測試機構與安全廠商撕逼 鬧翻對簿公堂

一般來說，測試機構與安全廠商的關係是相互扶持、共同發展的，但也有例外，開啟了互撕模式，成為冤家對簿公堂的。本月18日，美國獨立網路安全評測機構NSS Labs就將CrowdStrike、Symantec、ESET等殺毒軟體商，以及反惡意程序測試標準組織（Anti-Malware Testing Standards Organization，AMTSO）告上了法庭。

測試機構與安全廠商對簿公堂

註：AMTSO是家非營利組織，創立於2008年，其主要任務是針對安全解決方案推出公平、公開且可靠的測試標準。目前網路安全領域中的知名廠商幾乎都是AMTSO的會員，包括NSS Labs在內。

在NSS Labs看來，這幾家殺毒軟體商聯合AMTSO一起試圖壟斷網路安全產品的測試服務，以期掩蓋殺毒軟體中存在的漏洞缺陷。

據NSS Labs首席執行官Vikram Phatak介紹，該實驗室一直致力於網路安全產品的獨立測試工作，期望通過網路安全產品的測試，來發現其中的安全隱患，然後將漏洞結果反饋給產品製造商，促使其進行修補，達到提升產品安全性的目的。對此，一些安全廠商表現積極，會對發現的漏洞展開修復，但也有一些廠商則會消極應對，甚至阻撓其產品參與測評。

Vikram Phatak指出，如果僅是一家安全廠商拒絕被測試，自會引發市場猜忌，但如果是一群安全廠商聯手抵制某個獨立評測實驗室的話，那麼廠商的問題就不會被發現，落得高枕無憂。顯然後者的危害性更大，這也是為何NSS Labs決定要將他們告上法庭的關鍵原因。

而且據Vikram Phatak反映，AMTSO雖然貌似是個獨立的非營利標準組織，但其所推動的測試標準實際上依舊是由上述同一批安全廠商所制定，而非中立的第三方測試機構來設定。這就對測試的公平公正性造成了消極影響。由此，更讓這些安全廠商有了抵制第三方測試機構的口實，甚至直接阻撓測試機構對其產品的購買與測試。

例如在CrowdStrike的用戶授權條款中，就指出如想對其產品進行測試，必須取得許可授權才行。而這種聲明無疑是此地無銀三百兩，不僅有損透明度，還會阻礙消費者對其產品性能做出正確的評估。

在訴狀中NSS Labs透露，當AMTSO進行測試標準的表決時，不只是NSS Labs，包括AV-Comparatives、AV-Test及SKD LABS等其它評測機構實際上也均表示反對的。而後便會收到來自安全廠商的威脅，表示如果不同意該標準就不採用他們提供的評測服務。

對此，被告之一的CrowdStrike則向媒體回應，NSS Labs才是家營利且收黑錢的測試機構，其常以詐騙手法獲取到產品，再通過公開測試來宣揚其商業模式是透明的。因此有理由相信此一訴訟是毫無根據的。而且CrowdStrike還強調，其旗下產品也曾交由AV-Comparatives、SE Labs與MITRE等獨立機構進行過測試。

實際上，去年CrowdStrike也曾與NSS Labs過招，當時是請求法院對NSS Labs髮禁令，試圖阻止NSS Labs在RSA大會上公布其測試結果，不過CrowdStrike最後敗訴了。

在筆者看來，網路安全無小事，對於測試標準制定與執行，自應拿到明面上弄個明明白白才好，而且真金不怕火來煉，所謂有監督才有進步嘛，因此撕撕更健康。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！