Извечный вопрос: «Какой межсетевой экран лучше?». Мы уже пытались ответить на данный вопрос в
одной из прошлых статей. Тогда в качестве достоверного источника информации мы использовали отчет аналитического агенства Gartner. И вот совсем недавно появилась еще одна точка зрения от
NSS Labs. Ключевое отличие этой лаборатории — они проводят самостоятельное и независимое техническое тестирование оборудования. Мы рассмотрим лишь
Breach Prevention Systems (BPS). Адекватно перевести на русский язык это определение довольно трудно. Если дословно — Системы предотвращения нарушений. По сути, это межсетевые экраны следующего поколения, которые блокируют попадание вредоноснов в корпоративную сеть. Под вредоносами можно понимать эксплойты, вирусы, трояны, шпионское ПО, фишинговые письма и т.д. При этом учитываются различные способы их доставки:
- скачивание файлов через web,
- эксплуатация уязвимостей браузера и офисного ПО,
- получение вредоносов через email,
- заражение с помощью внешних flash-носителей,
- и т.д.
Какие вендоры тестировались?
В тестах приняли участие 5 вендоров:
- Check Point Software Technologies 15600 Next Generation Threat Prevention & SandBlast™ (NGTX) Appliance R77.30
- Cisco FirePOWER 8350 v6.1.0.1 with Cisco AMP v5.1.12.10483
- Fortinet Advanced Threat Protection (FortiSandbox Cloud with FortiGate 600D v5.6.1, FortiMail Virtual Appliance v5.4.0 and FortiClient ATP Agent v5.6.1.1112)
- Juniper Networks SRX1500 v15.1X49-D90.7 with Sky ATP
- Palo Alto Networks PA-5220 PAN-OS 8.0.3-h4 with Traps v4.1.0.28239
Какие тесты проводились?
Все тесты можно разбить на три категории:
1.Эффективность функций защиты (Security Effectiveness) Эта категория включает следующие тесты:
- Ложные срабатывания (false positives);
- Устойчивость к эксплойтам (drive-by exploits);
- Social Exploits;
- Блокировка зловредов доставляемых через web;
- Блокировка зловредов доставляемых через email;
- Блокировка зловредов доставленных с помощью flash-носителей;
- Устойчивость к техникам обхода средств защиты.
2. Пропускная способность (Network Device Performance) Классические тесты на сетевую производительность «железок»:
- Maximum Capacity
- HTTP Capacity with No Transaction Delays
- Application Average Response Time – HTTP
- HTTP Capacity with HTTP Persistent Connections
- Real-World Traffic Mixes
3. Общая стоимость владения (Total TCO) Здесь для расчета учитывается сразу несколько факторов:
- Стоимость решения — в момент покупки;
- Стоимость подписок на 3 года — включает техническую поддержку вендора, обновление всех сервисов и так далее;
- Трудозатраты по внедрению — время настройки от «распаковки из коробки» до введения устройства в промышленную эксплуатацию;
- Трудозатраты на обслуживание — требуемое время для периодического обновления программного обеспечения или «железа»;
- Трудозатраты на администрирование — требуемое время на выполнение ежедневных рутинных задач по настройке, обновлению политик безопасности, мониторингу событий и т.д.
Более подробно с технологией тестирования можно ознакомиться в документе
Breach Prevention Systems(BPS) Test Methodology v1.1 на сайте www.nsslabs.com. Там же можно скачать более подробные отчеты.
Результаты
Итоговые результаты тестирования были представлены в декабре 2017 года в виде графика ниже: