雖然國內(nèi)很多用戶在不知不覺中就部署了基于云安全的解決方案,但為了檢驗云安全的真實作用,我們可以參考獨立實驗室Cascadia Labs在2008年12月發(fā)布的《網(wǎng)絡(luò)安全測試》。該報告公布了對McAfee、Websense、BlueCoat、IronPort、趨勢科技和SurfControl六種市場上優(yōu)秀的URL過濾和網(wǎng)絡(luò)安全產(chǎn)品橫向測試的結(jié)果。

六款測試產(chǎn)品中包括網(wǎng)關(guān)設(shè)備和服務(wù)器軟件,趨勢科技的Web安全網(wǎng)關(guān)解決方案(IWSA)獲得了70%的加權(quán)得分獲得冠軍,而亞軍產(chǎn)品McAfee網(wǎng)絡(luò)安全設(shè)備3300分的加權(quán)得分則為64%,該產(chǎn)品配備了增強型URL過濾數(shù)據(jù)庫(Enhanced URL Filtering Database),這兩家廠商也都是云安全的代表廠商。

防范惡意軟件的第一道防線

防范惡意軟件,企業(yè)往往依賴URL過濾和網(wǎng)絡(luò)安全產(chǎn)品來保護(hù)計算機和網(wǎng)絡(luò)免受危險的、不適當(dāng)?shù)暮筒皇軞g迎的網(wǎng)絡(luò)內(nèi)容的攻擊。除了攔截含有低俗、暴力或非法內(nèi)容的網(wǎng)頁外,這些產(chǎn)品還在保護(hù)企業(yè)網(wǎng)絡(luò)方面發(fā)揮著日益重要的作用——它們鑄成了防止惡意網(wǎng)頁的第一道防線,同時也可以對帶寬的流量實施管控。

盡管過濾低俗級別和浪費生產(chǎn)力的網(wǎng)站是非常普通的一項功能,但是各個產(chǎn)品在應(yīng)對更具挑戰(zhàn)性的網(wǎng)絡(luò)內(nèi)容類型方面卻大為不同,而且攔截安全威脅時也有很大差異。

含有高效網(wǎng)絡(luò)安全功能的URL過濾產(chǎn)品可以提供第一道防線,保護(hù)用戶和公司不受惡意內(nèi)容的侵害。除了安全,URL過濾產(chǎn)品在增強企業(yè)的網(wǎng)絡(luò)使用政策方面還發(fā)揮著重要作用。Cascadia Labs的測試表明,所有產(chǎn)品都能攔截大多數(shù)低俗內(nèi)容和生產(chǎn)效率&娛樂URL,而且在帶寬占用、通信和責(zé)任方面的表現(xiàn)非常出色——盡管還有改進(jìn)空間。

Cascadia Labs通過對原始的攔截應(yīng)用得分加權(quán)而得出總分,Cascadia Labs認(rèn)為,原始得分反映了一般企業(yè)客戶心目中的相對重要性。由于Cascadia Labs每個季度都會重新評估加權(quán)結(jié)果,所以在過去幾年中,安全類測試的權(quán)重不斷增加。

在此次的測試中,安全類測試占總分的30%、低俗內(nèi)容測試占20%、帶寬占用測試占15%、責(zé)任測試占15%、通信測試占10%、生產(chǎn)效率&娛樂測試占10%。

盡管加權(quán)結(jié)果反映出作為深度防御安全戰(zhàn)略組成部分的URL過濾的重要性日益提升,但是它也表明企業(yè)需要不斷攔截可視內(nèi)容才能換取安全的環(huán)境,例如具有惡意代碼的攻擊性網(wǎng)頁。而趨勢科技在責(zé)任測試、通信測試和生產(chǎn)效率&娛樂測試方面表現(xiàn)不俗,SurfControl在帶寬測試方面表現(xiàn)最好,McAfee則在低俗內(nèi)容測試方面拔得頭籌。

此外,趨勢科技、McAfee、Blue Coat和IronPort的產(chǎn)品還結(jié)合了Web信譽功能。由于Web信譽主要是針對安全性URL,因此僅在安全類別中進(jìn)行了測試。

測試方法和測試數(shù)據(jù)庫

Cascadia Labs一直以來提供客觀而獨立的技術(shù)產(chǎn)品評估,此次測試更關(guān)注產(chǎn)品的URL數(shù)據(jù)庫的攔截有效性和Web信譽功能,因此并沒有評估產(chǎn)品的用戶界面、特征、功能或可擴展性。

為了區(qū)分六大產(chǎn)品的核心URL過濾功能,Cascadia Labs測試的產(chǎn)品中沒有包括協(xié)議過濾、二進(jìn)制掃描、防病毒掃描或防間諜軟件掃描。雖然協(xié)議過濾可以有效攔截即時信息和其它不受歡迎的服務(wù),但是由于用戶需要保障網(wǎng)絡(luò)的暢通更為重要,協(xié)議過濾對于HTTP顯得并不實用。

