眾說紛“云” 云安全企業(yè)用戶追蹤尋訪
互聯(lián)網(wǎng)安全風(fēng)險跌宕
如今,我們正處于 Web 2.0 的世界中,Internet是我們的平臺,而社交網(wǎng)站的崛起已呈燎原之勢。與此同時,惡意軟件的編寫者已將Internet這一平臺作為主要傳播工具,并挖空心思地利用 Web 2.0為其傳播惡意軟件。
惡意軟件的軟實例
互聯(lián)網(wǎng)向來是病毒和各種惡意程序可以肆意折騰的地方,從趨勢科技實驗室整理分析的《2008年病毒威脅摘要暨——2009年病毒趨勢預(yù)測》中可以看出一些端倪。2008年亞洲地區(qū)的網(wǎng)絡(luò)罪犯紛紛使用新媒介或針對舊媒介進行改良,用以謀取利益,網(wǎng)頁入侵、AUTORUN 惡意軟件、社交詐騙手法和區(qū)域性病毒威脅等構(gòu)成了四大類型網(wǎng)絡(luò)犯罪。
美國國家標準與技術(shù)研究院計算機安全處統(tǒng)計數(shù)據(jù)表明,在過去 12 個月內(nèi),形態(tài)各異的惡意軟件二進制文件增加了 1000 多萬個。
McAfee Avert Labs 產(chǎn)品開發(fā)高級副總裁Jeff Green認為,無論是惡意軟件、網(wǎng)絡(luò)釣魚軟件、網(wǎng)頁掛馬、欺詐軟件、垃圾郵件,還是其他任何困擾企業(yè)和消費者的威脅,我們都可以肯定:其中大部分威脅都以撈錢為核心,其目的都是為了填滿全球網(wǎng)絡(luò)犯罪分子的口袋。
進入2009年,值得注意的是:Web 2.0社交網(wǎng)站的使用率大增,但是網(wǎng)站設(shè)計中卻存在安全弱點,而且用戶對Web 2.0認知不足。因此,這類網(wǎng)站將成為 Web威脅繁衍的沃土。同時,2009年需特別留意的還有瀏覽器與其他Web 應(yīng)用程序,它們將成為黑客攻擊的首要目標!
上海出入境檢驗檢疫局科長吳穗玲說,去年我們單位中了PE_LOOKED病毒,幸虧在奧運會前增強了系統(tǒng)巡檢的力度,把威脅撲滅在感染初期。盡管我們當時在32個分支機構(gòu)的網(wǎng)絡(luò)出口上都部署了IPS,還部署了多臺防火墻及IDS。但還是受到了病毒或者惡意軟件的困擾。
病毒對企業(yè)業(yè)務(wù)的影響相當大,南寧市財政信息中心主任劉波說,曾經(jīng)因為蠕蟲病毒造成整個業(yè)務(wù)網(wǎng)絡(luò)癱瘓了一整天,很多重要的事情都無法進行下去。
趨勢科技資深產(chǎn)品技術(shù)顧問徐學(xué)龍分析說:“現(xiàn)今病毒感染途徑越來越多,僅靠單一防護措施已經(jīng)越來越難以防止,若是沒做好環(huán)節(jié)中的其中一項,將導(dǎo)致企業(yè)內(nèi)部用戶病毒感染率的上升。”
云安全的硬指標
IDC安全產(chǎn)品服務(wù)部門的研究總監(jiān)Charles Kolodgy表示:“基于特征碼的傳統(tǒng)惡意程序檢測方法已不能滿足要求。用戶的行為在改變,威脅也在不斷演變,然而惡意程序檢測技術(shù)卻沒有跟上。”
在病毒制作的門檻在逐步降低,病毒、木馬的數(shù)量迅猛增長,反病毒廠商與病毒之間的對抗日益激烈的大環(huán)境下,傳統(tǒng)“獲取樣本→特征碼分析→更新部署”的殺毒軟件運營模式,已無法滿足日益變化及增長的安全威脅。在海量病毒、木馬充斥互聯(lián)網(wǎng),病毒制作者技術(shù)不斷更新的大環(huán)境下,反病毒廠商必須要有更有效的方法來彌補傳統(tǒng)反病毒方式的不足,云安全應(yīng)運而生。
鑒于Web威脅的數(shù)量與技術(shù)不斷提升,若要確保網(wǎng)絡(luò)安全,就必須采用多層架構(gòu)的實時防護系統(tǒng)。徐學(xué)龍指出:“嵌入云安全技術(shù)的趨勢科技產(chǎn)品與解決方案不僅具備以Web威脅數(shù)據(jù)庫為依據(jù)的信譽評級技術(shù),還擁有威脅數(shù)據(jù)關(guān)聯(lián)比對功能。這個獨特的云安全防護技術(shù),可以為用戶提供實時保護,防范最新的Web威脅。”
