行业组织NetSecOpen最近发布了新版网络安全设备性能基准测试指南草案，预计将在今年晚些时候正式采纳。NetSecOpen是一家由众多网络安全公司和硬件测试组织组成的行业联合会。

今年5月，NetSecOpen针对下一代防火墙技术发布了最新版测试标准，并收集反馈意见，向着最终版标准迈进。NetSecOpen执行总裁Brian Monkman表示，最终版标准将成为共识性方法，指导网络安全设备基准测试。这样，即便评估由不同第三方实施，也能对不同供应商的设备进行比较。

他说：“我们正努力实现前所未有的事情——制定一套针对网络安全产品的标准测试规范，可由多个实验室使用不同测试工具实施，并获得可比较的结果。这有点类似汽车里程测试，由于“每加仑里程”的衡量和测试方式繁多，迫使业界制定一套统一标准。这就是我们正在做的事情。”

NetSecOpen成立于2017年，旨在缓解产品制造商和测试实验室之间的紧张关系，这种关系有时甚至充满敌意。该组织的会员包括思科、飞塔、Palo Alto Networks、WatchGuard等大型网络安全公司，Spirent、Ixia等测试设备制造商，以及欧洲高级网络测试中心（EANTC）、美国新罕布什尔大学互操作性实验室（UNH-IOL）等评估机构。

将取代20年历史的旧标准

最新版标准文件的发布是互联网工程任务组（IETF）流程的一部分。但是，这并不意味着最终版指南是设备制造商必须遵守的强制性互联网标准。最终版指南将为测试方法和配置提供通用策略，从而提高测试结果的可复制性和透明度。

NetSecOpen在更新版草案（RFC9411）中指出，目前由IETF发布的防火墙测试标准（RFC3511）已有20年的历史，期间技术发生了巨大变化。

草案表示：“安全功能的实施不断演变，变得高度多样化。实施手段有入侵检测和防御、威胁管理、加密流量分析等等。在这样一个日益重要的行业，有必要制定定义明确、有可复制性的关键绩效指标（KPI）。这样才能对网络安全功能进行公正合理比较。”

更新版草案认定的NGFW、NGIPS典型功能

真实场景的测试用例

NetSecOpen的测试目的是，使用真实数据将最新网络安全设备与现实的网络负载和安全威胁进行比对。比如，攻击流量测试集汇集了过去十年攻击者经常利用的漏洞。

NetSecOpen草案推荐了具体的测试架构、IPv4和IPv6之间的流量混合，以及启用的安全功能。然而，测试还涉及很多其他方面的必要元素，例如模拟浏览器的功能、针对已知可利用漏洞的攻击流量，以及各种吞吐性能的测试——测试指标包括应用程序流量、HTTPS请求、QUIC协议请求等。

网络安全公司Palo Alto Networks是NetSecOpen的创始成员。该公司产品线管理总监Samaresh Nair表示，Palo Alto Networks一直与NetSecOpen合作“创建测试方法，并积极使用这些方法测试自己的防火墙。测试流程是标准化的，由有资质的测试机构进行认证。通过测试流程，客户可以得到标准化测试结果，用于评估各种产品。”

此外，NetSecOpen正在更新漏洞测试集，因为美国网络安全与基础设施安全局（CISA）论证表明，较小的非关键漏洞一旦组合起来，也可以形成有效攻击。以前，相关组织认为这些漏洞大部分威胁性很低。然而，CISA收集的攻击链数据显示，攻击者会做出调整，更好地利用这些漏洞发起攻击。

Monkman说：“现在，我们必须关注一些过去被忽视的常见漏洞（CVE）。这些漏洞正在被组合起来发起攻击。这将是我们面临的最大挑战，因为CISA发布的已知被利用漏洞（KEV）列表可能会扩容。”

走向云安全

NetSecOpen不仅仅关注新的组合型漏洞，比如当前针对教育和医疗领域的各类威胁，还希望将检测攻击者使用的命令与控制通道、感染和横向移动的预防方法等纳入考虑范畴。

UNH-IOL技术经理Chris Brown表示，未来规划还包括对云环境（例如分布式云防火墙和Web应用防火墙）进行安全测试。该实验室于2019年加入了NetSecOpen。

“面对云环境，NetSecOpen不会改变追求定义明确、开放和透明的标准的使命，而将扩展正在测试的产品。尽管云计算有许多优点，在可预见的未来，网络边界防御仍然很有必要。”

参考资料：darkreading.com

来源：安全内参