破釜沉舟:NSS Labs 向整个防病毒行业宣战

作者:nana, 星期六, 九月 29, 2018
来源:https://www.aqniu.com/news-views/39292.html

安全产品测试及验证公司 NSS Labs 正式对整个防病毒(AV)行业宣战。9月18日,该公司对CrowdStrike、赛门铁克、ESET、反恶意软件测试标准组织(AMTSO)和终端防护(EPP)提供商(也就是AV厂商及AMTSO会员)提起了反垄断诉讼。

AMTSO是成立于2008年的非营利组织,旨在改进反恶意软件测试。该组织对学术界、审查员、出版界、测试员和供应商开放,当前51家会员中包含了上述被告、原告 NSS Labs 和绝大多数主流EPP供应商。

NSS Labs 宣称,AMTSO策划了针对EPP产品测试行业,尤其是 NSS Labs 的一个阴谋,想要阻挠EPP产品的独立测试。该公司声称,这一阴谋(起诉书中将被告描述为‘EPP供应商阴谋家’)由AMTSO的一项内部协定实施,该协定仅允许在AMTSO公布的测试协议框架下进行EPP测试。

如果测试过程被认为没有遵从AMTSO的标准,AMTSO会员将不会采用该测试公司的产品。这就严重阻挠了 NSS Labs 通过付费EPP测试和售卖EPP测试报告赚取盈利的行为,斩断了该公司的主要收入来源。

NSS Labs 对供应商免费的组测试,也因EPP产品终端用户许可协议中包含了“未经同意不可测试”的条款而受到了进一步打击。

在相关博客中,NSS Labs 首席执行官称:“AMTSO宣称要改善测试,但实际上做的却是在积极阻挠公平公正的测试。而且,供应商还公开对不遵从他们AMTSO标准的测试公司施压影响并联合抵制,甚至达到了封禁对其产品的独立测试的地步。”

诉状中声称,AMTSO及其会员串谋来确保产品测试是在被测供应商的有效控制下进行。特别是CrowdStrike、赛门铁克和ESET还互相勾连,并与其他EPP提供商共谋,在其产品许可中加入限制使用条款或最终用户许可限制条款,旨在防止其产品被用于比较测试,以及阻止其客户将所购买的EPP产品副本或“实例”被用于竞争测试或对比测试。

NSS Labs 将面临陪审团审判、损害和法庭费用。

AMTSO成立是因为杀毒软件测试非常困难。多家测试机构用不同方法测试不同产品难免会引入无意的偏向。若没有任何外部认证,很有可能出现从根本上就有缺陷的测试方法。

AMTSO想要发展出一套可以杜绝偏颇和交付比较测试结果的测试标准。这样的话,无论被测产品是哪家的,或者测试公司是哪家,只要使用同样的测试标准,都能得到相对公正的测试结果。AMTSO认为这对杀软用户和杀软供应商都有好处。

但只有应用了AMTSO测试标准,才能达到其预计的效果,任何企图强制实施的行为都会被口头解释为阴谋。 NSS Labs 似乎就是想要测试一下AMTSO标准到底有没有违反《谢尔曼反垄断法》和加州的《卡特赖特反垄断法》。

AMTSO不是第一次受到垄断指控了。最近几年,只要是主要依靠机器学习算法而非早期恶意软件黑名单检测恶意软件的新一代EPP供应商(普遍被认为是第二代杀毒软件),就已经挑战了目前市场现状。

这些新型供应商在市场营销上时常很是激进,宣称能阻止第一代产品检测不出的恶意软件。他们发现AMTSO的测试标准在当时无法对比第一代和第二代产品,于是有时候便会诉诸于他们自己的测试方法。

虽然双方之间闹得很不愉快,AMTSO还是找到了途径将很多新供应商纳入,开发对所有参与者都公平的新标准。这一过程包含了大棒和胡萝卜。大棒就是VirusTotal自己提出的建议:将限制不注册AMTSO的供应商和测试员访问其恶意软件数据库。

AMTSO EPP 供应商会员和AMTSO本身协定,只有身为AMTSO会员,且产品仅由同为AMTSO会员的EPP测试服务测试的EPP供应商,才可以访问VirusTotal。另外,EPP供应商和EPP测试服务都得同意遵守AMTSO的“基本测试原则”。

NSS Labs 宣称这是整个阴谋的一部分。但AMTSO声称,该建议最初就是VirusTotal提出的,因为担心第一代AV供应商会抛弃VirusTotal。

胡萝卜则是加入AMTSO后,第二代供应商可以获得一定的话语权,影响可能满足双方恶意软件检测方法的新标准。最终,很多第二代EPP供应商加入了AMTSO。影响则是AMTSO自身更倾向于合作而非争议。