鄭州輕工業(yè)學(xué)院工程師程源說:“其實我覺得‘云安全’是一個老概念,以前我們都是用分布式架構(gòu)來做安全體系,這個理念一直都有,只不過現(xiàn)在叫‘云’了,但其實它的主要目的還是完善各個點、各個位置的防護措施。如果說以前是單兵作戰(zhàn)的話,現(xiàn)在是一個集團作戰(zhàn),這算是個進化,但不是個革命。”
“我們要管理32個分支機構(gòu)和2000多個客戶機。當時測試了很多設(shè)備,要能夠統(tǒng)一管理,還要防范流行的Web威脅。有些產(chǎn)品在進行小規(guī)模測試時沒問題,當測試規(guī)模擴大后,就不太好用了。”吳穗玲當初在部署防病毒系統(tǒng)時,出于對內(nèi)網(wǎng)安全和互聯(lián)網(wǎng)網(wǎng)關(guān)安全的考慮,采用軟硬兼施的策略分別實施了趨勢科技OfficeScan和IWSA。
#p#
用戶安全架構(gòu)的黏合劑
在IT可能帶來的各種風(fēng)險中,各公司將敏感信息的保密性,IT信息、資產(chǎn)和控制的完整性,IT服務(wù)的可用性列為最重要的業(yè)務(wù)風(fēng)險。
網(wǎng)絡(luò)傳輸速度和IT應(yīng)用效率,無疑是用戶最為關(guān)注的兩個實際問題,因為這兩個問題直接關(guān)系到企業(yè)業(yè)務(wù)的平滑程度。
有關(guān)云的猜疑
似乎實施云安全已經(jīng)成為應(yīng)對惡意軟件大規(guī)模爆發(fā)的重大轉(zhuǎn)折點。但是,年齡并不大的云安全在用戶眼中,并非選型評估時的關(guān)鍵因素,甚至有的用戶并不知道自己已經(jīng)應(yīng)用了云安全,他們更關(guān)心的是管理效果。
云安全雖然宣傳得轟轟烈烈,但根據(jù)記者的探訪調(diào)查,云安全作為一個不是很新的技術(shù),很多用戶對此仍然不夠了解,只有少數(shù)用戶是因為感覺云安全很新而選擇了部署,進行嘗試。但其在一定程度上,確實給用戶帶來了很多益處。
鄭州輕工業(yè)學(xué)院在選擇云安全之初抱著試試看的心態(tài),想看看云安全對惡意軟件等風(fēng)險防護的貢獻到底有多大價值。程源說,畢竟現(xiàn)在到處都在說云安全,我們也一直都在關(guān)注。看看是否能夠通過云安全實現(xiàn)一個相對完整的解決方案,將信息安全的防護和服務(wù)互聯(lián)網(wǎng)化。
安全并不是一個方面的部署就可以保障的,程源很有感觸,做安全不可能只做一個環(huán)節(jié),安全存在于IT的各個環(huán)節(jié)之中,關(guān)系到方方面面。
例如用戶端的桌面防護,局域網(wǎng)對外的防護,這是由內(nèi)部到外部的全方位防護。現(xiàn)在程源也在考慮對服務(wù)器的防護,防止外部攻擊,這樣一個整體全方位的防護,才可能起到真正的安全作用和效果。
陳波說:“網(wǎng)絡(luò)暢通是我們最特殊的需求,由于我們的系統(tǒng)會涉及到一些部門的資金申請,所以我們特別注重網(wǎng)絡(luò)安全和數(shù)據(jù)安全。雖然目前在內(nèi)網(wǎng)上已經(jīng)做了很好的控制,但因為有些職工需要連接外網(wǎng),所以我們很擔(dān)心病毒會通過互聯(lián)網(wǎng)感染職工的終端。現(xiàn)在已經(jīng)通過部署IDS、防火墻、互聯(lián)網(wǎng)安全網(wǎng)關(guān)(IWSA)等硬件進行綜合防護。”
當初陳波部署IWSA的時候,只是知道它具有云安全技術(shù),也不是因為IWSA用了云安全才選擇實施的,主要是通過測試評估后,在整體體驗上效果不錯才購買的,因為它不會影響網(wǎng)絡(luò)的使用。
