Wednesday, April 18, 2007

Why UTM Will Win

We know how many words a picture is worth. The figure at left, from Boxed In by Information Security magazine, shows why Unified Threat Management appliances are going to replace all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middleboxes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern enterprise. At some point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UTM will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gold UTM box above will also disappear. In some places even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall will disappear and all network security functions will collapse into switches and/or routers.

I'd like to show one ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r diagram from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story.

Figures like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, showing which products and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "features," are anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason UTM will replace point product middleboxes. "Hey, I read in this magazine that product X checks 7 boxes, but product Y only checks 3. Let's look at product X." These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of figures that people who are not security experts and are not interested in or capable of assessing security products like.

Just because I think this is going to happen (or is happening -- look at what your Cisco router can do) doesn't mean I like it. The more functions a box performs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood that all of those functions will be performed at a mediocre level. Mediocrity is an improvement over zero security protection for some sites, but elsewhere it will not be sufficient.

I should say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top diagram has its merits, with simplicity being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary advantage. With so many networks having multiple "moving parts," it can be tough to stay operational and understand what's working or not working. Moving all those moving parts onto a single platform may not yield all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simplicity one might expect, however!

One way to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weaknesses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se UTMs is to deploy stand-alone devices performing network forensics, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y record exactly what happens on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Using that data, one can investigate security incidents as well as measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UTM. I do not foresee network forensics collapsing into security switches/routers due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data retention requirements and reconstruction workload required for investigations.

To survive I think network security inspection/interdiction vendors eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r need to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "meta-security" space (SIM/SEM) or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 do-it-all space (UTM). If your favorite vendor is in neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r space, expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be acquired or go out of business.

8 comments:

Anonymous said...

Hi Richard,

UTM has some great advantages, but I would never want to have a single point of failure like that. Just imagine a bug in my virus scan (like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last clamav vulnerability), crashing my firewall, ids, mail scan and disrupting my whole network.

UTM's are good for small networks with a tight budget, but medium/large enteprises can't have a single point of failure like that..

*I didn't even mention defense in depth or privilege/process separation... :)

Daniel

jbmoore said...

One thing I've learned working for a Enterprise is that you can't always trust your vendors or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products. Daniel Cid makes a good point that it might work for SMBs, but not big firms. One product we bought into works fine for small networks, but chokes on huge networks. The finger pointing goes on about who's to blame, but when it comes down to it, my bosses were at fault for believing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor's claims without thorough testing and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor is at fault for not fixing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir product to work for us. Fancy graphics and charts look nice, but you really want to see test cases that reflect your environment and not an idealized test lab situation, or comparisons with similar products. I think that your assertion to use collectors for forensics is an excellent way to verify your network design, security and architecture.

Anonymous said...

good points. it's also turning into a nasty sales strategy. want vpn or anti-malware? hey, it's already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box you bought as a router or firewall. look how "inexpensive" it is versus buying a whole new piece of equipment. so you may effectively be paying a lot more for something than you should be, to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UTM sales strategy that hopes you will one day need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r licenses. conversely, if you spec out a box as single-purpose, when you agree to license cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r features you may find that it just can't handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 load and you'll need a replacement or sister device anyway.

Bunda Pakistani said...

The sad fact is that even Cisco has jumped on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UTM bandwagon with its ASA series.

Anonymous said...

@Rich:

I want to understand whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not this perspective on "UTM" is an evolution of thinking on your part or a change of heart as it relates to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following statement you've made:

"It seems as though all network security functions are going to collapse into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices which carry traffic -- switches."

...are you suggesting that switches are going to be(come) UTM devices? I've always understood your position to be quite literal in as much as ALL security will go into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch and while Cisco may not call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products "UTM," devices such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASA are trending toward it.

Interesting comments, for sure.

@Daniel:

Not every UTM architecture suffers from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues you describe. The market definition of "UTM" (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SME/SMB perimeter solutions) certainly fall into this space and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se limitations.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, do not.

/Hoff

Richard Bejtlich said...

Hoff,

I see UTM as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last step before everything ends up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switches/routers and nothing else.

Anonymous said...

Hi Richard,

Do you have a bigger size UTM chart? I'm looking for it for quite some time now.

Pls email it to riconeo at gmail dot com

Thanks! :)

Richard Bejtlich said...

riconeo,

That's all I have. I suggest asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magazine directly.