全评估标准也着重通过现网的场景再现来评估各种安全设备,比较传统标准,更有现网借鉴意义。

王海生    思博伦业务拓展经理

这是我们在前一段时间一个测试的结果，厂家的名字去掉了。我们测试的一个IPS的设备，是在中国四大银行之一，他做IPS的选型。他做了一个非常好的方案，这个方案后来做了一些改动，刚开始让我们去仿真各种攻击，它的识别率和检出率来去评判各个厂家的区别。后来我们对客户说可能IPS在不同场景里面，性能是完全不一样的。对银行来说，可能很多业务是和外部沟通的，如果你的测试只是为了测一个覆盖率、检出率，可能不是很合适。我们需要什么呢？现网里你怎么用的，我们把这个加进去，我们加模型A、模型B，我们看到加了一些模型之后，你看它的IPS的识别能力会下降非常大。在模型A里面下面25%的识别率，在模型B下面更复杂一点，只有4%的识别率。有些厂家已经达到0了，基本全部是通过的。在银行这种场景可能有自己的特点，对用户来说你不要让用户感觉加了安全测试以后，用户的体验很差。这个例子说明了我们在评估一个网络安全设备的时候，这个场景是非常重要的，必须要基于场景，你的项目怎么用的，评估的时候要尽量仿真这个场景，可能更有现实意义，而不是只是测一些数据就可以了。

如何让网络安全设备评估更有现实意义？这些设备在不同的位置，他们可能面临的流量，用户的行为可能是不一样的。这时候可能就需要更多的输入，我们要把真实的场景复现出来，第一个是内容复现，现网应用细粒度重现，现网最新攻击跟踪，昨天一个最新的攻击出来，能不能在我们方案里面放进去去评估，另外尽快更新恶意软件，勒索病毒特别多，引起很大的轰动，造成很大的损失，这些东西能不能尽快仿真出来，然后去评估，评估的时候把它放进去。另外过程复现，沃勒过程是不是可视的，是不是微信聊天，有没有第三方的东西，有没有大家可以看到的东西展示给大家看，评估的时候是不是这个微信。另外多个节点多应用多场景仿真，我仿真这个过程，多个节点之间它的交互过程，被控制的主机以及感染的主机之间的行为怎么仿真出来。另外结果的复现，作为一个评估方案来说，我这个结果给你了，结果给你是不是合理呢？我可能只是测的结果，我发了一万个恶意软件，可能是阻断了一千个或者九千个，哪个好哪个坏，九千个未必一定比一千个好，要看每个结果它的细节。这个测试结果尽量是可回溯的，可以看到下次测的结果是一样的。

思博伦我们在现网的场景复现里面，我们提供了两种方法，叫做Testcloud，测试云，来源于现网，按日定期更新。比如我们目前有上万种APP，包括安卓有三千多种，苹果有2500种的量，包括有PC的，即使同一个安卓版本的微信，比如有六点几版本，五点几版本，我们可以提供它的场景，每个应用有若干种场景来提供。数千种Attack，我们在公开漏洞方面加快了速度，尽快为客户提供有用的新鲜的一些内容。恶意软件这个力度就更大，专门成立一个团队和一些第三方的机构一起来合作，每个月更新一千种以上的恶意软件。我们很多监测机构没有去把这个特征放进去的，已经在我们库里面加进去了。另外用户自定义接口，用户也可以创建你自己的内容。

过程复现，任何一个攻击，一个应用，你自己产生的一些恶意场景，都可以生成Call Flow，知道每个主机之间怎么交互的，整个过程是怎么样的。过程复现，我们会基于我们的硬件平台，硬件平台叫CyberFlood平台注入测试云内容进行可控现网仿真，来去评估各种设备。比如我们在这里面仿真各种攻击，不像以前单向的。我们专门内置了NetSecOPEN测试方法学，集成到我们设备里面来，这样的话，可以更快的把现有的流量、场景，各个应用之间的比例关系，来更快的实现出来，我们这个是定期更新的，它的应用分布也是不一样的，更快的来去仿真我们现有互联网的场景。

结果的复现，我们说场景复现，除了内容复现、过程复现，还有一个结果复现。在我们测出来的结果怎么去呈现给客户，任何一个攻击放在里面或者一个APP放在里面，我们都会提供一个结果给你，这个结果包括两部分，第一个就是Call Flow，九千个未必比一千个好，我告诉你哪个地方阻断了。很多时候把大门一关全部阻断了，肯定是不合理的，任何一个攻击经过我们评估以后，会提供一个Call Flow给你，告诉你哪个地方被阻断了。不同的厂家可能对同一个攻击一个恶意过程它的处理方式不一样，哪个更合适，Call Flow就比较清楚。另外就是一个可回溯，我们的测试方案评估过程可能提供给你了，测试过程可能会有争论，你认为是A，我认为是B，没关系，我们会提供一个文件给你，这个过程是什么样的，特征在哪里，报文怎么发的，回溯一下我们是怎么做的，我们可以进行一些比较。

另外我们是开放性的一个场景复现，我提供了很多场景，几万个给你，但是很多时候还是不能满足你的要求，客户的需求是不断要求越来越高的。提供一个叫开放性的场景复现，任何一个场景我们进去以后，你可以修改，提供一个语言叫MSL，是基于文本的一个描述性语言。通过这个描述性语言，你可以对任何一个场景进行进一步的开发，进行一些培训，每个攻击的原理，通过MSL脚本就可以知道整个过程是怎么构建的。

我们思博伦的测试云，以及场景复现的平台，它提供了一个非常好的现网复现方案，是可控持续更新的仿真环境，可扩展的应用和攻击库，你可以不用我们的库，可以开发自己的库。另外防护的有效性评估判断，我们告诉你有效性怎么样。另外我们会提供比较广泛的评估方言，另外开放性的接口，你不需要一定要依附于我们，你自己可以做更多事情。这就是我们在现网场景复现以及安全评估方面的一小点，我们的产品比较多，我们就找了一个点，希望和这个会议有一些匹配点。