如今,90% 以上的惡意軟件都包含竊取密碼的特洛伊木馬病毒,其制造者只有一個罪惡目的,就是挖出用戶有價值的數(shù)據(jù)。一些用戶也在猜疑,由于云安全會將一部分信息拿到云端進行識別判斷,是否會造成隱私泄露,核心數(shù)據(jù)被盜等狀況。
南寧市財政信息中心主任劉波說;“當時是存在一些顧慮,畢竟我們作為政府信息中心,數(shù)據(jù)的保密性十分重要,因此保障數(shù)據(jù)的安全是一切工作的前提。我們擔(dān)心數(shù)據(jù)被抓走,放在云端進行檢測。換句話說,這叫泄密。但是經(jīng)過實際測試,讓我們對云安全的檢測和防御方式放心了。”
徐學(xué)龍解釋說:“云安全架構(gòu)提供了郵件信譽、Web信譽和文件信譽的云端查詢。以郵件信譽查詢?yōu)槔蛟贫诉f交的信息僅限于發(fā)送郵件方的IP信息,不會記錄用戶端的IP信息。Web信譽查詢中,它只是將用戶要訪問的URL送至云端查詢,并不涉及到用戶的機密數(shù)據(jù),也不會記錄用戶的個人IP信息。而文件信譽向上遞交查詢的只是用戶數(shù)據(jù)的hash值,并不是真實的數(shù)據(jù)文件。”
這也就意味著,云安全服務(wù)提供商并不獲取來自用戶的原始數(shù)據(jù),相對于傳統(tǒng)的用戶遞交病毒樣本分析而言,用戶自己的私密信息的保護更具有安全性。
彌補安全的缺口
“長期以來,一直吃病毒的苦頭,雖然一直在強調(diào)追求事前預(yù)防,但實際上總慢半拍。安全畢竟不是100%的,我們只能盡最大努力將病毒產(chǎn)生的威脅降到最低。”吳慧玲說。
縱觀2008年的一些流行病毒,如機器狗、磁碟機等,無一例外均為對抗型病毒。而且一些病毒制作者也曾揚言“餓死殺毒軟件”。盡管對抗殺毒軟件和破壞系統(tǒng)安全設(shè)置的病毒以前也有,但2008年表現(xiàn)得尤為突出。
程源認為:“信息安全不可能是無缺口的,安全不可能光靠軟件和人力去實現(xiàn)。這方面還需要企業(yè)員工行為的規(guī)范化。如果員工使用不當,被惡意軟件攻擊,那么安全防護再好,也不夠。要將軟件和人結(jié)合得更好,如果能在軟件中給用戶使用習(xí)慣和規(guī)范有一些提示,那么就更好了,更加人性化了。我們在服務(wù)方面的安全防護,也是耗費人力比較多的,對內(nèi)的服務(wù)包括郵件服務(wù)、Web服務(wù)、主頁服務(wù),還有對外提供的服務(wù),例如招生、宣傳、名師推薦等。”
上海出入境檢驗檢疫局雖然只有4個人負責(zé)信息安全,但要管理32個分支機構(gòu)的整體安全策略。由于病毒千變?nèi)f化,人手又不足。通常遇到安全狀況時是發(fā)現(xiàn)一臺,處理一臺,都是事后操作。
吳慧玲說:“幸好在2008年北京奧運會前夕部署了IWSA,并且加強巡檢工作形成了立體的防護框架,才避免了PE_LOOKED病毒擴散,提高了整體防護能力。而且要求內(nèi)部部分終端是不能連接外網(wǎng)的,我們通過為每個網(wǎng)段設(shè)置一臺種子機為不能上網(wǎng)的機器提供升級服務(wù),還節(jié)省了帶寬資源。”
為了迎接2010年的上海世博會,上海出入境檢驗檢疫局邀請了上海東吉數(shù)碼科技有限公司,進一步將巡檢普及到32個分支機構(gòu)的更深處。讓第三方公司的人到分支機構(gòu)進行巡檢,能夠更細致入微。而且改變了安全防護的策略部署方向,曾經(jīng)是從上往下統(tǒng)一部署,現(xiàn)在是從下往上排查。
事實上如今的惡意軟件已經(jīng)變得日益復(fù)雜和難以防御,而且安全防護工作正面臨著重大難題:
一是存在太多獨特的惡意軟件樣本。防惡意軟件引擎需要搜索上千萬的簽名,以明確可疑文件沒有受到感染。但是,很多簽名可能從未使用過——由于清除這類簽名的風(fēng)險太大,因此它們?nèi)匀皇翘卣鞔a文件。當然,這意味著典型的特征碼文件變得越來越大、越來越笨重。從而在掃描和定期更新簽名方面對實際性能造成很大影響。
