Check Point и Palo Alto Networks — конкурентное сравнение

Конкурентное сравнение Check Point и Palo Alto Networks

Главное

  • Ваше решение по безопасности должно быть действительно безопасным
  • Ваше решение по безопасности должно иметь чрезвычайно простое, интуитивно понятное и масштабируемое управление
  • Ваше решение по безопасности должно хорошо работать даже тогда, когда включено большое количество функций защиты (NGFW)
! PAN не дотягивает по всем трем пунктам.

Наши отличия

Факты о PAN

Безопасность: архитектура безопасности PAN является в корне ошибочной
  • PAN оставляет сеть уязвимой, по умолчанию открывая все порты (смотри видео http://goo.gl/lIhBX)
  • PAN проверяет трафик только в одном направлении — к центрам обработки данных (DSRI) (читай тест Network World http://goo.gl/9vgcN)
  • PAN уязвим для полного обхода при атаке, эксплуатирующей так называемое «отравление кэша» (Cache Pollution Attack) (смотри видео http://goo.gl/9Ruf6)
  • PAN имеет ограниченное обнаружение рисков, основанное на 9 типах данных против 635 у Check Point (смотри видео http://goo.gl/A0TPl)
  • Типовой профиль доступа к приложениям: PAN имеет ограниченную функциональность с набором примерно в 1600 приложений против 5000 приложений в Check Point (смотри видео http://goo.gl/BExPC)
  • PAN уязвим при многовекторных атаках, так как архитектуры проверки за один проход в данном случае недостаточно
Управление: веб-управление PAN имеет слабую масштабируемость, которая недостаточна для крупных и средних предприятий
  • PAN необходим дополнительный администратор по безопасности к общему штату по сравнению с Check Point: из-за громоздкого интерфейса управления (согласно данным сторонних аналитиков)
  • Управление PAN очень громоздко при конфигурировании VPN (смотри видео http://goo.gl/7XE8d)
  • PAN не хватает решения по анализу событий — без агрегации и корреляции событий безопасности отсутствует обозримость и увеличивается время на управление
  • Для устранения неполадок администратор PAN вынужден посматривать четыре разных журнала событий
  • В централизованном управлении PAN Panorama не хватает основных мультидоменных задач, таких как глобальный IPS, глобальные сервисы, глобальный VPN
Производительность: производительность PAN NGFW резко падает при работе в реальных условиях
  • До 40% снижается производительность PAN NGFW при включении NAT и журналирования (смотри видео http://goo.gl/6ZnSX)
  • Ухудшается на 61% производительность PAN при сканировании трафика в обоих направлениях (в соответствии с тестом Network World http://goo.gl/9vgcN)
  • Самое быстрое устройство PAN предоставляет только 40 Гбит/с пропускной способности межсетевого экрана (Check Point — готов к скоростям 200 Гбит/с)
  • PAN имеет очень высокую стоимость внедрения (почти в два раза больше, чем Check Point согласно данным сторонних аналитиков)

Возражения PAN

PAN говорит: «Концепция Check Point лицензирования по блейдам сбивает с толку, является дорогостоящей и сложной»
Реальность Check Point — архитектура «Программные блейды» обеспечивает гибкость расширения ассортимента услуг при возникновении новых угроз

  • Архитектура «Программные блейды» Check Point позволяет организациям адаптировать свои решения в области безопасности для удовлетворения своих конкретных потребностей бизнеса
  • Метод лицензирования позволяет клиентам выбрать конкретные функции, в которых они нуждаются, с возможностью управления при помощи единой консоли
  • Архитектура «Программные блейды» предоставляет пользователям гибкость в расширении услуг при возникновении новых угроз, экономя время и снижая затраты за счет использования существующей инфраструктуры безопасности, а также подготовленных наборов блейдов NGFW, Secure Web Gateway, Threat Prevention
PAN говорит: «Блейды Check Point не однопроходны, они неэффективны, создают задержки и сложны в управлении»
Реальность Check Point — функционал предотвращения всех угроз осуществляется параллельно!!

