Está en la página 1de 5

Presentada por

RESEÑA COMPARATIVA

Filtrado de URL y seguridad Web de Cascadia Labs


Resultados del verano de 2009

Resumen ejecutivo
Gráfico 1 - Eficacia general del bloqueo (media ponderada)
En verano de 2009 Cascadia Labs reali­
zó varias pruebas de eficacia de cinco 100%
gateways de Internet seguros líderes en
el mercado, incluidos tres appliances 90%
de perímetro de Blue Coat y McAfee, 80%
75%
software de Websense y Trend Micro 70%
InterScan Web Security Virtual 65% 67% 65% 67%
60%
Appliance.
50%
Cascadia Labs realizó las pruebas con 40%
URL que recopiló, clasificó y verificó
de forma independiente usando sus 30%
propios sistemas (las URL no fueron 20%
suministradas ni eran conocidas 10%
0%
Trend Micro se erigió Trend Micro Websense McAfee BlueCoat McAfee
(Webwasher)
como el claro vencedor, vul­ne­ra­bilidades, phishing, proxys equipos informáticos y redes frente al
manteniendo el liderazgo y aplicaciones potencialmente no contenido peligroso, inapropiado y no
deseadas). Con una eficacia general del deseado que circula por la red. Además
obtenido en 2008. bloqueo de las amenazas de seguridad de aplicar políticas de uso para las
de casi un 80%, Trend Micro IWSVA pági­nas Web que contienen contenido
por parte de las empresas cuyos Secure Web Gateway es una solución sexual explícito, violento o ilegal,
productos se probaron). Recopilamos que destaca claramente del resto de estos productos también desempeñan
y verificamos las URL de seguridad en los productos, con unas puntuaciones una función vital en la seguridad de
los días inmediatamente anteriores medias de entre el
Gráfico 2 - Eficacia del bloqueo de seguridad general
a las pruebas para garantizar que 49 y el 55%.
representaban amenazas actuales, Introducción
incluidos los posibles ataques de día general 100%
cero que se produjeran. 90%
Los gateways de 80%
En estas pruebas, Trend Micro se Internet seguros 79%
erigió como claro vencedor general, poseen una 70%
afianzando de este modo la posición nutrida gama de 60%
líder que estableció en nuestras 55% 56%
capa­ci­dades para 50% 52%
pruebas de finales de 2008. 49%
gestionar, bloquear 40%
Trend Micro también demostró una y controlar el
30%
mar­cada ventaja frente a las amenazas contenido Web en
el perímetro. Las 20%
de seguridad, con una contribución
sig­ni­ficativa de sus servicios de repu­ empresas confían 10%
ta­ción Web. Trend Micro obtuvo la en estos productos 0%
me­jor puntuación en cada una de las para proteger a Trend Micro Websense McAfee BlueCoat McAfee
(Webwasher)
ca­te­gorías de seguridad (malware, sus empleados,

