NSS实验室公布第二轮IPS系统测试结果

network

NSS实验室公布第二轮IPS系统测试结果
　　NSS实验室测试了11家厂商的13种IPS产品。这些厂商自愿呈报了自己的产品。但是，有9家厂商拒绝提供产品。
　　对用于保护面向互联网的企业网络的重要设备的最新测试显示，这些设备正在改善，但是，对于阻止黑客攻击还是远远不够完善的。

　　入侵防御系统(IPS)常常是互联网大门口的前线卫兵，用于探测旨在窃取信息或者实施诈骗的高级攻击。这类系统探测针对应用程序或者操作系统的攻击，这些攻击往往会安装键盘记录器和rootkit等恶意软件。

　　NSS实验室总裁Rick Moy称，NSS实验室测试了11家厂商的13种IPS产品。这些厂商自愿呈报了自己的产品。但是，有9家厂商拒绝提供产品。Moy称，2010年参加测试的厂商比上一年多。

　　Moy称，对自己的产品有信心的厂商希望自愿参加这个测试。在某些情况下，是否参加测试属于厂商的营销决策。

　　平均保护水平

　　NSS实验室测量了对漏洞利用的默认的平均防范水平。2009年，产品在默认配置下只能捕捉到平均45%的攻击。但是，在2010年，平均水平是62%。

　　McAfee的M-8000和思科的IPS 4260传感器证明是在默认配置下最好的，捕捉针对桌面应用的攻击的有效率分别是94.5%和91.8%。

　　当允许企业工程师“调谐”他们的产品，或者增加旨在捕捉具体攻击类型的更多规则的时候，这些产品的探测成功率平均提高了21%。

　　Moy说，许多厂商的默认设置和调整之后的情况有很大区别。

　　厂商还改善了针对所谓的反躲避技术的性能，黑客把各种攻击技术组合在一起，可以突破安全产品。在2009年，一半的厂商不能应对基本的躲避技术，还有更多的躲避技术等待发现。

　　但是，在这一次的测试中，除了两个厂商的三款产品外，其余产品都通过了NSS实验室的躲避测试。这表明厂商正在更多地关注这个问题。

　　厂商Stonesoft在2009年没有通过一些基本的躲避技术测试，但是，在其IPS 1205和IPS 3205产品中采取了补救措施。Stonesoft去年10月宣布发现一种新的反躲避技术，引起了轰动。

　　不过，IPS产品在过去7年里的平均有效率介于31%至98%的宽范围，取决于产品是否调整过。

　　拥有成本

　　NSS实验室对每一款产品在三年时间里保护1MBps数据的成本，包括产品本身的成本、每年的维护成本以及维修和调整的成本，进行了评估。

　　由于没有两款产品提供同样的安全有效性或者吞吐率，因此要进行比较是很困难的。NSS实验室采用了一个公式：总体拥有成本(包括人工)÷所阻止的威胁百分比(即NSS实验室所说的安全有效性)×设备的吞吐率。不过这部分内容是收费的，没有公开披露。

　　参测产品中有5款产品被评为“推荐产品”，意味着这些产品有超过平均水平的安全和价值。其它产品被评为“中等”，定义为达到平均安全得分，但是低于平均价值。

　　参加测试的设备有Check Point的Power-1 11065、思科的IPS 4260传感器、McAfee的M-8000、Palo Alto Network的PA-4020、Sourcefire的3D 4500、Fortinet的Fortigate 3801A、IBM的Proventia Network IPS GX6116、瞻博网络的IDP-8200和SRX 3600、Stonesoft的IPS 3205和1205、NSFocus的NIPS-1200以及Endace的Core-100。这些参加测试的厂商都没有被评为“谨慎”级。

　　不愿意让自己的产品参加测试的厂商包括DeepNines、Enterasys、惠普/Tipping Point、Nitro Security、Radware、SAIC/Cloudshield、SecureWorks、StillSecure和TopLayer。本次测试没有向厂商收费。