正如AMTSO不缺争议,NSS Labs 也官司不断。2017年2月,CrowdStrike起诉 NSS Labs,想要阻止包含其产品在内的NSS组测试结果的发布。虽然因败诉而未能阻止测试结果公布,CrowdStrike在博客上表示:总的来说,NSS在私下测试过程中未能遵循大多数基本的事实核查原则,且NSS测试一直以来都存在广为人知的问题,所以我们不相信 NSS Labs 能够对我们的安全产品进行准确的测试。因此,我们拒绝了参与该公开测试。

同样地,2018年4月17日,ESET全球安全布道者 Tony Anscombe 在博客上提到:NSS Labs 的测试报告不值一看。2017年的测试结果中,我们遭遇了大量问题,尽管2017年4月的会议上 NSS Labs 同意修正,但他们一直都没有公开改正所有这些不准确的结果。

媒体联系了一些EPP供应商,询问他们对该控诉的看法。因该问题的敏感性,除了CrowdStrike,其他供应商都拒绝评论。CrowdStrike发来了以下声明:

NSS就是个追求盈利的付费测试公司,通过诈骗的方式获得产品,迫切想要避免公开透明的测试而捍卫其商业模式。我们认为其诉讼是毫无根据的。

CrowdStrike支持对我们的产品和整个EPP行业进行基于标准的独立测试,包括公开测试。我们经受过AV-Comparatives、SE Labs和MITRE的独立测试,网上都能找到测试结果。我们赞赏AMTSO为推动清晰、持续和透明的测试标准所做的工作。

AMTSO也做出了回应。在邮件声明中,该组织表达了对NSS的失望,并断然否认NSS的所有指控。

AMTSO成立于2008年,是一家国际性非营利组织,致力于发展客观、高质量、有价值的安全测试方法。我们的会员包括50多家安全供应商和测试公司。AMTSO提供论坛讨论、参与和沟通可以发展基于标准的道德、透明的安全测试实践。

声明指出,NSS也是AMTSO的会员,其雇员之一还是开发该标准的工作组成员。他们建议NSS不要诉诸司法系统来破坏之前共同创建的一切,而是将重点放在与AMTSO其他成员共同创建更好的行业未来上。

NSS的回复与其诉状类似:虽然EPP测试服务提供商,包括 NSS Labs,可以加入也确实加入了AMTSO,但他们只是AMTSO会员中很小的一部分,很容易被EPP产品供应商在通过AMTSO测试标准的以票数胜过。

很难看清前路。如果起诉走到审理过程,将由司法系统判定存不存在阴谋。即便NSS胜诉,同样难以预测AMTSO的未来——成立初衷被否定,虽可继续开发测试标准,却不再能确保标准被采用。

AMTSO的问题在于,就算不是阴谋,表面上看起来和实际执行起来也像是阴谋。而且,一旦进入审理,AMTSO就需要证明它这么做的必要性。一条可能的途径是抹黑 NSS Labs 的非AMTSO测试——老实说,有很多供应商愿意为此出庭作证。

这起诉讼是破釜沉舟式的。如果NSS胜诉,它会得罪绝大部分EPP供应商。NSS或许还能私下购买和测试EPP产品,但其利润将完全仰赖愿意购买报告的公司。花费10年时间发展AMTSO标准的供应商将不会与NSS合作。

如果AMTSO胜诉,NSS要么失去EPP市场份额,要么忍气吞声采纳AMTSO标准。这里面没有赢家。

最好的结果是庭外和解,避免案子走向法庭审理。虽然AMTSO的电子邮件声明似乎有此意向,但AMTSO总裁 Dennis Batchelder 的博客文章丝毫没有提到未来可能与NSS共商。总裁的博文只是简单地驳斥NSS的主张。

我们的测试标准让测试公司和供应商都遵守公平道德的操作,包括确保比较测试对所有参与者都公平。我们的标准绝不容忍内幕交易、拟合结果或者为出价更高的供应商提供隐秘的优势。这一改变对广大网络安全社区(包括测试公司、供应商和客户)都是及其关键的。

AMTSO公布的测试协议框架原文链接:

https://www.amtso.org/wp-content/uploads/2018/05/AMTSO-Testing-Protocol-Standard-for-the-Testing-of-Anti-Malware-Solutions-v1.0.pdf

相关阅读

谁也拿NSS Labs没辙 CrowdStrike怒怼NSS惨遭败诉