1
las redes corporativas frente a ame­ todos ellos funcionan adecuadamente, Resultados y análisis
na­zas Web, incluidas las descargas aunque con margen para mejorar, en
automáticas, el malware y los ataques los grupos de uso de ancho de banda, Trend Micro IWSVA, que incluye funcio­
de phishing. comunicaciones y responsabilidad nes de valoración remota y reputación
legal. Web, se mantuvo de forma constante
A medida que estas amenazas de se­ en la posición principal o muy cerca de
gu­ridad de Internet aumentan en fre­ Productos probados ella en cuanto a la eficacia de bloqueo
cu­encia, volumen y sofisticación, resulta de cada uno de los tipos de contenido
más evidente la necesidad de agregar Cascadia Labs probó los cinco produc­ (Gráfico 3).
capas adicionales de protección a una tos siguientes durante agosto de 2009:
estrategia de seguridad con defensa En los últimos años, las funciones
exhaustiva. Mientras que el filtrado de • Trend Micro InterScan Web de va­lo­ración remota y reputación
los sitios para adultos y no productivos Security Virtual Appliance v5 Web han permitido que muchos
tiene carácter prioritario, existen gran­ • Websense Security Suite v7.1 productos de gateways de Internet
des variaciones en cuanto a la eficacia seguros tengan una mejor respuesta
• McAfee Email and Web Security
de los productos a la hora de combinar al complejo y variable entorno
Appliance 3000
funciones como bases de datos de URL Web. En vez de solo consultar una
y servicios de reputación Web para • Blue Coat Proxy SG 210A copia local de una base de datos de
bloquear las amenazas de seguridad. v5.4.1.12 URL, los productos con valoración
• McAfee Web Gateway WW500E remota pueden realizar consultas
En verano de 2009 Cascadia Labs (anteriormente Webwasher) v6.8 a servidores remotos para ofrecer la
sometió a distintas pruebas cinco información más actualizada. De forma
gateways de Internet seguros líderes IronPort no nos permitió comprar su
similar, los productos con funciones
del mercado: appliances de perímetro software para la realización de estas
de reputación Web pueden usar
de Blue Coat y McAfee (incluido pruebas.
tecnología heurística para detectar
un producto anterior, Webwasher), Se debe recordar que Websense ha patrones poco comunes detrás de
software Websense y el appliance cambiado el nombre del producto los evidentes en el contenido de la
virtual de Trend Micro. Trend Micro se a “Websense Web Security”. página. Aunque nosotros analizamos
erigió como claro vencedor general, la contribución de estos distintos
con una marcada ventaja frente a las A lo largo del presente informe, enfoques, en última instancia son los
amenazas de seguridad. Cascadia Labs se centra exclusivamente clientes los que se preocupan por la
en la eficacia del bloqueo de las bases capacidad del producto para bloquear
Como se muestra en el Gráfico 1, de datos de URL y la reputación Web URL no deseadas independientemente
Trend Micro InterScan Web Security de los productos. de la tecnología implicada, motivo por
Virtual Appliance (IWSVA) obtuvo una
puntuación general ponderada del Gráfico 3 - Eficacia del bloqueo (por grupo)
75%. Los dos productos de McAfee
consiguieron el segundo puesto, con Trend Micro McAfee McAfee
(Webwasher)
un 67% cada uno. Además de con­ Websense BlueCoat

se­guir la mayor puntuación gene­


100%
ral, Trend Micro también destacó en
el bloqueo de URL que conducían 90%
a amenazas de seguridad, con una 80%
puntuación dominante del 79%, en 70%
comparación con las puntuaciones del
60%
resto de productos de aproxima­da­men­
te un 50%. 50%
40%
Dejando a un lado la seguridad, los
productos de filtrado de URL también 30%
realizan una función importante en 20%
la aplicación de políticas de uso en 10%
las redes de las empresas. Según las 0%
pruebas realizadas, podemos afirmar
que todos ellos bloquean la gran
s