二是惡意軟件傳播判斷模式不易。當遇到未知文件時,用戶需要用一種方法來做出最終判斷,該文件是不是惡意軟件。今天的惡意軟件從廣泛發(fā)布到第一次感染之間的間隔時間比以前大大縮短。這就意味著,簽名太慢而難以更新。
在公布和部署之間無可避免的延遲,為未探測到的惡意軟件感染計算機留出了時間。
徐學(xué)龍說:“相同的分析工作,過去需要一天的運算時間,改用云安全技術(shù)后,現(xiàn)在只需要幾秒鐘。可以說云安全使防御Web威脅不再是單一款產(chǎn)品做的事,而是和所有互聯(lián)網(wǎng)使用者一起和Web威脅做斗爭,云安全讓每個人都成為了識別安全威脅的貢獻者。”
陳波表示:“根據(jù)我們的經(jīng)驗,在部署云安全之前,一定要經(jīng)過測試、評估、分析的一系列過程,最終生成一份詳細的報告。因為企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)不同,管理管理方式也不同,要量身定制解決方案,以免影響防護效果。比如以前我們部署過一套網(wǎng)絡(luò)管理軟件,雖然產(chǎn)品本身沒問題,在其他環(huán)境也能用,但是到我們這邊就不行。”
云安全(Cloud Security)是網(wǎng)絡(luò)時代信息安全的一種新形式,它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念,通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件異常的行為監(jiān)測,獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息,推送到服務(wù)器端進行自動分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個客戶端。
云安全最強大的地方,就是拋開了單純的客戶端防護的概念。傳統(tǒng)客戶端被感染,殺毒完畢之后就完了,沒有進一步的信息跟蹤和分享。而云所服務(wù)的所有節(jié)點,是與服務(wù)器共享信息的。
用戶中毒了,服務(wù)器就會記錄,在幫助用戶處理的同時,也把信息分享給其它用戶,他們就不會被重復(fù)感染。
#p#
云中攔截惡意軟件的競賽
雖然國內(nèi)很多用戶在不知不覺中就部署了基于云安全的解決方案,但為了檢驗云安全的真實作用,我們可以參考獨立實驗室Cascadia Labs在2008年12月發(fā)布的《網(wǎng)絡(luò)安全測試》。該報告公布了對McAfee、Websense、BlueCoat、IronPort、趨勢科技和SurfControl六種市場上優(yōu)秀的URL過濾和網(wǎng)絡(luò)安全產(chǎn)品橫向測試的結(jié)果。
六款測試產(chǎn)品中包括網(wǎng)關(guān)設(shè)備和服務(wù)器軟件,趨勢科技的Web安全網(wǎng)關(guān)解決方案(IWSA)獲得了70%的加權(quán)得分獲得冠軍,而亞軍產(chǎn)品McAfee網(wǎng)絡(luò)安全設(shè)備3300分的加權(quán)得分則為64%,該產(chǎn)品配備了增強型URL過濾數(shù)據(jù)庫(Enhanced URL Filtering Database),這兩家廠商也都是云安全的代表廠商。
防范惡意軟件的第一道防線
防范惡意軟件,企業(yè)往往依賴URL過濾和網(wǎng)絡(luò)安全產(chǎn)品來保護計算機和網(wǎng)絡(luò)免受危險的、不適當?shù)暮筒皇軞g迎的網(wǎng)絡(luò)內(nèi)容的攻擊。除了攔截含有低俗、暴力或非法內(nèi)容的網(wǎng)頁外,這些產(chǎn)品還在保護企業(yè)網(wǎng)絡(luò)方面發(fā)揮著日益重要的作用——它們鑄成了防止惡意網(wǎng)頁的第一道防線,同時也可以對帶寬的流量實施管控。
