主要结果和分析
Cascadia Labs应用各种向量而不仅仅是搜索引擎的结果来辨别其专用数据库的候选网页。Cascadia Labs应用了严格的质量保障流程以确保URL准确适当,因此可以获得关于产品行为的有意义的结果和深刻了解。
传统上,产品是应用供应商定期更新的本地数据库来拦截URL。近年来,越来越多的产品增加了远程数据库查看功能,通常称为在云安全或SaaS,可以更加及时地响应快速变化的网络,如趋势科技、McAfee、Blue Coat和IronPort。
这些产品还增加了Web信誉和实时分类功能来补充基于数据库的拦截方法,尽管Cascadia Labs分析了各种方法的益处,但是用户最终关心的是产品对不受欢迎的URL的拦截能力而非其背后所采用的技术。测试结果如图1所示,拥有Web信誉功能的产品,在各个内容分类方面,其拦截有效性均表现很好。
1、安全性测试
Cascadia Lab的安全组包含五类实际威胁URL:恶意软件、漏洞利用、网络钓鱼、代理和潜在不受欢迎的应用程序。趋势科技在安全测试中获得了最高分,拦截了53% 的威胁性URL,McAfee以42%的得分紧随其后。其它产品得分在9%~31%之间。图2说明了各个产品在防范五大安全威胁中的表现。
恶意软件:测试对象包括特洛伊木马、蠕虫和病毒等威胁。趋势科技在这个分类中获得了最高的拦截总分,拦截了49%的含有恶意软件URL,为应对指向恶意文件的URL构筑了有用的第一道防线。McAfee以41%的拦截率排名第二。其它产品的表现并不理想,得拦截率从25%直至SurfControl 的6%。
漏洞利用:攻击者利用漏洞可以通过“即时下载”的方式给URL过滤产品带来挑战。“即时下载”通常都是短暂的,甚至可以在高流量的信誉好的网站上突然出现突然消失。在测试100个被网络漏洞利用的程序时,趋势科技、Blue Coat和Websense表现抢眼,拦截了65%~68%的威胁。McAfee的得分为61%,IronPort拦截了53%的威胁,它们的表现均值得称道,但是SurfControl仅拦截了0?郾3%的“即时下载”下载URL。
网络钓鱼:网络钓鱼测试结果的有效性可以表明产品在实时分析和公布网络钓鱼威胁的综合能力。网络钓鱼URL的寿命一般都很短,这给URL过滤产品测试提出了一个实实在在的挑战。Cascadia Labs收集了各种网络钓鱼威胁,包括网络钓鱼的目标eBay和PayPal以及Abbey和Chase等银行。IronPort在拦截这些URL时表现最为出色,拦截率达到了78%,趋势科技的拦截率为76%,其它产品对这些威胁的拦截率均低于10%。
代理:提供代理服务或公布公开代理和匿名服务名单的网站可能成为企业的一大担忧,因为这些网站允许员工改变URL过滤规则。在这些URL 中,SurfControl和IronPort获得了67%的最高分,其它产品拦截率则在52%~60%之间。
潜在不受欢迎的应用程序:PUA(潜在不受欢迎的应用程序)包括可疑但不一定是恶意的URL,例如广告软件下载。趋势科技拦截了47%的此类应用程序,相比该组30%的平均拦截率可谓遥遥领先。McAfee和Blue Coat并列第二名,拦截率为36%。
2、低俗内容测试
URL过滤最初目的是用来拦截低俗内容,对于这个相当成熟的类别,六种产品均拦截了超过90%的低俗内容URL,这样的成绩并不令人意外。没有哪种产品可以拦截所有令人讨厌的URL,但是如果产品都能达到80%或更好的水平,则可以认为差异太小将不足以影响采购决定。
3、带宽占用测试
带宽占用组由下载、P2P和流媒体URL组成,包括Torrent网站和网络视频内容。SurfControl以大比分优势成为本组的获胜者,得分为75%,而该组的平均分只有59%。IronPort和趋势科技以62%和59%的得分分列其后。
需要注意的是,Cascadia Labs的带宽占用测试所测试的是产品基于URL自身而非协议或文件类型的拦截URL的能力——国内用户在进行评估测试时也可以使用后两种方法作为补充。