nd e

le ad

oc d

ad
to

ne
ba o d

y ida
lid

rid
a

io
ul

ga
io
h

iv
Ad

bi

gu
ac

mayoría de URL de las categorías de


nc

t
sa

uc
ic

Se
la

on
un

od
de

adultos y productividad y ocio, y que


sp
m

Pr
so

Co

Re
U

2
el que los informes que publicamos cuales variaron en eficacia entre un 49 de productos lo hizo solo en un
solo muestran los resultados más y un 55%. Su capacidad de bloqueo de 48-58%. Las vulnerabilidades de
destacados de la eficacia del bloqueo. cuatro de cada cinco amenazas, incluso seguridad, o las descargas automáticas,
sin activar la exploración del perímetro, son amenazas muy molestas que
El gran reto para esos productos sigue demuestra el valor que puede añadir pueden explotar los puntos débiles
siendo las amenazas a la seguridad. un gateway de Internet seguro como de los exploradores y las aplicaciones
Las tasas medias de bloqueo se sitúan parte de una estrategia de seguridad de otros fabricantes cuando los
en un 58%, relativamente bajas si se con defensa exhaustiva. usu­a­rios visitan una página Web.
comparan con otras categorías, aunque Es especialmente importante que los
la media ha mejorado en el último año. Malware gateways de Internet seguros bloqueen
En esta área, Trend Micro ha mostrado Trend Micro bloqueó tres cuartos de estas amenazas puesto que son invisib­
una ventaja clara sobre el resto de los todas las URL de malware, seguido les y que pueden contenerlas incluso
productos probados. de McAfee 3000 con un 62%. El resto sitios de confianza muy visitados, gene­
de productos obtuvo un porcentaje ralmente como resultado de un ataque
En las categorías no relacionadas con de bloqueo de entre un 53 y un 55%.
la seguridad, las variaciones en la SQL Injection de un hacker o por
Definimos “URL de malware” como las contenido generado por los usuarios.
eficacia fueron escasas. Los productos URL que redireccionan directamente
bloquearon las URL relacionadas con a archivos binarios maliciosos (que Phishing
la responsabilidad legal en una media suelen usar trampas de la ingeniería Trend Micro consiguió bloquear más
del 59%, sin que destacara ningún social para confundir a los usuarios de un 80% de las URL de phishing.
producto en concreto. El bloqueo del para que los descarguen e instalen Websense y Blue Coat bloquearon
uso del ancho de banda fue menos involuntariamente) y las URL con ruti­ un 55% y un 47%, respectivamente,
eficaz en general, con un porcentaje nas maliciosas introducidas durante las mientras que la tasa de bloqueo de
del 47%. Los productos bloquearon descargas automáticas. los productos de McAfee no alcanzó
las URL de comunicaciones, incluida el 40%. El phishing es un problema ya
la omnipresente categoría de medios El bloqueo de URL de malware es una familiar, y mientras que los productos
sociales, con una media del 69%. Como alternativa con escasa latencia a la de seguridad del correo electrónico
en trimestres anteriores, los grupos bús­que­da de binarios en el perímetro. pueden eliminar muchos de estos
de adultos y productividad y ocio son Para centrarnos en las capacidades mensajes, los productos de gateways
gestionados eficazmente por todos los de bloqueo de URL de los productos, de Internet seguros ofrecen una capa
productos sin diferencias reseñables. Cascadia Labs no realizó ninguna bús­ adicional de protección al bloquear el
queda de malware para estas pruebas. enlace a la URL de phishing peligrosa
Seguridad
La media de bloqueo de Trend Micro Vulnerabilidades de seguridad en los mensajes de correo electrónico
del 79% en todas las categorías de Trend Micro bloqueó cerca del 80% que no se filtran de otro modo o a los
seguridad lo situó radicalmente por de las URL que se aprovechan de que los usuarios acceden mediante
encima del resto de productos, los vulnerabilidades mientras que el resto otro proveedor de correo electrónico
sin protección.
Gráfico 4 - Eficacia del bloqueo de seguridad (por categoría de amenaza) Proxys anónimos
Como en el resto de categorías de
Trend Micro McAfee McAfee
(Webwasher) seguridad, Trend Micro obtuvo la mejor
Websense BlueCoat
puntuación: un bloqueo del 91% de los
100% proxys. A continuación le siguen los dos
productos de McAfee y Websense, con
90%
un bloqueo superior al 60%; Blue Coat
80% quedó en último lugar con una eficacia
70% inferior al 40%. Los proxys anónimos
60% no son peligrosos en sí mismos, si
bien permiten a los usuarios burlar las
50%
políticas de uso y acceder a contenido
40% no deseado o potencialmente
30% peligroso. Las URL que probamos en
20% este informe son de proxys basados en
Internet donde los usuarios introducen
10%
una URL en el campo de un formulario.
0%
Malware Vulnerabilidades Phishing Proxy APND
de seguridad