盡管過濾低俗級別和浪費生產(chǎn)力的網(wǎng)站是非常普通的一項功能,但是各個產(chǎn)品在應(yīng)對更具挑戰(zhàn)性的網(wǎng)絡(luò)內(nèi)容類型方面卻大為不同,而且攔截安全威脅時也有很大差異。
含有高效網(wǎng)絡(luò)安全功能的URL過濾產(chǎn)品可以提供第一道防線,保護用戶和公司不受惡意內(nèi)容的侵害。除了安全,URL過濾產(chǎn)品在增強企業(yè)的網(wǎng)絡(luò)使用政策方面還發(fā)揮著重要作用。Cascadia Labs的測試表明,所有產(chǎn)品都能攔截大多數(shù)低俗內(nèi)容和生產(chǎn)效率&娛樂URL,而且在帶寬占用、通信和責(zé)任方面的表現(xiàn)非常出色——盡管還有改進空間。
Cascadia Labs通過對原始的攔截應(yīng)用得分加權(quán)而得出總分,Cascadia Labs認為,原始得分反映了一般企業(yè)客戶心目中的相對重要性。由于Cascadia Labs每個季度都會重新評估加權(quán)結(jié)果,所以在過去幾年中,安全類測試的權(quán)重不斷增加。
在此次的測試中,安全類測試占總分的30%、低俗內(nèi)容測試占20%、帶寬占用測試占15%、責(zé)任測試占15%、通信測試占10%、生產(chǎn)效率&娛樂測試占10%。
盡管加權(quán)結(jié)果反映出作為深度防御安全戰(zhàn)略組成部分的URL過濾的重要性日益提升,但是它也表明企業(yè)需要不斷攔截可視內(nèi)容才能換取安全的環(huán)境,例如具有惡意代碼的攻擊性網(wǎng)頁。而趨勢科技在責(zé)任測試、通信測試和生產(chǎn)效率&娛樂測試方面表現(xiàn)不俗,SurfControl在帶寬測試方面表現(xiàn)最好,McAfee則在低俗內(nèi)容測試方面拔得頭籌。
此外,趨勢科技、McAfee、Blue Coat和IronPort的產(chǎn)品還結(jié)合了Web信譽功能。由于Web信譽主要是針對安全性URL,因此僅在安全類別中進行了測試。
測試方法和測試數(shù)據(jù)庫
Cascadia Labs一直以來提供客觀而獨立的技術(shù)產(chǎn)品評估,此次測試更關(guān)注產(chǎn)品的URL數(shù)據(jù)庫的攔截有效性和Web信譽功能,因此并沒有評估產(chǎn)品的用戶界面、特征、功能或可擴展性。
為了區(qū)分六大產(chǎn)品的核心URL過濾功能,Cascadia Labs測試的產(chǎn)品中沒有包括協(xié)議過濾、二進制掃描、防病毒掃描或防間諜軟件掃描。雖然協(xié)議過濾可以有效攔截即時信息和其它不受歡迎的服務(wù),但是由于用戶需要保障網(wǎng)絡(luò)的暢通更為重要,協(xié)議過濾對于HTTP顯得并不實用。
龐大的數(shù)據(jù)庫
Cascadia Labs主要依靠維護英語的URL數(shù)據(jù)庫來滿足企業(yè)市場的要求。該數(shù)據(jù)庫包括150多萬個URL,被分成六組22個小類。Cascadia Labs為低俗內(nèi)容、帶寬占用、通信、責(zé)任和生產(chǎn)效率&娛樂中的每個組別隨機選擇至少1000個樣本,這樣足以得出重要的統(tǒng)計結(jié)論。
Cascadia Labs為權(quán)重最多的安全類測試專門選擇了1000個樣本、750個不同類型的惡意二進制URL、100個漏洞利用程序、50個網(wǎng)絡(luò)釣魚URL、50個代理和50個潛在不受歡迎的應(yīng)用程序。
由于每個廠商都使用了其自己的數(shù)據(jù)庫分類集合來對URL進行分類。Cascadia Labs根據(jù)自己的分類和廠商選擇的分類進行配比創(chuàng)建了匹配的小類,確保對每個產(chǎn)品都擁有可對比的攔截配置。為此,Cascadia Labs執(zhí)行了初步測試,確保每個產(chǎn)品都有合適的類別映射。
