Cybersecurity

การทดสอบความปลอดภัยต้องมีมาตรฐานมากแค่ไหน?

เพื่อความยุติธรรมของผู้บริโภค เราจะหลีกเลี่ยงการทดสอบที่มีลับลมคมในได้อย่างไร?

เจาะลึกการทดสอบความปลอดภัยที่หลายครั้งกระบวนการที่ใช้ดำเนินทดสอบนั้นไม่ได้มาตรฐาน

เปรียบเทียบง่ายๆเหมือนกับการสอบเข้ามหาวิทยาลัย ทุกคนทราบดีเกี่ยวกับวัน เวลา และสถานที่ ในหลายสถาบันมีการแจ้งข่าวสารอย่างต่อเนื่อง แต่ตัวข้อสอบนั้นไม่อาจมีใครบอกได้แน่นอน 100% นี่เป็นเหตุผลที่เด็กๆต้องทำการบ้าน และอ่านหนังสืออย่างหนักเพื่อเตรียมตัว

หากตัวนักเรียนได้รับข้อมูลในช่วงเวลาที่ใกล้สอบมากๆ ความเครียด ความกังวล และอารมณ์อื่นๆจะเข้ามามีส่วนร่วมในการสอบด้วย

ในทางกลับกันหลังจากการสอบผ่านพ้นไปจะพบว่ามีนักเรียนจำนวนหนึ่งที่เตรียมการเนื้อหาเกี่ยวกับการสอบได้ดี นั่นเท่ากับว่าพวกเขามีเครื่องมือที่นำไปใช้ในการสอบที่ดี

นี่เป็นตัวอย่างของความไม่เท่าเทียมที่เด็กๆในวัยเรียนต้องเผชิญ จนหลายคนตั้งคำถามว่าทำไมมหาวิทยาลัยหรือโรงเรียนดังๆจึงมีสิทธิ์ที่จะตัดสินว่าเด็กคนไหนสมควรเรียนที่ไหน?

ในอุตสาหกรรมความปลอดภัยก็เช่นกัน พวกเขาต้องคาดการณ์และตรวจจับความพยายามของเหล่าอาชญากรไซเบอร์ที่ต้องการเข้าแทรกซึมหรือทำลายระบบนี่คือโจทย์ และผู้รับผิดชอบก็ต้องการเครื่องมือที่ดีพอที่จะเอามาใช้รับมือ

ดังนั้นการทดสอบจึงเป็นสิ่งที่เกิดขึ้นมาเพื่อตอบโจทย์เครื่องมือที่มีประสิทธิภาพ แต่หากการทดสอบเหล่านั้นไม่เป็นกลาง หรือมีผู้สมรู้ร่วมคิด การทดสอบนั้นจะเปลี่ยนผลไปอีกทิศทางหนึ่งในทันที

ในอุตสาหกรรมความปลอดภัยจำเป็นต้องมีมาตรฐาน จึงเกิดสิ่งที่ชื่อว่า Anti-Malware Testing Standards Organization (AMTSO) ด้วยการนำผู้ทดสอบและผู้จำหน่ายผลิตภัณฑ์มาสร้างฟอรั่มสำหรับการพูดคุย เพื่อสร้างมาตรฐานในการทดสอบที่เป็นที่ยอมรับ รวมไปถึงเครื่องมือในการทดสอบด้วย

คำถามที่เกิดขึ้นหลายครั้งก็คือ จะเกิดอะไรขึ้นถ้าผู้จัดจำหน่ายจ่ายเงินให้กับผู้ดำเนินการทดสอบ ผู้ดำเนินการจำเป็นต้องเขียนลงไปในผลการทดสอบหรือไม่? อย่างน้อยก็เพื่อเป็นข้อมูลให้กับผู้บริโภคที่ต้องการใช้สินค้า

ในประสบการณ์ส่วนตัว การทดสอบที่กำหนดช่วงเวลาผู้จัดจำหน่ายที่จ่ายเงินให้กับผู้ดำเนินการทดสอบมากที่สุดสามารถดูผลการทดสอบได้ ในขณะที่ผู้จัดจำหน่ายที่ไม่จ่ายเงินจะเข้าสู่ขั้นตอนการแระมวลผลโดนทันที ทำให้พวกเขาสามารถเลือกแสดงผลลัพธ์ในทิศทางที่เป็นประโยชน์ต่อพวกเขา

เนื่องจากในการแสดงผลลัพธ์ ภาพที่เห็นส่วนมากจะเป็นกราฟสัดส่วนการตรวจจับมัลแวร์ แต่ผลในเชิงลึกไม่ได้รับการสนใจ ทำให้ทีมผู้จัดจำหน่ายสามารถเอนเอียงการรับรู้ของผู้บริโภคผ่านกราฟอันเดียวนี้ได้

ดังนั้นความสัมพันธ์ระหว่างผู้ดำเนินการทดสอบและผู้จัดจำหน่ายจำเป็นต้องเปิดเผยหรือไม่? เพื่อทำให้รายงานนั้นสามารถนำไปใช้ตัดสินใจได้ดีที่สุด และหลีกเลี่ยงการเอนเอียงของการทดสอบ

Author: Tony Anscombe
Source: https://www.welivesecurity.com/2018/04/13/anti-malware-testing-needs-standards/
Translated by: Worapon H.

%d bloggers like this: