NSS Labs控告多家防毒業者壟斷

資安產品的獨立評測機構NSS Labs本周二（9/18）控告CrowdStrike、Symantec、ESET等防毒軟體業者，以及反惡意程式測試標準組織（Anti-Malware Testing Standards Organization，AMTSO）聯手壟斷資安產品的測試服務，共謀遮掩防毒軟體的缺陷。

NSS Labs執行長Vikram Phatak說明，該實驗室經常在獨立測試中發現資安產品的缺陷，並把結果告知客戶，有些資安業者會修補產品問題，但有些則會避免產品遭到測試。如果只有一家資安業者拒絕被測試，可能引來市場的猜忌，但若是有一群資安業者聯手抵制某個獨立的測試實驗室，那麼大家都能安然無恙，而這些就是上述被告所做的事。

Phatak也批評宣稱已建立公平測試標準的AMTSO所推動的標準根本就是由同一批資安業者所制定，並非是由中立且獨立的第三方測試機構來替整個資安產業設定一個更高的標準，因此，儘管AMTSO公開表達會改善測試，實際上卻是積極防止公平的測試。

Phatak指控，資安業者除了集體抵制那些不遵循AMTSO標準的測試機構之外，甚至還阻止這些機構購買與測試他們的產品；例如在CrowdStrike的用戶授權條款中，即要求若要測試產品必須取得許可。這類不道德與欺騙的行為損害了透明度，還阻礙消費者評估產品有否兌現其承諾的能力。

創立於2008年的AMTSO是個非營利組織，主要的任務在於針對安全解決方案發展公平、公開且可靠的測試標準，資安領域中的知名業者幾乎都是AMTSO的會員，包括NSS Labs在內。

NSS Labs於訴狀中透露，當AMTSO進行測試標準的表決時，不只是NSS Labs，包括AV-Comparatives、AV-Test及SKD LABS等其它評測機構也都反對該標準，但他們卻收到了資安業者的威脅，表示若不同意此一標準就不會使用他們的評測服務。

被告之一的CrowdStrike回應媒體的聲明稿中指出，NSS Labs是家營利且收錢才辦事的測試組織，以詐騙手法取得產品，再經由公開且透明的測試來捍衛其商業模式，相信此一訴訟毫無根據。CrowdStrike也強調旗下產品也曾交由AV-Comparatives、SE Labs與MITRE等獨立機構進行測試。

去年CrowdStrike也曾槓上NSS Labs，請求法院對NSS Labs發出禁令，試圖阻止NSS Labs於RSA會議上發表其測試結果，最後CrowdStrike敗訴了。