Рынок систем предотвращения вторжений (Intrusion Prevention System, IPS) вполне сложился и сегодня насчитывает около 20 производителей. Поэтому неслучайно тестовая лаборатория NSS Labs (Network Security System), занимающаяся тестированием продуктов информационной безопасности провела очередное независимое тестирование этих систем на эффективность, производительность и сравнительную стоимость владения.
Для бесплатных испытаний семью производителями — Cisco, IBM, Juniper, McAfee, Sourcefire, Stonesoft, TippingPoint — были предоставлены 15 IPS-систем. От тестирования отказались компании Check Point, Enterasys, Nitro Security, Radware, StillSecure, Top Layer и Trustwave. Все продукты по заявленному функционалу мало отличались друг от друга, главным «внешним» отличием были цена и функции управления.
Проверки производились с помощью широкого набора из 1159 различных видов атак, включая эксплойты для переполнения буфера в ОС (например, Windows) и различных чувствительных к этому виду атак продуктах (например, Acrobat Reader). При тестировании использовались различные методики сокрытия атак и обхода IPS, что не помешало хорошо сработать сетевой защите от IBM ISS и McAfee.
Оказалось, что по эффективности представленные IPS-системы чрезвычайно различны: показатели лучшего представителя от наиболее слабого продукта отличались более, чем в пять раз. Диапазон средневзвешенной эффективности — 17,3 — 89,5 %. Кроме того, показатели производительности, декларируемые вендором, часто завышены примерно на 50%. Очевидно, что потребитель должен внимательно изучить продукт, прежде, чем покупать и использовать его на сети.
Второй вывод исследования: использование установок «по умолчанию» может открыть дверь для 44% атак, которые вполне можно перехватить с помощью настроек.
И, наконец, третий вывод: наиболее оптимальные по своим функциям целевого назначения IPS более эффективны, чем продукты стратегических вендоров, выпускающих широкий диапазон ИБ-средств. Наилучшую защиту обеспечивают продукты лидеров рынка — IBM ISS и McAfee.