3
Aplicaciones potencialmente no Responsabilidad legal 15%; responsabilidad legal, un 15%;
deseadas McAfee 3000 obtuvo la mejor comunicaciones, un 10%; y, por último,
Trend Micro y McAfee 3000 bloquearon puntuación, un 63%, seguido de cerca productividad y ocio, un 10%. Aunque
un 59% de estas URL; las tasas de por Websense con un 61%. El resto de esta ponderación refleja la creciente
Blue Coat y McAfee Webwasher productos bloqueó solo la mitad del importancia de los gateways de
fueron también superiores al 50%. contenido de este grupo, el cual incluye Internet seguros como componentes
Websense solo pudo bloquear un actividad delictiva, odio y violencia, de una estrategia de seguridad con
23% de estas URL. Nuestra definición drogas ilegales y contenido ofensivo. defensa en profundidad, también
de “aplicaciones potencialmente no Como ocurre con las categorías de reconoce la necesidad continua de las
deseadas” incluye herramientas con adultos, las empresas suelen bloquear empresas de bloquear el contenido
algunos usos legítimos pero que estas categorías para ofrecer un visible como el de páginas Web de
muchas empresas prefieren bloquear, medios sociales u ofensivas.
como es el caso de algunas utilidades Las URL de seguridad Se debe tener en cuenta que estas
del sistema, herramientas de sondeo de
la red y el adware. representan las amenazas clasificaciones no consideran el
rendimiento, la escalabilidad, la interfaz
Adultos
actuales y no son de usuario, las características ni la
Como suele ocurrir con este grupo, suministradas, ni conocidas, funcionalidad, únicamente la eficacia
todos los productos obtuvieron un por parte de ninguna de las del bloqueo frente a nuestro corpus del
rendimiento superior al 90% de eficacia verano de 2009.
que esperaba Cascadia Labs. A este empresas cuyos productos
Corpus
grupo pertenece contenido sexual participaron en las pruebas. Creamos nuestro corpus de URL
explícito y prendas de ropa interior/
de baño que se pueden considerar indepen­diente para atender a los
inapropiadas para el lugar de trabajo. entorno laboral más cómodo libre de requi­si­tos del mercado empresarial,
contenido inadecuado o que pueda con espe­cial énfasis en la seguridad.
Uso del ancho de banda desembocar en procesos judiciales. El cor­pus contiene 22 categorías únicas
Al grupo de uso del ancho de organizadas en seis grupos con más
banda pertenecen las descargas, Productividad y ocio de 1.600.000 de URL de unos 100.000
las aplicaciones P2P y las URL de Como ocurre en el grupo de adultos, dominios únicos, de interés prin­ci­
streaming, además de sitios Torrent hay muy poca diferencia entre los pal­men­te para los usuarios de habla
y contenido de vídeo en la red. productos en lo que se refiere a las inglesa.
SurfControl fue el vencedor en esta categorías de productividad y ocio;
categoría por un amplio margen con un todos los productos bloquearon Nuestro corpus incluye amenazas de
75% frente a la media del 59%. IronPort alrededor del 90% de las URL. Estas seguridad de cinco categorías distintas:
y Trend Micro fueron los siguientes, categorías incluyen posibles sitios malware, vulnerabilidades, phishing,
con un 62 y un 59% respectivamente, no productivos como sitios de ocio, proxy y aplicaciones potencialmente
siendo la menor puntuación de juegos, noticias y compras. no deseadas (APND). Recopilamos
un 47%. Se debe recordar que y verificamos las URL de seguridad
Clasificaciones, corpus en los días inmediatamente anteriores
nuestras pruebas de uso del ancho y metodología
de banda comprueban la habilidad a las pruebas para garantizar que
de los productos para bloquear URL Puntuación y clasificaciones representan amenazas actuales,
según la propia URL en vez de un Para calcular los resultados generales incluidos los posibles ataques de día
protocolo o tipo de archivo, enfoques hemos aplicado ponderaciones a los cero que se produzcan. Esta precisión
complementarios que también pueden resultados de bloqueo brutos que temporal es crucial para diferenciar
adoptar las empresas. representan lo que creemos que son la capacidad de los productos para
las prioridades relativas para el cliente gestionar amenazas Web realistas
Comunicaciones empresarial medio. Cascadia Labs y efímeras.
El producto Webwasher de McAfee vuelve a evaluar esta ponderación Para este informe, Cascadia Labs probó
encabezó los resultados de este grupo trimestralmente, y en los últimos años, más de 2.000 URL de seguridad que
con un bloqueo cercano a los tres la seguridad ha continuado ganando incluían aproximadamente 250 casos
cuartos de todas las URL. El resto de importancia; para este informe, el de malware, 1.100 vulnerabilidades,
los productos bloquearon entre el 62 grupo de seguridad supone un 30% 200 phishing, 400 evasiones de proxy
y el 69%. Este grupo abarca los sitios de nuestras puntuaciones generales. y más de 200 URL de aplicaciones
de medios sociales, los blogs y las El grupo de adultos representa el potencialmente no deseadas.
comunicaciones y foros personales. 20%; el uso del ancho de banda, un

