Finjan har förfinat sitt fokus på nätverkssäkerhet och koncentrerar sig nu enbart på webbinnehållssäkerhet. Det har också förbättrat sin prisstruktur, vilket gör att NG-5000S vid granskning ser ut att vara en mycket mer hållbar lösning för små och medelstora företag än vad den gjorde när vi senast tittade på den för några år sedan (här).
Finjan erbjuder tre unika funktioner, med sin patenterade aktiva innehållsinspektion i realtid som kan identifiera skadlig kod genom att undersöka den för att se vad den skulle göra om den fick köras till slut. Den är överlägsen signaturbaserade lösningar, eftersom den kan hantera noggrant utformade attacker som använder till exempel dynamisk kodobfuskering.
Därefter har du Finjans Anti.dote, som ger ett skyddande paraply under tiden mellan att en sårbarhet uppträder och en patch levereras. Så snart Finjan är medveten om hotet utfärdar den en regeluppsättning för nedladdning till enheten som kommer att blockera det under denna period.
Finjans beteendeanalys används även mot spionprogram, och den kombinerar detta med kända webbadresslistor för spionprogram. Valfri virusskanning är också tillgänglig, och du kan välja mellan Kaspersky, Sophos eller McAfee. Det finns fler alternativ, eftersom du också kan implementera webbinnehållsfiltrering, som kommer med tillstånd av antingen Websense eller IBMs Proventia.
Enheten kan distribueras i allt-i-ett-läge eller som en i en grupp som tillhandahåller belastningsbalanserad skanning och rapportering till en central server för policyupprätthållande. Enheten kan fungera som en explicit eller transparent proxy, och det extra stödet för WCCP (web cache communication protocol) innebär att Ciscos brandväggar och utvalda switchar kan vidarebefordra trafik till enheten för inspektion.
Finjans säkerhetspolicyer använder regeluppsättningar som kombinerar villkor och åtgärder, och röntgenfunktionen tillåter att policyer och utvalda regler körs passivt för att testa dem innan de går live. Vi tyckte att det nydesignade webbgränssnittet var mycket lättare att använda, eftersom policyer och tillhörande regler nu presenteras i en trädstruktur som gör dem lättare att konfigurera.
Den aktiva innehållsinspektionen i realtid fungerar som en sista försvarslinje, och för att testa detta krävdes ett antal regler i vår policy som skulle stängas av. Vi besökte en känd webbplats som försöker släppa en mycket otäck trojan på ditt system och upptäckte att vi var tvungna att stänga av reglerna för Websense, antivirus, antispionprogram, saknade digitala signaturer och misstänkta filnedladdningar innan vi ens kunde komma till koden analysstadiet.
Efter att ha blockerat den körbara filen visade loggfilen att den försökte avsluta andra processer, hantera minne och anropa DLL-filer. Webbplatsen i fråga använde också dynamisk kodobfuskation, och efterföljande försök att besöka webbplatsen från andra system fick också samma hårda respons.
Websense imponerade också under testningen, eftersom vi blockerade kategorin Gambling och googlade efter bingosajter online. Vi gav upp efter att ha besökt de första 50 träffarna, eftersom vi konsekvent blockerades från dem alla vid varje försök att få en webbvarningssida. Ett värdefullt nytt alternativ är möjligheten att skanna HTTPS-trafik, där enheten avslutar den krypterade strömmen och inspekterar innehållet innan det skickas vidare.
NG-5000S har helt klart förmågan att hantera dagens allt mer sofistikerade webbattacker. Dess aktiva innehållsinspektion i realtid gör den ganska unik, och detta kan utökas med tuffa antivirusåtgärder och webbinnehållsfiltrering.
