【51CTO.com 综合报道】51CTO安全频道获悉,Cascadia Labs 在近期公布了对URL过滤和网络安全最新的研究报告和结果。
执行综述
公司依赖URL过滤和网络安全产品来保护其员工、计算机和网络免受危险的、不适当的和不受欢迎的网络内容的攻击。除了拦截含有色情内容、暴力或非法内容的网页外,这些产品还在保护企业网络方面发挥着日益重要的作用——它们铸成了防止恶意网页的第一道防线,限制了占用带宽的下载。尽管过滤成人级别和浪费生产力的网站是非常平常的,但是各个产品在应对更具挑战性的网络内容类型方面却大为不同,而且拦截安全威胁时也有很大差异。
Cascadia Labs建立了一个由150多万个分类网页构成的独立而有效的数据集合,并定期从该集合中选择URL来测试URL过滤产品的有效性。主要针对英语类网页,把网页分成6大类22个小类,以此测试这些产品拦截此类网页所含内容的能力:安全、成人内容、带宽占用、通信、责任和生产效率以及娱乐。
在2008年12月的《网络安全测试》中,我们测试了六种市场领先的URL过滤和网络安全产品,其中包括外围设备和服务器软件,趋势科技以遥遥领先的优势成为优胜者。如图1所示,趋势科技的Web安全网关解决方案(IWSA)获得了70%的加权总分,而亚军产品McAfee网络安全设备3300的得分则为64%,该产品配备了增强型URL过滤数据库(Enhanced URL Filtering Database)。趋势科技不仅获得了最高的总分,而且在拦截针对网络威胁的URL方面也荣膺冠军宝座。
 |
实际上,拦截大量导致安全威胁的URL明显使得领先产品鹤立鸡群,如图2所示。含有高效网络安全功能的URL过滤产品可以提供第一道防线,保护用户和公司不受恶意内容的侵害。除了安全,URL过滤产品在增强企业广泛的网络使用政策方面还发挥着重要作用。我们的测试表明,所有产品都能拦截。
大多数成人内容和生产效率&娱乐URL,而且在带宽占用、通信和责任方面的表现非常出色——尽管还有改进空间。
 |
我们对原始的拦截得分应用加权而得出总分,我们认为原始得分反映了一般企业客户心目中的相对重要性。Cascadia Labs每个季度都会重新评估加权结果,在过去几年中,安全的重要性不断增加;在本季度的测试中,安全类占我们总分的30%。成人内容占20%;带宽占用占15%;责任占15%;通信占10%;生产效率&娱乐占10%。(由于趋势科技的有效性在每个分类中都是最高分或接近最高分,因此趋势科技在我们所选择的几乎任何一种加权合理集合中均名列第一。)
尽管加权结果反映出作为深度防御安全战略组成部分的URL过滤的重要性日益提升,但是它也表明公司需要不断拦截可视内容,例如攻击性的网页。对于后者,趋势科技在责任、通信和生产效率&娱乐方面遥遥领先,而SurfControl在带宽方面表现最好,McAfee则在成人内容方面拔得头筹。
#p#
参加测试的产品
2008年第四季度中,Cascadia Labs报告测试了以下六种产品:
趋势科技InterScan网络安全设备2500 v3.1_sp1_Build_Linux_1218;
Websense企业和网络安全套件v7.0(数据库版03026-03211);
SurfControl面向Microsoft ISA Server网络过滤器v5.5.3.201 SP3(数据库版2170-2173);
Blue Coat ProxySG 200 v5.3.2.1(数据库版20086322-200900104);
配备了增强型URL过滤数据库McAfee网络安全设备3300 v5.0(数据库版14789-14869);
IronPort网络安全设备S650 v5.6.0-626(数据库版2170-2173)。
趋势科技的ISWA将借助在云中数据库,因此只要URL出现在趋势科技的服务器上,就会获得评分,而不必等到设备本地数据库的定期更新。趋势科技、McAfee、Blue Coat和IronPort还结合了Web信誉功能。由于Web信誉主要是针对安全性URL,因此我们仅在安全类别中进行了测试。