配置與優(yōu)化
Cascadia Labs針對互聯(lián)網(wǎng)上的有效服務(wù)器測試攔截準確性。在設(shè)置上,讓每個產(chǎn)品攔截各個小類組成的整個大類,這樣可以確保Cascadia Labs的攔截結(jié)果不會因廠商類別選擇的微小差異而受到影響。
例如,有些廠商可能把保齡球URL放入體育類別中,而其它廠商可能將其歸入業(yè)余愛好和娛樂類別中。在Cascadia Labs的測試中,兩種情況下的保齡球頁面分類都會遭到攔截,因為體育和業(yè)余愛好及娛樂都包括在Cascadia Labs的生產(chǎn)效率&娛樂組中。
在測試產(chǎn)品的配置方面,Cascadia Labs以代理的形式進行配置。由于McAfee、趨勢科技、BlueCoat和IronPort都是網(wǎng)關(guān)設(shè)備,所以將SurfControl和Websense與Microsoft ISA服務(wù)器集成在一起。在測試過程中保障每天對所有產(chǎn)品至少更新一次,而且在測試期間為采用本地數(shù)據(jù)庫的各個產(chǎn)品記錄所使用的數(shù)據(jù)庫的版本。
Cascadia Labs在測試中應(yīng)用了趨勢科技的防網(wǎng)絡(luò)釣魚模塊和Blue Coat的可疑URL分類。此外,趨勢科技、McAfee和IronPort都能提供Web信譽特征,Cascadia Labs在安全性測試中也使用了這一特征。
除了Amazon.com和espn.go.com等流量較大網(wǎng)站之外,Cascadia Labs在配置好的數(shù)據(jù)庫中,不斷排除使用過的URL,以防止任何廠商在后續(xù)的測試中獲得優(yōu)勢。
主要結(jié)果和分析
Cascadia Labs應(yīng)用各種向量而不僅僅是搜索引擎的結(jié)果來辨別其專用數(shù)據(jù)庫的候選網(wǎng)頁。Cascadia Labs應(yīng)用了嚴格的質(zhì)量保障流程以確保URL準確適當,因此可以獲得關(guān)于產(chǎn)品行為的有意義的結(jié)果和深刻了解。
傳統(tǒng)上,產(chǎn)品是應(yīng)用供應(yīng)商定期更新的本地數(shù)據(jù)庫來攔截URL。近年來,越來越多的產(chǎn)品增加了遠程數(shù)據(jù)庫查看功能,通常稱為在云安全或SaaS,可以更加及時地響應(yīng)快速變化的網(wǎng)絡(luò),如趨勢科技、McAfee、Blue Coat和IronPort。
這些產(chǎn)品還增加了Web信譽和實時分類功能來補充基于數(shù)據(jù)庫的攔截方法,盡管Cascadia Labs分析了各種方法的益處,但是用戶最終關(guān)心的是產(chǎn)品對不受歡迎的URL的攔截能力而非其背后所采用的技術(shù)。測試結(jié)果如圖1所示,擁有Web信譽功能的產(chǎn)品,在各個內(nèi)容分類方面,其攔截有效性均表現(xiàn)很好。
1、安全性測試
Cascadia Lab的安全組包含五類實際威脅URL:惡意軟件、漏洞利用、網(wǎng)絡(luò)釣魚、代理和潛在不受歡迎的應(yīng)用程序。趨勢科技在安全測試中獲得了最高分,攔截了53%的威脅性URL,McAfee以42%的得分緊隨其后。其它產(chǎn)品得分在9%~31%之間。圖2說明了各個產(chǎn)品在防范五大安全威脅中的表現(xiàn)。
惡意軟件:測試對象包括特洛伊木馬、蠕蟲和病毒等威脅。趨勢科技在這個分類中獲得了最高的攔截總分,攔截了49%的含有惡意軟件URL,為應(yīng)對指向惡意文件的URL構(gòu)筑了有用的第一道防線。McAfee以41%的攔截率排名第二。其它產(chǎn)品的表現(xiàn)并不理想,得攔截率從25%直至SurfControl的6%。