龐大的數(shù)據(jù)庫

Cascadia Labs主要依靠維護(hù)英語的URL數(shù)據(jù)庫來滿足企業(yè)市場的要求。該數(shù)據(jù)庫包括150多萬個URL,被分成六組22個小類。Cascadia Labs為低俗內(nèi)容、帶寬占用、通信、責(zé)任和生產(chǎn)效率&娛樂中的每個組別隨機選擇至少1000個樣本,這樣足以得出重要的統(tǒng)計結(jié)論。

Cascadia Labs為權(quán)重最多的安全類測試專門選擇了1000個樣本、750個不同類型的惡意二進(jìn)制URL、100個漏洞利用程序、50個網(wǎng)絡(luò)釣魚URL、50個代理和50個潛在不受歡迎的應(yīng)用程序。

由于每個廠商都使用了其自己的數(shù)據(jù)庫分類集合來對URL進(jìn)行分類。Cascadia Labs根據(jù)自己的分類和廠商選擇的分類進(jìn)行配比創(chuàng)建了匹配的小類,確保對每個產(chǎn)品都擁有可對比的攔截配置。為此,Cascadia Labs執(zhí)行了初步測試,確保每個產(chǎn)品都有合適的類別映射。

配置與優(yōu)化

Cascadia Labs針對互聯(lián)網(wǎng)上的有效服務(wù)器測試攔截準(zhǔn)確性。在設(shè)置上,讓每個產(chǎn)品攔截各個小類組成的整個大類,這樣可以確保Cascadia Labs的攔截結(jié)果不會因廠商類別選擇的微小差異而受到影響。

例如,有些廠商可能把保齡球URL放入體育類別中,而其它廠商可能將其歸入業(yè)余愛好和娛樂類別中。在Cascadia Labs的測試中,兩種情況下的保齡球頁面分類都會遭到攔截,因為體育和業(yè)余愛好及娛樂都包括在Cascadia Labs的生產(chǎn)效率&娛樂組中。

在測試產(chǎn)品的配置方面,Cascadia Labs以代理的形式進(jìn)行配置。由于McAfee、趨勢科技、BlueCoat和IronPort都是網(wǎng)關(guān)設(shè)備,所以將SurfControl和Websense與Microsoft ISA服務(wù)器集成在一起。在測試過程中保障每天對所有產(chǎn)品至少更新一次,而且在測試期間為采用本地數(shù)據(jù)庫的各個產(chǎn)品記錄所使用的數(shù)據(jù)庫的版本。

Cascadia Labs在測試中應(yīng)用了趨勢科技的防網(wǎng)絡(luò)釣魚模塊和Blue Coat的可疑URL分類。此外,趨勢科技、McAfee和IronPort都能提供Web信譽特征,Cascadia Labs在安全性測試中也使用了這一特征。

除了Amazon.com和espn.go.com等流量較大網(wǎng)站之外,Cascadia Labs在配置好的數(shù)據(jù)庫中,不斷排除使用過的URL,以防止任何廠商在后續(xù)的測試中獲得優(yōu)勢。

主要結(jié)果和分析

Cascadia Labs應(yīng)用各種向量而不僅僅是搜索引擎的結(jié)果來辨別其專用數(shù)據(jù)庫的候選網(wǎng)頁。Cascadia Labs應(yīng)用了嚴(yán)格的質(zhì)量保障流程以確保URL準(zhǔn)確適當(dāng),因此可以獲得關(guān)于產(chǎn)品行為的有意義的結(jié)果和深刻了解。

傳統(tǒng)上,產(chǎn)品是應(yīng)用供應(yīng)商定期更新的本地數(shù)據(jù)庫來攔截URL。近年來,越來越多的產(chǎn)品增加了遠(yuǎn)程數(shù)據(jù)庫查看功能,通常稱為在云安全或SaaS,可以更加及時地響應(yīng)快速變化的網(wǎng)絡(luò),如趨勢科技、McAfee、Blue Coat和IronPort。

這些產(chǎn)品還增加了Web信譽和實時分類功能來補充基于數(shù)據(jù)庫的攔截方法,盡管Cascadia Labs分析了各種方法的益處,但是用戶最終關(guān)心的是產(chǎn)品對不受歡迎的URL的攔截能力而非其背后所采用的技術(shù)。測試結(jié)果,擁有Web信譽功能的產(chǎn)品,在各個內(nèi)容分類方面,其攔截有效性均表現(xiàn)很好。

1.安全性測試

Cascadia Lab的安全組包含五類實際威脅URL:惡意軟件、漏洞利用、網(wǎng)絡(luò)釣魚、代理和潛在不受歡迎的應(yīng)用程序。趨勢科技在安全測試中獲得了最高分,攔截了53%的威脅性URL,McAfee以42%的得分緊隨其后。其它產(chǎn)品得分在9%~31%之間。說明了各個產(chǎn)品在防范五大安全威脅中的表現(xiàn)。

惡意軟件:測試對象包括特洛伊木馬、蠕蟲和病毒等威脅。趨勢科技在這個分類中獲得了最高的攔截總分,攔截了49%的含有惡意軟件URL,為應(yīng)對指向惡意文件的URL構(gòu)筑了有用的第一道防線。McAfee以41%的攔截率排名第二。其它產(chǎn)品的表現(xiàn)并不理想,得攔截率從25%直至SurfControl的6%。

漏洞利用:攻擊者利用漏洞可以通過“即時下載”的方式給URL過濾產(chǎn)品帶來挑戰(zhàn)?！凹磿r下載”通常都是短暫的,甚至可以在高流量的信譽好的網(wǎng)站上突然出現(xiàn)突然消失。在測試100個被網(wǎng)絡(luò)漏洞利用的程序時,趨勢科技、Blue Coat和Websense表現(xiàn)搶眼,攔截了65%~68%的威脅。McAfee的得分為61%,IronPort攔截了53%的威脅,它們的表現(xiàn)均值得稱道,但是SurfControl僅攔截了0.3%的“即時下載”下載URL。

網(wǎng)絡(luò)釣魚:網(wǎng)絡(luò)釣魚測試結(jié)果的有效性可以表明產(chǎn)品在實時分析和公布網(wǎng)絡(luò)釣魚威脅的綜合能力。網(wǎng)絡(luò)釣魚URL的壽命一般都很短,這給URL過濾產(chǎn)品測試提出了一個實實在在的挑戰(zhàn)。Cascadia Labs收集了各種網(wǎng)絡(luò)釣魚威脅,包括網(wǎng)絡(luò)釣魚的目標(biāo)eBay和PayPal以及Abbey和Chase等銀行。IronPort在攔截這些URL時表現(xiàn)最為出色,攔截率達(dá)到了78%,趨勢科技的攔截率為76%,其它產(chǎn)品對這些威脅的攔截率均低于10%。

代理:提供代理服務(wù)或公布公開代理和匿名服務(wù)名單的網(wǎng)站可能成為企業(yè)的一大擔(dān)憂,因為這些網(wǎng)站允許員工改變URL過濾規(guī)則。在這些URL中,SurfControl和IronPort獲得了67%的最高分,其它產(chǎn)品攔截率則在52%~60%之間。

潛在不受歡迎的應(yīng)用程序:PUA(潛在不受歡迎的應(yīng)用程序)包括可疑但不一定是惡意的URL,例如廣告軟件下載。趨勢科技攔截了47%的此類應(yīng)用程序,相比該組30%的平均攔截率可謂遙遙領(lǐng)先。McAfee和Blue Coat并列第二名,攔截率為36%。

2.低俗內(nèi)容測試

URL過濾最初目的是用來攔截低俗內(nèi)容,對于這個相當(dāng)成熟的類別,六種產(chǎn)品均攔截了超過90%的低俗內(nèi)容URL,這樣的成績并不令人意外。沒有哪種產(chǎn)品可以攔截所有令人討厭的URL,但是如果產(chǎn)品都能達(dá)到80%或更好的水平,則可以認(rèn)為差異太小將不足以影響采購決定。

3.帶寬占用測試

帶寬占用組由下載、P2P和流媒體URL組成,包括Torrent網(wǎng)站和網(wǎng)絡(luò)視頻內(nèi)容。SurfControl以大比分優(yōu)勢成為本組的獲勝者,得分為75%,而該組的平均分只有59%。IronPort和趨勢科技以62%和59%的得分分列其后。

需要注意的是,Cascadia Labs的帶寬占用測試所測試的是產(chǎn)品基于URL自身而非協(xié)議或文件類型的攔截URL的能力——國內(nèi)用戶在進(jìn)行評估測試時也可以使用后兩種方法作為補充。

4.通信測試

通信組包括電子郵件和聊天等個人通信以及博客和論壇等社區(qū)通信。在該組別中,趨勢科技以69%的攔截率奪冠——比第二名高出4個百分點,比該組平均攔截率高出7個百分點。趨勢科技在博客攔截方面表現(xiàn)尤為出色,攔截了80%的URL,比該組別平均攔截率高出12個百分點。

5.責(zé)任測試

Cascadia Labs的責(zé)任測試類別包括犯罪活動、復(fù)仇和暴力以及非法藥品等——這些是企業(yè)需要攔截的高度關(guān)注的敏感內(nèi)容。該組中的URL通常是最難進(jìn)行分析攔截的,因為URL的創(chuàng)始人經(jīng)常試圖將其隱藏在時事新聞等主流內(nèi)容中。趨勢科技在該組中以微弱優(yōu)勢領(lǐng)先,攔截了71%的URL,緊隨其后的產(chǎn)品攔截率則為62%。

6.生產(chǎn)效率&娛樂測試

該組包括潛在的浪費時間的類別,例如運動、游戲和娛樂。在低俗內(nèi)容組中,所有產(chǎn)品均獲得了高分。