Cascadia Labs的测试和分析专门关注产品的URL数据库拦截有效性和Web信誉功能。为了区分产品的核心URL过滤功能,Cascadia Labs测试的产品中没有包括协议过滤、防病毒扫描仪或防间谍软件扫描仪。协议过滤可以有效拦截即时讯息和其它不受欢迎的服务,但是由于网络的重要性,协议过滤对于HTTP(和我们测试的URL)却并不实用。外围设备的二进扫描也提供了另一层保护,但是却可能给用户带来较长的潜伏期。
#p#
主要结果和分析
Cascadia Labs使用其超过150万个分类URL组成的专用数据集合对URL过滤产品进行了季度测试。每个季度Cascadia Labs都会在测试之前添加新的URL以反应网络的当前状态,清理到期或无效URL,并收集新的安全威胁URL。Cascadia Labs应用各种向量而不仅仅是搜索引擎的结果来辨别其专用数据集合的候选网页。我们应用了严格的质量保障流程以确保URL准确适当,因此我们可以获得关于产品行为的有意义的结果和深刻了解。
传统上,产品是应用供应商定期更新的本地数据库来拦截URL。近年来,越来越多的产品增加了远程数据库查看功能,通常称为在云中或“安全即服务(SaaS)”保护,可以更加及时地响应快速变化的网络。这些产品还增加了Web信誉和实时分类功能来补充基于数据库的拦截方法。尽管我们分析了各种方法的益处,但是客户最终关心的是产品对不受欢迎的URL的拦截能力而非其背后所采用的技术。我们的测试结果如下图4所示,趋势科技IWSA包含了远程评分和Web信誉功能,在各个内容分类方面,其拦截有效性均排名最高或接近最高。
一、安全性
最好的产品证明它们可以作为宝贵的第一道防线来应对安全威胁。Cascadia Lab的安全组包含五类实际威胁URL:恶件、随看随下、网络钓鱼、代理和可能的不受欢迎的应用。为了确保时间限制和准确性,我们在一个小时的产品测试中验证了恶意URL。Cascadia Labs采用了直接针对恶件二进制等恶意内容的安全性URL,恶件二进制本身可能就是一个URL,或者会把用户重新指向一个随看随下的URL或网络钓鱼URL。
趋势科技在我们的安全测试中获得了最高分,拦截了53%的威胁性URL,McAfee以42%的得分紧随其后。其它产品得分在9-31%之间。表3说明了各个产品在我们的5大安全类别中的表现。
1、恶意软件
恶意下载——包括特洛伊、蠕虫和病毒——继续构成对网络用户的威胁。趋势科技在这个分类中获得了最高的拦截总分,拦截了49%的恶件URL,为应对指向恶意文件的URL构筑了有用的第一道防线。McAfee以41%的拦截率排名第二。其它产品的表现非常糟糕,得分从25%直至SurfControl的只有6%。
2、漏洞利用
漏洞利用或“随看随下”会给URL过滤产品带来独特的挑战。随看随下通常都是短暂的,甚至可以在高流量的信誉好的网站上突然出现。测试100个网络漏洞利用程序时,趋势科技、Blue Coat和Websense表现抢眼,拦截了65-68%的威胁。McAfee的得分为61%,IronPort拦截了53%的威胁,它们的表现均值得称道,但是SurfControl仅拦截了0.3%的随看随下下载URL。
3、网络钓鱼
网络钓鱼URL的寿命一般都很短,给URL过滤产品提出了一个实实在在的挑战。Cascadia Labs收集了各种网络钓鱼威胁,包括网络钓鱼的目标eBay和PayPal以及Abbey和Chase等银行。只有趋势科技和IronPort在拦截这些URL时表现出色,拦截率分别为76%和78%。其它产品对这些威胁的拦截率均低于10%。网络钓鱼有效性表明公司几乎在实时分析和公布网络钓鱼威胁。
4、代理
提供代理服务或公布公开代理和匿名服务名单的网站可能成为公司的一大担忧,因为这些网站允许员工改变URL过滤规则。在这些URL中,SurfControl和IronPort获得了67%的最高分,其它产品拦截率则在52-60%之间。
5、潜在不受欢迎的应用程序
PUA(潜在不受欢迎的应用程序)包括可疑但不一定是恶意的URL,例如广告软件下载。趋势科技拦截了47%的此类应用程序,相比该组30%的平均得分可谓遥遥领先。McAfee和Blue Coat并列第二名,拦截率为36%。
6、成人内容
URL过滤最初是用来拦截成人内容,对于这个成熟的类别,六种产品均拦截了超过90%的成人内容URL,这样的成绩并不令人意外。没有哪种产品可以拦截所有令人讨厌的URL,但是如果产品都能达到80%或更好的水平,则我们认为差异太小将不足以影响采购决定。
