【网络安全】WebCatcher识别未分类的URL

什么是 WebCatcher？

WebCatcher在Web security产品中是一个可选功能，是 Web Security解决方案的一部分。

它收集未识别的和安全相关的url，并将它们提交给云端安全实验室。对未分类的url进行分类检查，并分析url的相关安全性，以了解它们是否与Internet威胁相关。

WebCatcher处理不需要完整的URL日志记录，分析结果用于更新Forcepoint URL数据库，从而提高Forcepoint URL安全分析能力。

WebCatcher 功能启用

要启用WebCatcher功能，对未分类的URL进行识别和威胁检测，请在登录Forcepoint后，依照如下路径进入：Web > Settings > General > Accounts

WebCatcher collects uncategorized and security-related URLs to send to Security Labs for analysis. This is done to improve URL categorization and security effectiveness.

WebCatcher收集未分类和安全相关的url发送到安全实验室进行分析。这样做是为了提高URL分类和安全有效性。

启用WebCatcher，有几个选项：

•  Send URL information to Forcepoint
• •  Send uncategorized URLs to improve URL categorization
• •  Send security URLs to improve security effectiveness
• •  Save a copy of the data being sent to Security Labs

Send uncategorized URLs to improve URL categorization

发送未分类的URL以改进URL分类

当此选项启用时，该系统会收集未经分类的URL数据，并将其发送到Forcepoint的服务中心，用于进一步的分析和url分类。这选项的目的在于：

1. 提高分类准确性
   Forcepoint通过分析未分类的URL来改进其URL分类数据库。这有助于提高对新网站和内容的分类准确性，使其更有效地识别和过滤特定类型的网站。
2. 持续优化分类系统
   通过收集更多的未分类URL数据，Forcepoint可以对其分类算法进行持续优化和改进，以适应网络内容和威胁的不断变化。
3. 加强安全性和合规性
   改进URL分类可以提高网络安全性，确保员工或用户无意中访问不当内容的风险降到最低。对内容进行更精确的分类也有助于确保合规性。

Send security URLs to improve security effectiveness

发送安全url，提高安全有效性

“Send security URLs to improve security effectiveness”这个功能指的是将检测到的可能含有安全威胁的URL发送给Forcepoint的安全服务。这样做可以帮助用户和Forcepoint：

1. 分析和鉴定
   Forcepoint的安全研究人员可以对这些URL进行深入的分析和鉴定，确定它们是否确实包含恶意内容，如病毒、恶意软件、钓鱼攻击等。
2. 更新威胁情报
   通过收集和分析这些URL，Forcepoint可以更新其威胁情报数据库，使得其安全产品能够更准确地识别和阻止新的或演变中的网络威胁。
3. 提高防护效率
   发送安全URL有助于改进Forcepoint的安全算法和策略，从而提高其在网络防护中的有效性和效率。这意味着Forcepoint的安全解决方案能够更快、更准确地识别和阻止潜在的危险链接，保护用户的设备和网络不受攻击。

Save a copy of the data being sent to Security Labs

保存一份发送到安全实验室的数据副本

“Save a copy of the data being sent to Security Labs”这个选项意味着在你将数据发送给Forcepoint的安全实验室进行分析之前，系统会先创建并保存一份该数据的副本。

这个选项主要可以帮助用户：

1. 记录和审计
   保存数据副本可以帮助你记录和审计哪些数据被发送给了Forcepoint安全实验室，这对于合规性要求或者后续的问题排查可能非常有用。
2. 备份和恢复
   如果由于任何原因原始数据丢失或损坏，这份保存的副本可以作为恢复数据的来源。
3. 内部分析
   除了发送给Forcepoint安全实验室进行分析外，你可能也希望对这些数据进行内部审查或者进一步的分析。此时，这份保存的副本就可以供你的团队或者第三方安全分析使用。

Forcepoint webcatcher的三个选项可以单选，也可以多选。具体则根据自己的需求而定。

Country or region of origin

每个国家、地区的政策不一致，如果未选择正确的国家或者地区，可能会影响用户使用，例如针对Google网址，每个国家对Google的政策并不一致，分类也会影响用户的使用。所以，选择合适的国家、地区就显得非常重要。

Maximum upload file size

允许上传文件的大小

单位是KB，因为上传的url内容通常都是字母与数字的文本，即便url较多，也不会产生特别大的文件。

Daily start time

每日开始的时间，通常都是会选择晚上。默认是2300。这个选项也意味着每天只能自动上传一次。

WebCatcher是否会泄露用户信息

Forcepoint WebCatcher的设计目的是帮助提升网络安全，并未旨在泄露用户信息。然而，它需要进行一些数据收集和分析，这可能牵涉到用户的URL访问数据。

这类功能通常会收集URL数据并进行分类、分析以提升网络安全的效果，但在这个过程中并不会捕获与用户身份相关的信息（例如用户名、密码、个人身份等）。

Forcepoint和类似的网络安全服务提供商通常会采取隐私保护措施，确保收集到的数据是匿名化的，无法用于识别特定的个人。

URL不包含用户信息

根据官方帮助文档说明，发送到安全实验室的信息只包含url，不包含用户信息。例如:

<URL HREF="http://www.ack.com/uncategorized/" CATEGORY="153" IP_ADDR="200.102.53.105" NUM_HITS="1" />

案例中的IP地址反映了承载URL的机器的IPv4或IPv6地址，而不是用户的IP地址。

内网地址不被WebCatcher发送

如果IP地址为内网三大段的地址，包括IP地址为：

• 10.xxx.xxx.xxx
• 172.16.xxx.xxx
• 192.168.xxx.xxx

那么，这些包含内网url的地址不会被发送到WebCatcher。

WebCatcher功能的设计初衷是为了提高网络安全和内容分类的准确性，并不是以泄露用户信息为目的。

但用户在使用此类服务时，仍应关注数据隐私和安全，比如，我们通过Web security 服务访问阿里云，并将访问的url提交到WebCatcher，是否会被认为泄露客户或者供应商信息？因此，凡是涉及到数据处理的服务，亦请务必审慎考虑安全分析服务与隐私保护的平衡性。