吳明宜ICSA Labs安全報告指出,78%的安全產品第一次參加認證測試都無法通過,通常至少得再考一次才會通過。
ICSA Labs 安全報告指出,78% 的安全產品第一次參加認證測試都無法通過,通常至少得再考一次才會通過。
Verizon Business 部門 ICSA Labs「ICSA Labs 產品保證報告」。該公司提供安全產品的中文認證檢測。
這份報告是和 Verizon Business 資料外洩調查小組合作,依據過去 20 年來上千件安全產品送測的結果所撰寫而成,旨在提醒消費者「安全產品並不如表面宣傳」。同時也提供廠商知道,認證過程的一些常見問題。
ICSA Labs 總監暨本報告作者之一 George Japak 在聲明稿中指出,廠商應將無法通過認證視為產品改良的機會。只有 4% 的產品第一次就通過,但多數廠商都會立即解決問題後再送審,因此 82% 的產品最後都能拿到認證。
這 82% 產品包含防毒、防火牆、網頁應用防火牆、網路入侵偵測 (IPS) 、 IPSec VPN 、 SSL VPN 和客製化測試產品。多數類別中能獲得認證的比例為 80%-100%,但網路 IPS 產品卻只有 29% 。
這些產品未能通過認證的主要原因是該有的功能付之闕如。防毒廠商該有的功能是阻擋病毒,而 IPS 的是阻擋惡意網路流量。第二常見因素是未能適當紀錄資料。安全問題排名第三,佔 44% 。
「一個很諷刺的現象是,網頁應用防火牆往往管理介面上有多項弱點。」報告指出:「跨站攻擊、 SQL Injection 、緩衝溢位攻擊和管理介面未加密,是網頁應用防火牆及網路防火牆等類常見的安全問題。」