  • Решения Check Point находятся в уникальном положении для удовлетворения потребностей безопасности в развивающейся защищенной среде
  • Архитектура Check Point на основе блейдов позволяет нашим клиентам активировать функции по мере необходимости, используя существующую аппаратную инфраструктуру, не нарушая существующую функциональность
  • Архитектура «Программные блейды» Check Point признана аналитиками и экспертами как лучший способ, позволяющий защитить организации от быстро развивающихся угроз
  • Инфраструктура управления Check Point признана ключевым активом
PAN говорит: «Межсетевой экран, работающий на уровне портов по технологии stateful inspection, с дополнительными модулями в стиле UTM-устройства не может обеспечить безопасную работу приложений»
Реальность Check Point — многоуровневая безопасность показала себя как лучший подход к обеспечению защиты

  • Программный блейд Check Point Application Control активирует политики безопасности приложений для идентификации, пропуска, блокировки и ограничения использования тысяч приложений, включая Web 2.0 и социальные сети, независимо от порта, протокола или хитрых способов, используемых для обхода защиты
  • Эффективный межсетевой экран имеет в своей основе технологию проверки с учетом состояния соединений (stateful inspection), которая необходима для адекватной защиты охраняемых ресурсов. Кроме того, любая компания, не использующая метод stateful inspection обрекает себя на провал аудита PCI, для прохождения которого stateful inspection требуется. Несмотря на претензии о том, что stateful inspection устарела, PAN все же нуждается в базовой проверке с учетом состояния трафика для адекватной защиты охраняемых ресурсов
Разработка топологии сети и обеспечение безопасности (системный администратор…) Руководство (технический директор, директор по ИТ, директор по безопасности ИТ) Финансы (финансовый директор, отдел снабжения)
Задаваемые вопросы При тестировании NGFW вы проверяли его с использованием NAT, журналированием, базой правил для реальной среды и смеси соответствующего трафика? Знаете ли вы, какие угрозы скрываются в вашей сети? Знаете ли вы, что из 900 опрошенных компаний: 63% были инфицированы ботами и 54% сталкивались с потерей данных? Рассматриваете ли вы единственное, полное решение в области безопасности от самого надежного поставщика безопасности, если бы могли значительно упростить свои расходы на ИТ администрирование?
Если сегодня вы хотите создать политику для приложений и веб, как вы узнаете, какие правила нужны? (подводим к унификации политики приложений и веб — есть только в Check Point) Web 2.0 является основным источником для ваших приложений. Каким образом сегодня защищено ваше решение и есть ли у него связь с общим управлением безопасностью. Как вы планируете разбираться с вопросами, связанными с управлением, рисками и соответствием (GRC) в связи с возрастающими векторами угроз из Web 2.0 и из-за его пределов?
Как вы планируете разбираться с вопросами, связанными с управлением, рисками и соответствием (GRC) в связи с возрастающими векторами угроз из Web 2.0 и из-за его пределов? Рассматриваете ли вы единственное, полное решение в области безопасности от самого надежного поставщика безопасности, с учетом того, что вы могли бы значительно упростить свои задачи ИТ администрирования? Рассматриваете ли вы по-настоящему единое управление безопасностью, если ваша совокупная стоимость владения может быть значительно уменьшена?
Обсуждение возражений Администратор безопасности: «PAN имеет более легкий инструмент веб- управления».
Ответ: Check Point является лидером на рынке систем безопасности. Одной из наиболее сильных отличительных черт Check Point всегда являлось управление, инструменты журналирования и отчетности, особенно при сравнении с PAN. Check Point превосходит безоговорочно, охватывает все аспекты безопасности. Вот пример, соединение VPN у Check Point производится одним щелчком, а у PAN очень долгое и трудоемкое. Посмотрите, что говорят об этом журнал SC и лаборатории NSS.
Директор по компьютерной безопасности: «Check Point является компанией, которая предлагает только FW. PAN утверждает, что они являются компанией, которая предлагает NGFW. И у вас старые технологии».
Ответ: Это не является мнением аналитиков в области безопасности: Gartner опубликовала компоненты NGFW в своем магическом квадранте и позиционирует нас в верхней части лидирующего квадранта. Кроме того, в соответствии с NSS в каждом компоненте NGFW мы располагались вверху (FW, IPS, контроль приложений). NSS утверждает, что у нас лучший NGFW. Добавить к тому 20 лет инноваций в области безопасности по сравнению с 5-6 годами, имеющимися у PAN.
Акцент делается на Check Point как поставщика, который объединяет безопасность в одной центральной консоли.
Продемонстрируйте, запустив анализ 3D-отчета.
Финансовый директор: «Check Point является слишком дорогим по сравнению с PAN».
Ответ: Если вы рассмотрите сопоставимую 3-летнюю совокупную стоимость владения вы обнаружите, что Check Point на самом деле дешевле PAN и явно гораздо более безопасный.
Используйте инструмент по оценке совокупной стоимости владения, инициируйте дискуссию о централизованном управлении и возможность объединить средства безопасности при помощи одного поставщика.
Наконец, подчеркните акцент на GRC, так как во многих организациях финансовый директор отвечает за нормативные документы и соответствия.