Новости рынка NGFW 2020 и подходы к методике выбора

Новости рынка NGFW 2020 и подходы к методике выбора


NGFW - это просто или сложно?

Когда Palo Alto Networks придумала и реализовала новую методику SP3 безопасного разрешения приложений в 2007 году, то это задало новый "золотой стандарт" проектирования межсетевых экранов и написания политик безопасности по имени пользователя и приложению. Это упростило управление защитой сетей. Поставщику NGFW нужно содержать исследовательскую лабораторию, которая занимается созданием и поставкой заказчикам сигнатур приложений и атак, вредоносного ПО и TI, дополнительных сервисов анализа файлов и URL в песочнице и заниматься прочей динамической начинкой устройств, включая ML и AI, например, для обнаружения DGA DNS. Скорость устройства зависит от мастерства программистов, которые своевременно создают все новые технологии защиты, не забывая про параллельно развивающиеся ИТ технологии: контейнеризацию, микросегментацию, SD-WAN, HTTP/2 и др. Всю сложную работу взяли на себя разработчики и исследователи и автоматизировали ее. И это все это упростило жизнь заказчикам.

Через NGFW удобно сделать удаленку!

Тихое пространство рынка NGFW стало самым обсуждаемым сегментом нашей индустрии в последние месяцы, просто потому, что тут есть VPN и подключать сотрудников по VPN, да еще защищать сотрудников через удобный интерфейс - хотел каждый здравомыслящий ИТ специалист во время коронавируса.

А как выбрать NGFW?

Однако, каждый новый производитель, придя на этот рынок, принес свое видение NGFW. Если посмотреть на рекламу, то оказывается есть NGFW без правил по приложениям, или без правил по пользователям. Оказывается скорость NGFW можно измерить, выключив все функции NGFW; скорость HTTPS можно измерить без проверки сертификатов SSL и категории URL. И самое эпическое - оказывается скорость NGFW можно измерить на UDP трафике 1518 байт, куда вы там вирусы запихиваете? )

Вам говорят, что они такие же как Palo Alto, только дешевле? ;-)

В общем рынок постепенно наполняется чудесами и заказчикам становится все сложнее прорваться сквозь прессинг маркетинга, где им предлагают самые дешевые, самые быстрые и самые качественные устройства все-в-одном. Производителей UTM, которые говорят, что они NGFW уже более 10. Слышу такую фразу: "Мы такие же как Palo Alto, только дешевле". А как проверить это заявление?

Настоящие критерии выбора NGFW

Чтобы "помочь понять продукт лучше" у некоторых производителей datasheet выглядит как набор 20 различных параметров производительности одного и того же устройства в разных режимах и с разными функциями в одном документе. Если сначала все было понятно и была одна скорость (и должна быть сейчас), где измерялась производительность в режиме все включено (помечается как Threat Prevention), то теперь в datasheet черт ногу сломит. Но и даже к этому значению теперь есть вопросы - в каком режиме работы, с какими сигнатурами и на каком трафике было измерено? А какое значение будет на реальном трафике и с нужным реально режимом работы?

Посмотрим на лучшие ресурсы сегодня, где помогают разобраться в NGFW:

✓Проект Anti-Malware провел сравнение различных производителей по функционалу: https://www.anti-malware.ru/compare/USG-NGFW

✓Хороший набор вопросов к производителям устройств все-в-одном от компании TS Solutions. Их идея: "все производители что-то недоговаривают" ;-) https://habr.com/ru/company/tssolution/blog/324368/

✓Длинная научная статья про критерии подбора NGFW на WikiSec. Используется тест компании IXIA и NSS Labs. https://bit.ly/wikisec

Статья по правильным вопросам производителям на SecurityLab https://www.securitylab.ru/analytics/503903.php


Видеозапись выступлений производителей по выбору высокопроизводительного NGFW с участием тестовой лаборатории bi.zone и Anti-Malware, Check Point, Palo Alto Networks, UserGate и Код Безопасности
https://www.youtube.com/watch?v=bCrJ-l7vbTM


Видеозапись лекции по критериям выбора NGFW по моему 6 летнему опыту работы с ними
https://youtu.be/rjMumSRSowk

Подкаст Netwell "Вежливый безопасник", где мы обсудили результаты тестов NSS Labs NGFW и разбирались почему они отличаются от официальных datasheet. Там есть даже призы за конкурс по "datasheet" )
https://soundcloud.com/netwell-ltd/vezhlivyy-bezopasnik

Поскольку во всех этих статьях и вебинарах описаны  присутствующие на нашем рынке производители, то я приглашаю делиться своими впечатлениями о различных производителях в комментах и в телеграмм-канале https://t.me/ngfw_russia
NGFW VPN выбор удаленка
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

ksiva

Пусть будет утренний в честь того, что я его создал утром.