Аналитическое агентство Gartner в январе опубликовало новую редакцию своего рейтинга поставщиков систем обнаружения и предотвращения вторжений — Magic Quadrant for Intrusion Detection and Prevention Systems (IDPS) 2016.
Gartner определяет IDPS как физические и виртуальные приставки, инспектирующие определенный сетевой трафик на площадке компании или в облаке. Приставки IDPS часто устанавливаются внутри корпоративной сети для проверки трафика, который уже проверен периферийными устройствами безопасности (бранмауэрами или шлюзами). Для обнаружения подозрительного трафика в них используются различные алгоритмы (например, сигнатуры, необычные протоколы и поведение, эвристический анализ, интеграция с решениями Advanced Threat Defense (ATD) и Threat Intelligence (TI)). Применение этих алгоритмов позволяет обнаружить нежелательный/вредоносный трафик и сообщить о нем или же предпринять защитные действия.
Аналитики Gartner прогнозируют, что в нынешнем году рынок автономных приставок IDPS начнет сокращаться, однако эта технология будет переноситься на новые платформы и форм-факторы приставок, а к 2020 г. 30% новых инсталляций будут производиться в публичных или частных облаках, или для применения внутри компании.
Сейчас автономные приставки IDPS чаще всего применяются в следующих случаях:
— когда ИТ-специалисты, обслуживающие приставку, не отвечают за работу брандмауэра;
— когда требуется самая надежная система безопасности;
— как решение IDPS для корпоративной сети;
— если требуется высокая производительность IDPS и минимальные задержки;
— если проще установить IDPS, чем брандмауэр;
— для обеспечения дополнительных средств обнаружения угроз в публичном облаке.
В квадрант лидеров рынка IDPS аналитики Gartner включили Cisco, Intel Security (недавно преобразованная в независимую компанию McAfee) и Trend Micro (см. рисунок).
Cisco в 2013 г. купила компанию Sourcefire и интегрировала ее технологию Firepower в свои приставки IDPS. Сейчас сетевой гигант предлагает 22 модели IDPS. Gartner относит Cisco к лидерам рынка IDPS поскольку у нее самая большая доля рынка и в ее решениях используется продвинутый функционал Firepower, в том числе удобные и мощные функции анализа трафика. Среди других преимуществ этого вендора — сильная поддержка, каналы продаж и присутствие во всех регионах мира, а также лаборатория обнаружения новых угроз Taos. Тем не менее некоторые заказчики Cisco считают, что корпорация медленно интегрирует наработки Firepower в свои продукты: в ее решениях позже, чем у конкурентов реализована поддержка облачных сервисов Amazon Web Services (AWS) и пока отсутствует поддержка Microsoft Azure.
В выпускаемых Intel Security приставках Network Security Platform (NSP) заказчикам нравится простота развертывания и использования, высокая производительность при больших объемах трафика, удобная консоль управления. Коме того, в числе плюсов отмечается интеграция с другими решениями ИБ от McAfee, низкий коэффициент ложных срабатываний по сравнению с другими решениями, ориентированными на использование сигнатур. Однако выделение McAfee из Intel может негативно повлиять на планы развития NSP, а также качество поддержки. Помимо этого у продуктов Intel Security недостаточно эффективна, по сравнению с конкурентами, интеграция с публичными облаками AWS и Azure для внедрения сервисов IaaS.
Японская компания Trend Micro в прошлом году купила у HPE отделение Tipping Point. Приставки IDS от Tipping Point легко развертываются в режиме блокировки опасного трафика, заказчики высоко оценивают предлагаемую этим вендором поддержку приставок. Кроме того системы Trend Micro эффективно интегрируются с данными о результатах сканирования трафика от инструментов других вендоров, а консоль управления приставок эффективно отображает состояние сети. К минусам IDPS относится использование разных механизмов на уровне сети и хоста и возможность использования в политике безопасности только двух атрибутов.