4
Las URL que Cascadia Labs usa para usamos configuraciones de bloqueo no es práctico para el protocolo HTTP
las pruebas se recopilan de sitios comparables para cada producto. (y las URL que probamos) dada la
en libre circulación, con nuestras Configuramos los productos para importancia de Internet. La búsqueda
propias técnicas de detección, análisis que bloquearan un grupo completo de binarios en el perímetro ofrece otra
y verificación. Ninguna URL es (definido para contener categorías capa de protección, aunque puede
suministrada, ni conocida, por parte similares), a fin de que no hubiera introducir una latencia adicional para
de las empresas cuyos productos van interferencias en los resultados de los usuarios, por lo que decidimos no
a someterse a prueba. bloqueo de nuestras pruebas a causa incluirla como parte de las pruebas del
de las pequeñas diferencias entre las presente informe.
Metodología de las pruebas categorías de los distintos proveedores.
Configuramos los productos sometidos Para poder probar las capacidades de
a las pruebas como proxys. En el caso Puesto que la reputación Web valoración en tiempo real y remota
de Websense, usamos la integración suele tener como objetivo las URL sin poner en peligro la integridad
con Microsoft ISA Server. de seguridad, solo activamos esta de nuestro corpus de URL, Cascadia
característica para las pruebas de ese Labs usa una muestra de 1.000 URL
Durante todas las pruebas, permitimos grupo. seleccionadas aleatoriamente en cada
que todos los productos usaran categoría (y 2.000 para todo el conjunto
cualquier capacidad de valoración Con el objeto de aislar las capacidades de categorías de seguridad), lo que
remota disponible y que se de filtrado de URL de cada producto, nos permite establecer resultados de
actualizaran. Cascadia Labs no activó el filtrado de bloqueo en las principales categorías
protocolos ni las exploraciones de con un intervalo de confianza de ±
Puesto que cada proveedor usa malware en ninguno de los productos.
su propio conjunto de categorías 3% (en el nivel de confianza del 95%).
El filtrado de protocolos puede ser Después de usarlas, estas URL se
para clasificar las URL, creamos una medida adicional eficaz para
correspondencias de categorías desechan a excepción de las URL de
bloquear la mensajería instantánea y sitios de tráfico elevado, para evitar
entre nuestras categorías y las de otros servicios no deseados, aunque,
los proveedores para garantizar que conceder ventaja a un producto en las
por supuesto, el filtrado de protocolos pruebas posteriores.

Independent evaluations of technology products

Contacto: info@cascadialabs.com
www.cascadialabs.com

Esta reseña comparativa, realizada de forma independiente por Cascadia Labs en el verano de 2009, ha sido patrocinada por Trend Micro.
El objetivo de Cascadia Labs es ofrecer un análisis objetivo e imparcial de cada producto según pruebas prácticas en su laboratorio
de seguridad.