 |
 |
二、带宽占用
带宽占用组由下载、点对点和流媒体URL组成,包括Torrent网站和网络视频内容。SurfControl以大比分优势成为本组的获胜者,得分为75%,而该组的平均分只有59%。IronPort和趋势科技以62%和59%的得分分列其后,最低得分为47%。请注意,我们的带宽占用测试所测试的是产品基于URL自身而非协议或文件类型的拦截URL的能力——公司也可以使用后两种方法作为补充。
三、通信
通信组包括电子邮件和聊天等个人通信以及博客和论坛等社区通信。该组别中,趋势科技以69%的拦截率夺冠——比第二名高出4个百分点,比该组平均分高出7个百分点。趋势科技在博客拦截方面表现尤为出色,拦截了80%的URL,比该组别平均分高出12个百分点。
四、责任
我们的责任组包括犯罪活动、憎恨和暴力以及非法药品等类别 —— 这些是公司需要拦截的高度关注的敏感内容。通常产品更难拦截该组中的URL,因为其创始人经常试图将其隐藏在主流观众中。趋势科技在该组中以微弱优势领先,拦截了71%的URL,紧随其后的产品拦截率则为62%。
五、生产效率&娱乐
该组包括潜在的浪费时间的类别,例如运动、游戏和娱乐。在成人内容组中,所有产品均获得了高分;趋势科技以94%的拦截率排名第一。
#p#
方法和测试数据集
Cascadia Labs提供客观而独立的技术产品评估。在我们2008年12月的网络安全测试中,Cascadia Labs评估了六大市场领先产品的URL拦截功能有效性。Cascadia Labs没有评估产品的用户界面、特征、功能或可扩展性,也没有测试二进制扫描或基于协议的扫描。
一、数据集
我们维护我们的英语URL数据集合来满足企业市场的要求。该数据集合包括150多万个URL,这些URL来自约10万个独特的域名,分成六组22个小类。Cascadia Labs为成人内容、带宽占用、通信、责任和生产效率&娱乐中的每个组别随机选择至少1,000个样本——足以得出重要的统计结论。Cascadia Labs为安全组别共选择了1,000个样本:750个不同类型的恶意二进URL、100个漏洞利用程序、50个网络钓鱼URL、50个代理和50个潜在不受欢迎的应用程序。
二、组别和小类
我们在我们的数据集合中选择小类和URL分布来满足大型企业的要求。例如,我们的数据集合包括内容类,例如色情渲染、非法药物、犯罪活动、购物、流媒体和恶件。我们的数据集合不包括艺术、健康和医药、博爱网站、教育和文化等,因为这些小类主要针对的是K-12教育类客户,他们一般会拦截所有内容,然后在“允许”规则(白名单)中应用这些小类。我们的数据集合包括来自各类顶级域和各个国家的大众化和专业网站,内容主要以英文为主。
每个厂商都使用了其自己的分类集合来对URL进行分类。我们根据我们的分类和厂商选择的分类来创建小类,确保我们对每个产品都应用可比的拦截配置。我们执行了初步测试,确保每个产品都有合适的类别映射。
三、测试方法
我们针对互联网上的有效服务器测试拦截准确性。我们的设置是让每个产品拦截各个小类组成的整个大类,这样我们的拦截结果就不会因厂商类别选择的微小差异而受到影响。例如,有些厂商可能把保龄球URL放入体育类别中,而其它厂商可能将其归入业余爱好和娱乐类别中。在我们的测试中,两种情况下保龄球页面都会遭到拦截,因为体育和业余爱好及娱乐都包括在我们的生产效率&娱乐组中。
我们以代理配置来配置所有测试产品。我们把SurfControl和Websense与Microsoft ISA服务器集成在一起;其它产品都是设备。我们每天至少更新一次所有产品,而且在测试期间为采用本地数据库的各个产品记录所使用的数据库的版本。
Cascadia Labs在测试中应用了趋势科技的防网络钓鱼模块和Blue Coat的可疑URL分类。此外,趋势科技、McAfee和IronPort都能提供Web信誉特征,我们在安全性测试中使用了这一特征。
除了Amazon.com和espn.go.com等流量较大网站之外,我们会在我们的数据集合中去除测试中使用过的URL,以防止任何厂商在以后的测试中获得优势。
