2014年1月,NSS实验室有史以来第一次正式公布数据中心场景的IPS公测结果,Sourcefire以其优异的表现(高威胁阻挡率,高性能以及优异的管理界面)又一次证明了其在安全领域的领导地位。连续六年被NSS实验室评级IPS类评测“Recommended(推荐)”评级。
此次测试的Sourcefire 8290是目前为止NSS实验室所见过的最高性能的IPS产品(事实上Sourcefire刚推出了更高性能的Firepower 8390,吞吐性能达到120Gbps)。此次评测Sourcefire的渗透攻击阻挡率达到99.4 %,并100%有效防范了逃逸技术。
此次数据中心场景测试与以往的网络边界IPS测试有很大的不同。数据中心的IPS测试的重点是安全效率,处理性能,稳定性,管理可用性和TCO(保护每兆流量的花费)。
NSS实验室测试的独特之处在于,现场漏洞测试。渗透测试工具测试了超过1,700个后门。此外,数据中心常用的一些衡量指标,例如UDP最大吞吐,连接处理能力(快速建立和拆除连接的速率)以及并发连接数等。因为这些指标都会从不同方面影响数据中心IPS的实际表现,所以也被作为测试项目。
在四个厂商测试中,Sourcefire的实际性能远远超过标称的指标。
在NSS实验室测试中,因为测试更接近真实流量,设备实际通常都达不到供应商标称的吞吐率。然而,这个性能最高的数据中心IPS设备却显著超出其标称的性能要求。
实际测试中,NSS实验室发现Sourcefire的IPS设备处理能力达到136Gbps,比厂商的标称最高能力80Gbps高出了约58%。
拥有强大的性能,精准的阻挡率还不够。作为一个安全产品,为了使其最大化的能够帮助IT人员维护网络安全,拥有更好操作及容易管理的管理平台极为重要。而此次测试Sourcefire的管理平台FireSIGHT在所有测试企业中,获得了NSS实验室最高的可用性评级。
Sourcefire的TCO(每受保护Mbps花费) 仍然是行业最低。注意,报告上标注的13.55美元/受保护的Mbps, 这个值是基于80Gbps的评级 (标称值 )- 实际上Sourcefire IPS的TCO要低得多(因为实际吞吐为136Gbps)。NSS实验室所有被测设备整体平均水平TCO为30美元/受保护的Mbps。
思科与Sourcefire在数据中心领域的强强联合:
在数据中心安全领域,Sourcefire除了在安全性和性能上获得高分,与思科数据中心结合,使其在数据中心安全领域获得了无可匹敌的优势。
思科目前拥有整体数据中心交换机市场的70%以上份额,与Sourcefire的IPS结合,给企业极大的增加了IPS的整体价值,这个价值是任何其他竞争对手无法比拟的。因为相对于其他公司提供的独立的产品,思科能够将Sourcefire IPS集成进数据中心整体的解决方案,真正把IPS植入数据中心矩阵内。很快在思科新的数据中心架构ACI,将会看到Sourcefire的身影。
当前数据中心安全里,针对企业数据中心的最大安全威胁APT攻击,Sourcefire 同样拥有非常优秀的防御能力。其Advanced Malware Protection(高级恶意软件防御)功能能够回溯识别APT攻击使用的恶意软件,并经由文件跟踪功能,在其开始传播前,就发现机构中的所有恶意软件实例。
令人兴奋的是,在NSS实验最近发布的另外一个针对APT防御的测试,2014 NSS实验室BDS系统测试里,Sourcefire的高级恶意软件防护(Advanced Malware Detection)获得了NSS实验室的“推荐评级”,被给予99.0%的整体违规检测评分。
“高级恶意软件防御”功能已经与思科内容安全产品集成,为邮件安全产品ESA以以及Web安全产品WSA提供高级恶意软件防护能力。给用户提供了更多的选择性。
FireSIGHT Defense Center是所有 Sourcefire安全解决方案的中央管理控制台,它采用适合下一代解决方案的专利实时情景感知技术,可提供全面的可视性、事件关联和安全自动化,来应对不断变化的网络状况和新型攻击。通过学习了解网络中客户端与服务器的内部信息,可以知道他们是否存在安全隐患,并能够实时跟踪并回溯各类“危险警示”,使企业能够抵御非常复杂的安全威胁。
下一代入侵防御领域(NGIPS)以及与NGFW的大融合
过去10年,传统IPS主要用来检测并阻止,利用系统配置错误或漏洞的攻击,深层包检测就已经进化到高效地检测和阻止这些形式的攻击。近些APT攻击成为最大的安全隐患,因为其此类攻击通常为商业利益驱动,攻击者专业度高,而受害者带来的危害极大。 APT在攻击过程中越来越多的利用社会工程学、0Day、Botnet、APT高级规避攻击等多种技术手段。传统IPS单纯的基于已知漏洞签名的深度包检测技术已经不能有效防护新型高级攻击,NGIPS已经到了一个必要的演进阶段。
Gartner(国际权威信息技术研究咨询公司)为下一代入侵防御(NGIPS)做了定义,NGIPS除了具有标准的第一代IPS功能以外,还需要具有应用可视及控制,情景感知(Context Awareness),内容感知(Content Awareness)以及敏捷式引擎。
同时他们认为NGIPS正是为了解决在新兴业务环境下出现的新型高级网络攻击而传统IPS产品无法应对的问题。NGIPS的与传统IPS核心的区别为是否具有自适应安全能力的敏捷式安全引擎,如此NGIPS才能够实现周而复始不间断的发现辨识网络信息、学习并关联信息、自动调整行动策略的自动防御能力。通过自动化智能的高级安全技术去抵御APT的专业攻击者。
当前下一代防火墙(NGFW)和NGIPS的功能都越来越丰富,两类产品非常多的功能重叠,未来甚至可能会完全融合。但现在,两类产品还是侧重点略有不同。
NGFW更多的是在传统防火墙基础长提高了应用可见性,方便了在Internet边界场景下防火墙策略的设定。本质上,安全的防御级别还是在传统的防火墙层面。虽然不少厂家加入了IPS功能,但是鉴于厂商的专业度以及侧重点,IPS更多是一些传统的IPS功能,IPS特征库专业度不够,最多只能做到可用状态。
NGIPS侧重点在自动高级安全防御,在防御安全威胁技术上对传统IPS做了本质的提升,真正做到了自动防御。NGIPS也同时在往防火墙融合,不少NGIPS也带有防火墙功能,术业有专攻,防火墙通常也只是做到了基本的TCP状态机的状态监测,对于高级的ALG功能相对薄弱。
在思科收购Sourcefire以后,思科计划将Sourcefire的NGIPS全部功能集成到当前全球市场占有率第一的ASA防火墙产品中。预计2014年8月推出此类产品。届时,思科与Sourcefire强强联合,ASA安全平台将成为融了NGFW和NGIPS的下一代安全产品,从可视性及自动安全防御能力上都得到了本质的提升。
如希望获取Sourcefire详细NSS报告,请点击链接http://www.sourcefire.com/search/node/nss%20report