虽然国内很多用户在不知不觉中就部署了基于云安全的解决方案,但为了检验云安全的真实作用,我们可以参考独立实验室Cascadia Labs在2008年12月发布的《网络安全测试》。该报告公布了对McAfee、Websense、BlueCoat、IronPort、趋势科技和SurfControl六种市场上优秀的URL过滤和网络安全产品横向测试的结果。

六款测试产品中包括网关设备和服务器软件,趋势科技的Web安全网关解决方案(IWSA)获得了70%的加权得分获得冠军,而亚军产品McAfee网络安全设备3300分的加权得分则为64%,该产品配备了增强型URL过滤数据库(Enhanced URL Filtering Database),这两家厂商也都是云安全的代表厂商。

防范恶意软件的第一道防线

防范恶意软件,企业往往依赖URL过滤和网络安全产品来保护计算机和网络免受危险的、不适当的和不受欢迎的网络内容的攻击。除了拦截含有低俗、暴力或非法内容的网页外,这些产品还在保护企业网络方面发挥着日益重要的作用——它们铸成了防止恶意网页的第一道防线,同时也可以对带宽的流量实施管控。

尽管过滤低俗级别和浪费生产力的网站是非常普通的一项功能,但是各个产品在应对更具挑战性的网络内容类型方面却大为不同,而且拦截安全威胁时也有很大差异。

含有高效网络安全功能的URL过滤产品可以提供第一道防线,保护用户和公司不受恶意内容的侵害。除了安全,URL过滤产品在增强企业的网络使用政策方面还发挥着重要作用。Cascadia Labs的测试表明,所有产品都能拦截大多数低俗内容和生产效率&娱乐URL,而且在带宽占用、通信和责任方面的表现非常出色——尽管还有改进空间。

Cascadia Labs通过对原始的拦截应用得分加权而得出总分,Cascadia Labs认为,原始得分反映了一般企业客户心目中的相对重要性。由于Cascadia Labs每个季度都会重新评估加权结果,所以在过去几年中,安全类测试的权重不断增加。

在此次的测试中,安全类测试占总分的30%、低俗内容测试占20%、带宽占用测试占15%、责任测试占15%、通信测试占10%、生产效率&娱乐测试占10%。

尽管加权结果反映出作为深度防御安全战略组成部分的URL过滤的重要性日益提升,但是它也表明企业需要不断拦截可视内容才能换取安全的环境,例如具有恶意代码的攻击性网页。而趋势科技在责任测试、通信测试和生产效率&娱乐测试方面表现不俗,SurfControl在带宽测试方面表现最好,McAfee则在低俗内容测试方面拔得头筹。

此外,趋势科技、McAfee、Blue Coat和IronPort的产品还结合了Web信誉功能。由于Web信誉主要是针对安全性URL,因此仅在安全类别中进行了测试。

测试方法和测试数据库

Cascadia Labs一直以来提供客观而独立的技术产品评估,此次测试更关注产品的URL数据库的拦截有效性和Web信誉功能,因此并没有评估产品的用户界面、特征、功能或可扩展性。

为了区分六大产品的核心URL过滤功能,Cascadia Labs测试的产品中没有包括协议过滤、二进制扫描、防病毒扫描或防间谍软件扫描。虽然协议过滤可以有效拦截即时信息和其它不受欢迎的服务,但是由于用户需要保障网络的畅通更为重要,协议过滤对于HTTP显得并不实用。

庞大的数据库

Cascadia Labs主要依靠维护英语的URL数据库来满足企业市场的要求。该数据库包括150多万个URL,被分成六组22个小类。Cascadia Labs为低俗内容、带宽占用、通信、责任和生产效率&娱乐中的每个组别随机选择至少1000个样本,这样足以得出重要的统计结论。

Cascadia Labs为权重最多的安全类测试专门选择了1000个样本、750个不同类型的恶意二进制URL、100个漏洞利用程序、50个网络钓鱼URL、50个代理和50个潜在不受欢迎的应用程序。

由于每个厂商都使用了其自己的数据库分类集合来对URL进行分类。Cascadia Labs根据自己的分类和厂商选择的分类进行配比创建了匹配的小类,确保对每个产品都拥有可对比的拦截配置。为此,Cascadia Labs执行了初步测试,确保每个产品都有合适的类别映射。

配置与优化

Cascadia Labs针对互联网上的有效服务器测试拦截准确性。在设置上,让每个产品拦截各个小类组成的整个大类,这样可以确保Cascadia Labs的拦截结果不会因厂商类别选择的微小差异而受到影响。

例如,有些厂商可能把保龄球URL放入体育类别中,而其它厂商可能将其归入业余爱好和娱乐类别中。在Cascadia Labs的测试中,两种情况下的保龄球页面分类都会遭到拦截,因为体育和业余爱好及娱乐都包括在Cascadia Labs的生产效率&娱乐组中。

在测试产品的配置方面,Cascadia Labs以代理的形式进行配置。由于McAfee、趋势科技、BlueCoat和IronPort都是网关设备,所以将SurfControl和Websense与Microsoft ISA服务器集成在一起。在测试过程中保障每天对所有产品至少更新一次,而且在测试期间为采用本地数据库的各个产品记录所使用的数据库的版本。

Cascadia Labs在测试中应用了趋势科技的防网络钓鱼模块和Blue Coat的可疑URL分类。此外,趋势科技、McAfee和IronPort都能提供Web信誉特征,Cascadia Labs在安全性测试中也使用了这一特征。

除了Amazon.com和espn.go.com等流量较大网站之外,Cascadia Labs在配置好的数据库中,不断排除使用过的URL,以防止任何厂商在后续的测试中获得优势。

主要结果和分析

Cascadia Labs应用各种向量而不仅仅是搜索引擎的结果来辨别其专用数据库的候选网页。Cascadia Labs应用了严格的质量保障流程以确保URL准确适当,因此可以获得关于产品行为的有意义的结果和深刻了解。

传统上,产品是应用供应商定期更新的本地数据库来拦截URL。近年来,越来越多的产品增加了远程数据库查看功能,通常称为在云安全或SaaS,可以更加及时地响应快速变化的网络,如趋势科技、McAfee、Blue Coat和IronPort。

这些产品还增加了Web信誉和实时分类功能来补充基于数据库的拦截方法,尽管Cascadia Labs分析了各种方法的益处,但是用户最终关心的是产品对不受欢迎的URL的拦截能力而非其背后所采用的技术。测试结果,拥有Web信誉功能的产品,在各个内容分类方面,其拦截有效性均表现很好。

1.安全性测试

Cascadia Lab的安全组包含五类实际威胁URL:恶意软件、漏洞利用、网络钓鱼、代理和潜在不受欢迎的应用程序。趋势科技在安全测试中获得了最高分,拦截了53%的威胁性URL,McAfee以42%的得分紧随其后。其它产品得分在9%~31%之间。说明了各个产品在防范五大安全威胁中的表现。

恶意软件:测试对象包括特洛伊木马、蠕虫和病毒等威胁。趋势科技在这个分类中获得了最高的拦截总分,拦截了49%的含有恶意软件URL,为应对指向恶意文件的URL构筑了有用的第一道防线。McAfee以41%的拦截率排名第二。其它产品的表现并不理想,得拦截率从25%直至SurfControl的6%。

漏洞利用:攻击者利用漏洞可以通过“即时下载”的方式给URL过滤产品带来挑战。“即时下载”通常都是短暂的,甚至可以在高流量的信誉好的网站上突然出现突然消失。在测试100个被网络漏洞利用的程序时,趋势科技、Blue Coat和Websense表现抢眼,拦截了65%~68%的威胁。McAfee的得分为61%,IronPort拦截了53%的威胁,它们的表现均值得称道,但是SurfControl仅拦截了0.3%的“即时下载”下载URL。

网络钓鱼:网络钓鱼测试结果的有效性可以表明产品在实时分析和公布网络钓鱼威胁的综合能力。网络钓鱼URL的寿命一般都很短,这给URL过滤产品测试提出了一个实实在在的挑战。Cascadia Labs收集了各种网络钓鱼威胁,包括网络钓鱼的目标eBay和PayPal以及Abbey和Chase等银行。IronPort在拦截这些URL时表现最为出色,拦截率达到了78%,趋势科技的拦截率为76%,其它产品对这些威胁的拦截率均低于10%。

代理:提供代理服务或公布公开代理和匿名服务名单的网站可能成为企业的一大担忧,因为这些网站允许员工改变URL过滤规则。在这些URL中,SurfControl和IronPort获得了67%的最高分,其它产品拦截率则在52%~60%之间。

潜在不受欢迎的应用程序:PUA(潜在不受欢迎的应用程序)包括可疑但不一定是恶意的URL,例如广告软件下载。趋势科技拦截了47%的此类应用程序,相比该组30%的平均拦截率可谓遥遥领先。McAfee和Blue Coat并列第二名,拦截率为36%。

2.低俗内容测试

URL过滤最初目的是用来拦截低俗内容,对于这个相当成熟的类别,六种产品均拦截了超过90%的低俗内容URL,这样的成绩并不令人意外。没有哪种产品可以拦截所有令人讨厌的URL,但是如果产品都能达到80%或更好的水平,则可以认为差异太小将不足以影响采购决定。

3.带宽占用测试

带宽占用组由下载、P2P和流媒体URL组成,包括Torrent网站和网络视频内容。SurfControl以大比分优势成为本组的获胜者,得分为75%,而该组的平均分只有59%。IronPort和趋势科技以62%和59%的得分分列其后。

需要注意的是,Cascadia Labs的带宽占用测试所测试的是产品基于URL自身而非协议或文件类型的拦截URL的能力——国内用户在进行评估测试时也可以使用后两种方法作为补充。

4.通信测试

通信组包括电子邮件和聊天等个人通信以及博客和论坛等社区通信。在该组别中,趋势科技以69%的拦截率夺冠——比第二名高出4个百分点,比该组平均拦截率高出7个百分点。趋势科技在博客拦截方面表现尤为出色,拦截了80%的URL,比该组别平均拦截率高出12个百分点。

5.责任测试

Cascadia Labs的责任测试类别包括犯罪活动、复仇和暴力以及非法药品等——这些是企业需要拦截的高度关注的敏感内容。该组中的URL通常是最难进行分析拦截的,因为URL的创始人经常试图将其隐藏在时事新闻等主流内容中。趋势科技在该组中以微弱优势领先,拦截了71%的URL,紧随其后的产品拦截率则为62%。

6.生产效率&娱乐测试

该组包括潜在的浪费时间的类别,例如运动、游戏和娱乐。在低俗内容组中,所有产品均获得了高分。