漏洞利用:攻擊者利用漏洞可以通過“即時下載”的方式給URL過濾產(chǎn)品帶來挑戰(zhàn)。“即時下載”通常都是短暫的,甚至可以在高流量的信譽好的網(wǎng)站上突然出現(xiàn)突然消失。在測試100個被網(wǎng)絡(luò)漏洞利用的程序時,趨勢科技、Blue Coat和Websense表現(xiàn)搶眼,攔截了65%~68%的威脅。McAfee的得分為61%,IronPort攔截了53%的威脅,它們的表現(xiàn)均值得稱道,但是SurfControl僅攔截了0.3%的“即時下載”下載URL。
網(wǎng)絡(luò)釣魚:網(wǎng)絡(luò)釣魚測試結(jié)果的有效性可以表明產(chǎn)品在實時分析和公布網(wǎng)絡(luò)釣魚威脅的綜合能力。網(wǎng)絡(luò)釣魚URL的壽命一般都很短,這給URL過濾產(chǎn)品測試提出了一個實實在在的挑戰(zhàn)。Cascadia Labs收集了各種網(wǎng)絡(luò)釣魚威脅,包括網(wǎng)絡(luò)釣魚的目標eBay和PayPal以及Abbey和Chase等銀行。IronPort在攔截這些URL時表現(xiàn)最為出色,攔截率達到了78%,趨勢科技的攔截率為76%,其它產(chǎn)品對這些威脅的攔截率均低于10%。
代理:提供代理服務(wù)或公布公開代理和匿名服務(wù)名單的網(wǎng)站可能成為企業(yè)的一大擔(dān)憂,因為這些網(wǎng)站允許員工改變URL過濾規(guī)則。在這些URL中,SurfControl和IronPort獲得了67%的最高分,其它產(chǎn)品攔截率則在52%~60%之間。
潛在不受歡迎的應(yīng)用程序:PUA(潛在不受歡迎的應(yīng)用程序)包括可疑但不一定是惡意的URL,例如廣告軟件下載。趨勢科技攔截了47%的此類應(yīng)用程序,相比該組30%的平均攔截率可謂遙遙領(lǐng)先。McAfee和Blue Coat并列第二名,攔截率為36%。
2、低俗內(nèi)容測試
URL過濾最初目的是用來攔截低俗內(nèi)容,對于這個相當成熟的類別,六種產(chǎn)品均攔截了超過90%的低俗內(nèi)容URL,這樣的成績并不令人意外。沒有哪種產(chǎn)品可以攔截所有令人討厭的URL,但是如果產(chǎn)品都能達到80%或更好的水平,則可以認為差異太小將不足以影響采購決定。
3、帶寬占用測試
帶寬占用組由下載、P2P和流媒體URL組成,包括Torrent網(wǎng)站和網(wǎng)絡(luò)視頻內(nèi)容。SurfControl以大比分優(yōu)勢成為本組的獲勝者,得分為75%,而該組的平均分只有59%。IronPort和趨勢科技以62%和59%的得分分列其后。
需要注意的是,Cascadia Labs的帶寬占用測試所測試的是產(chǎn)品基于URL自身而非協(xié)議或文件類型的攔截URL的能力——國內(nèi)用戶在進行評估測試時也可以使用后兩種方法作為補充。
4、通信測試
通信組包括電子郵件和聊天等個人通信以及博客和論壇等社區(qū)通信。在該組別中,趨勢科技以69%的攔截率奪冠——比第二名高出4個百分點,比該組平均攔截率高出7個百分點。趨勢科技在博客攔截方面表現(xiàn)尤為出色,攔截了80%的URL,比該組別平均攔截率高出12個百分點。
5、責(zé)任測試
Cascadia Labs的責(zé)任測試類別包括犯罪活動、復(fù)仇和暴力以及非法藥品等——這些是企業(yè)需要攔截的高度關(guān)注的敏感內(nèi)容。該組中的URL通常是最難進行分析攔截的,因為URL的創(chuàng)始人經(jīng)常試圖將其隱藏在時事新聞等主流內(nèi)容中。趨勢科技在該組中以微弱優(yōu)勢領(lǐng)先,攔截了71%的URL,緊隨其后的產(chǎn)品攔截率則為62%。
6、生產(chǎn)效率&娛樂測試