4、通信测试
通信组包括电子邮件和聊天等个人通信以及博客和论坛等社区通信。在该组别中,趋势科技以69%的拦截率夺冠——比第二名高出4个百分点,比该组平均拦截率高出7个百分点。趋势科技在博客拦截方面表现尤为出色,拦截了80%的URL,比该组别平均拦截率高出12个百分点。
5、责任测试
Cascadia Labs的责任测试类别包括犯罪活动、复仇和暴力以及非法药品等——这些是企业需要拦截的高度关注的敏感内容。该组中的URL通常是最难进行分析拦截的,因为URL的创始人经常试图将其隐藏在时事新闻等主流内容中。趋势科技在该组中以微弱优势领先,拦截了71%的URL,紧随其后的产品拦截率则为62%。
6、生产效率&娱乐测试
该组包括潜在的浪费时间的类别,例如运动、游戏和娱乐。在低俗内容组中,所有产品均获得了高分。
揭开Web信誉的秘密
传统的恶意软件严重依赖特征码文件,其中包括已知恶意软件样本的独特特征或“签名”。随着恶意软件变得日益复杂和难以防御,防恶意软件行业正面临着 “签名泛滥”或“海量威胁”的难题。
最近,独立研究机构Richi Jennings Associates专门针对Web信誉拦截恶意软件的能力进行了研究,在Cascadia Labs的测试中Web信誉技术体现了更好的保护和更出色的性能,Web信誉技术将拦截对恶意网站的访问,从而防止用户于无意中下载恶意软件。该技术是通过实施审查目标网页的信誉而实现这一目标的——即通过在云中信誉数据库高效拦截与网站的URL。趋势科技所谓的Web信誉是基于在云计算实现云安全技术的组成部分。
Web信誉的本质
本质上,Web信誉意味着需要扫描的文件减少,在延迟部署签名方面,用户的抵抗力得以增强。基于云的恶意软件下载拦截优于传统的基于签名的拦截方法的四个 主要原因罗列如下。
1、减少恶意软件感染
最重要的工作就是免受恶意软件感染。Web信誉在为已知恶意软件部署签名之前就消除了典型的时间延迟问题。由于采用了基于云的方法,因此可以始终根据最新 公布的信誉来验证下载来源。
这将有效提高判断针对新生恶意软件的准确性。
2、降低管理费用
由于必须的扫描工作减少,所以可以显著改善内存空间和磁盘输入/输出的使用。现在这些资源可以用在实实在在的工作中,而不是执行保护工作。
3、改善绩效
总体绩效应该会因应用Web信誉而得以改善。终端用户的一个主要抱怨就是实施恶意软件扫描减慢了计算机的运行速度,降低了生产效率,压力反而增加。减少扫 描过程将会让人感觉效率提高,从而让用户更加愉快。
假设安全厂商提供云安全的数据中心规模适当,那么在审查合法下载的信誉方面就不会出现延迟或延迟不易察觉。
4、减少网络占用
传统的方法要求用户在扫描之前下载恶意软件,因此而浪费的网络带宽令人吃惊。现在这种共享资源可被用于实实在在的工作中,而不是传输恶意软件。
Web信誉减少用户来电
根据测试Web信誉部署前后用户迁移数据的对比,可以得出产品支持电话数量和客户数量的客观数据。数据显示,选择迁移的客户获得了更好的体验。这些数据在 三个月的时间中收集,评估了支持事件的数量。这些数据还根据支持电话是否与恶意软件感染有关而进行了划分。
图中显示了客户的相对数量、电话数量和与恶意软件感染有关的电话的比例,并按照与恶意软件相关的电话对两组客户进行了比较。
平均来看,在采用了Web信誉的客户中,与恶意软件感染有关的支持电话大大减少。数据显示,与使用旧版签名类产品相比,电话数量下降了75%。数据在经过 标准化处理之后,仅有4%的支持电话与Web信誉的恶意软件感染有关,而以前的产品中这一比例则高达16%。
但是,其它支持电话的总体数量增加了50%。数据在经过标准化处理之后,21%的采用了Web信誉的客户致电就非恶意软件类事件请求支持,而使用旧版产品 的客户的这一比例则为14%。该比例的上升可能与正在迁移中的客户的期望有关。