Результаты тестирования Breach Prevention Systems (BPS) от NSS Labs (декабрь 2017)

Извечный вопрос: «Какой межсетевой экран лучше?». Мы уже пытались ответить на данный вопрос в одной из прошлых статей. Тогда в качестве достоверного источника информации мы использовали отчет аналитического агенства Gartner. И вот совсем недавно появилась еще одна точка зрения от NSS Labs. Ключевое отличие этой лаборатории — они проводят самостоятельное и независимое техническое тестирование оборудования. Мы рассмотрим лишь Breach Prevention Systems (BPS). Адекватно перевести на русский язык это определение довольно трудно. Если дословно — Системы предотвращения нарушений. По сути, это межсетевые экраны следующего поколения, которые блокируют попадание вредоноснов в корпоративную сеть. Под вредоносами можно понимать эксплойты, вирусы, трояны, шпионское ПО, фишинговые письма и т.д. При этом учитываются различные способы их доставки:

• скачивание файлов через web,
• эксплуатация уязвимостей браузера и офисного ПО,
• получение вредоносов через email,
• заражение с помощью внешних flash-носителей,
• и т.д.

Какие вендоры тестировались?

В тестах приняли участие 5 вендоров:

1. Check Point Software Technologies 15600 Next Generation Threat Prevention & SandBlast™ (NGTX) Appliance R77.30
2. Cisco FirePOWER 8350 v6.1.0.1 with Cisco AMP v5.1.12.10483
3. Fortinet Advanced Threat Protection (FortiSandbox Cloud with FortiGate 600D v5.6.1, FortiMail Virtual Appliance v5.4.0 and FortiClient ATP Agent v5.6.1.1112)
4. Juniper Networks SRX1500 v15.1X49-D90.7 with Sky ATP
5. Palo Alto Networks PA-5220 PAN-OS 8.0.3-h4 with Traps v4.1.0.28239

Какие тесты проводились?

Все тесты можно разбить на три категории:

1.Эффективность функций защиты (Security Effectiveness) Эта категория включает следующие тесты:

• Ложные срабатывания (false positives);
• Устойчивость к эксплойтам (drive-by exploits);
• Social Exploits;
• Блокировка зловредов доставляемых через web;
• Блокировка зловредов доставляемых через email;
• Блокировка зловредов доставленных с помощью flash-носителей;
• Устойчивость к техникам обхода средств защиты.

2. Пропускная способность (Network Device Performance) Классические тесты на сетевую производительность «железок»:

• Maximum Capacity
• HTTP Capacity with No Transaction Delays
• Application Average Response Time – HTTP
• HTTP Capacity with HTTP Persistent Connections
• Real-World Traffic Mixes

3. Общая стоимость владения (Total TCO) Здесь для расчета учитывается сразу несколько факторов:

• Стоимость решения — в момент покупки;
• Стоимость подписок на 3 года — включает техническую поддержку вендора, обновление всех сервисов и так далее;
• Трудозатраты по внедрению — время настройки от «распаковки из коробки» до введения устройства в промышленную эксплуатацию;
• Трудозатраты на обслуживание — требуемое время для периодического обновления программного обеспечения или «железа»;
• Трудозатраты на администрирование — требуемое время на выполнение ежедневных рутинных задач по настройке, обновлению политик безопасности, мониторингу событий и т.д.

Более подробно с технологией тестирования можно ознакомиться в документе Breach Prevention Systems(BPS) Test Methodology v1.1 на сайте www.nsslabs.com. Там же можно скачать более подробные отчеты.

Результаты

Итоговые результаты тестирования были представлены в декабре 2017 года в виде графика ниже:

По оси Y располагается шкала эффективности функций защиты (Security Effectiveness). Как можно заметить, наилучший результат показал Check Point, следом идет Palo Alto. Немного хуже показали результаты Cisco FirePower и Fortinet. Наихудший результат у Juniper.

По оси X располагается шкала стоимости владения на 1Мбит защищаемого трафика. Здесь опять лидирует Check Point с наименьшей стоимостью. Худший результат (самая большая стоимость) опять же у Juniper.

Вывод

По мнению NSS Labs, учитывая все тесты и результаты, бесспорным лидером является Check Point.