該組包括潛在的浪費時間的類別,例如運動、游戲和娛樂。在低俗內(nèi)容組中,所有產(chǎn)品均獲得了高分。
#p#
揭開Web信譽的秘密——在云中攔截惡意軟件能否成功
傳統(tǒng)的惡意軟件嚴重依賴特征碼文件,其中包括已知惡意軟件樣本的獨特特征或“簽名”。隨著惡意軟件變得日益復(fù)雜和難以防御,防惡意軟件行業(yè)正面臨著“簽名泛濫”或“海量威脅”的難題。
最近,獨立研究機構(gòu)Richi Jennings Associates專門針對Web信譽攔截惡意軟件的能力進行了研究,在Cascadia Labs的測試中Web信譽技術(shù)體現(xiàn)了更好的保護和更出色的性能,Web信譽技術(shù)將攔截對惡意網(wǎng)站的訪問,從而防止用戶于無意中下載惡意軟件。該技術(shù)是通過實施審查目標網(wǎng)頁的信譽而實現(xiàn)這一目標的——即通過在云中信譽數(shù)據(jù)庫高效攔截與網(wǎng)站的URL。趨勢科技所謂的Web信譽是基于在云計算實現(xiàn)云安全技術(shù)的組成部分。
Web信譽的本質(zhì)
本質(zhì)上,Web信譽意味著需要掃描的文件減少,在延遲部署簽名方面,用戶的抵抗力得以增強。基于云的惡意軟件下載攔截優(yōu)于傳統(tǒng)的基于簽名的攔截方法的四個主要原因羅列如下。
1.減少惡意軟件感染
最重要的工作就是免受惡意軟件感染。Web信譽在為已知惡意軟件部署簽名之前就消除了典型的時間延遲問題。由于采用了基于云的方法,因此可以始終根據(jù)最新公布的信譽來驗證下載來源。
這將有效提高判斷針對新生惡意軟件的準確性。
2.降低管理費用
由于必須的掃描工作減少,所以可以顯著改善內(nèi)存空間和磁盤輸入/輸出的使用。現(xiàn)在這些資源可以用在實實在在的工作中,而不是執(zhí)行保護工作。
3.改善績效
總體績效應(yīng)該會因應(yīng)用Web信譽而得以改善。終端用戶的一個主要抱怨就是實施惡意軟件掃描減慢了計算機的運行速度,降低了生產(chǎn)效率,壓力反而增加。減少掃描過程將會讓人感覺效率提高,從而讓用戶更加愉快。
假設(shè)安全廠商提供云安全的數(shù)據(jù)中心規(guī)模適當,那么在審查合法下載的信譽方面就不會出現(xiàn)延遲或延遲不易察覺。
4.減少網(wǎng)絡(luò)占用
傳統(tǒng)的方法要求用戶在掃描之前下載惡意軟件,因此而浪費的網(wǎng)絡(luò)帶寬令人吃驚。現(xiàn)在這種共享資源可被用于實實在在的工作中,而不是傳輸惡意軟件。
Web信譽減少用戶來電
根據(jù)測試Web信譽部署前后用戶遷移數(shù)據(jù)的對比,可以得出產(chǎn)品支持電話數(shù)量和客戶數(shù)量的客觀數(shù)據(jù)。數(shù)據(jù)顯示,選擇遷移的客戶獲得了更好的體驗。這些數(shù)據(jù)在三個月的時間中收集,評估了支持事件的數(shù)量。這些數(shù)據(jù)還根據(jù)支持電話是否與惡意軟件感染有關(guān)而進行了劃分。
圖中顯示了客戶的相對數(shù)量、電話數(shù)量和與惡意軟件感染有關(guān)的電話的比例,并按照與惡意軟件相關(guān)的電話對兩組客戶進行了比較。
平均來看,在采用了Web信譽的客戶中,與惡意軟件感染有關(guān)的支持電話大大減少。數(shù)據(jù)顯示,與使用舊版簽名類產(chǎn)品相比,電話數(shù)量下降了75%。數(shù)據(jù)在經(jīng)過標準化處理之后,僅有4%的支持電話與Web信譽的惡意軟件感染有關(guān),而以前的產(chǎn)品中這一比例則高達16%。
但是,其它支持電話的總體數(shù)量增加了50%。數(shù)據(jù)在經(jīng)過標準化處理之后,21%的采用了Web信譽的客戶致電就非惡意軟件類事件請求支持,而使用舊版產(chǎn)品的客戶的這一比例則為14%。該比例的上升可能與正在遷移中的客戶的期望有關(guān)。
【編輯推薦】
