FreeBuf Insight:网络安全创新企业Top 10解读之FireEye

简介:

在FreeBuf Insight上一篇《网络安全创新企业Top 10》系列文章中,我们谈到了Sophos。虽然在安全领域Sophos已经算是个老牌子,而且声名卓著,但在国内的名字并不算响亮。这次FreeBuf Insight要尝试解读的,是近些年来在安全领域红透半边天的FireEye——火眼公司。

中间两人是FireEye创始人Ashar Aziz与前任CEO David DeWalt

在此之前,我们还是不得不提到美国网络安全市场调研公司Cybersecurity Ventures这一季的“网络安全500强”榜单。FireEye曾经连续称霸此榜单好几个季度,但在今年一季度的榜单中,FireEye不仅没能保住第一,还滑落至第九名——在这篇文章中,我们尝试谈一谈其中的原因…

FireEye究竟做些什么?

一聊到FireEye,就必然要提APT攻击(高级持续性威胁)和0day漏洞利用。在常规安全防护中,这两类破坏是很难防御的。原因很简单,0day漏洞就是产品原开发商尚未修复(甚至还不知道)的漏洞,攻击者在拿到这类漏洞之后,搞破坏自然得心应手,因为短期内连解决方案都没有;而APT攻击追求相当的隐蔽性、针对性和长期性,以盗取数据为目标,甚至不会对系统产生破坏——绝大部分遭遇APT攻击的企业在相当长期的时间内,根本就不知道自己遭遇了APT攻击。

比如说攻击者向目标发起一封极具针对性的钓鱼邮件,企业打开了这封邮件中带恶意代码的附件,则攻击者的攻击行为开始逐步渗透。一般安全厂商反病毒或者反恶意邮件的方案是:通过特征码比对来判断附件是否存在问题。这类方案对于0day漏洞利用和极为复杂的APT攻击,通常是没什么效果的。

FireEye的核心就在于传说中的MVX技术(Multi-Vector Virtual Execution)——这是一种“无特征码”的技术。说简单些,采用MVX技术的产品会将上例中的邮件附件,放到虚拟的“沙盒”中,然后观察附件在这个虚拟环境中的行为。听起来其实就是虚拟技术在安全领域的应用,不过FireEye将这项技术做得更为精专。

比如说,FireEye的产品能够在虚拟机上复制客户的网络环境,据说连网络中每台设备运行的软件版本号都是一样的,恶意软件发起攻击时,虚拟机可加快时钟走时,在几微秒的时间内了解其连续数月的攻击行为;VX引擎还可同时模拟多个系统环境(比如Windows、Office等),来同步判断是否存在威胁。所以其产品效率是相当高的。

Gartner曾经对“Network Sandboxing”发布过一份指导文件,这份文件看起来差不多就是为FireEye量身打造的。其中提到的几个点几乎都是FireEye的长项,包括自动化检测、本地/云都支持的检测方式、沙盒系统/软件丰富程度尤甚(比如支持苹果的操作系统)、恶意程序很难识破其沙盒属性(市场上的许多同类沙盒产品很容易被恶意程序绕过)、融合取证工具(FireEye的强项之一,可作为美国司法程序中的取证之用)。

FireEye的产品线非常清楚,包括NX、EX、FX、CM、HX、MX、AX等不同系列,针对网络、电子邮件、端点、内容(Content)、移动、分析、取证等多个方面进行威胁防护。其中的绝大部分产品中都共享了上面提到的MVX引擎,比如说NX针对企业全网,通常放置在防火墙之后的位置;EX则针对电子邮件提供防护等。

说了这么多,不难理解MVX技术实际上就是FireEye得以抵御0day和APT攻击的杀手锏,也是其在安全行业内得以在这么短的时间内,玩得如此风生水起的根本原因。前两年,FireEye的APT检测与防御产品,的确就是其收益主要来源,也是这家公司收获这么多名声的摇钱树。

FireEye何以火热?

FireEye公司于2004年在美国加州Milpitas成立,不过它真正进入大众视野大约是在2012年前后。其中的原因也并不复杂:FireEye兴起的时间点,恰好是APT攻击突然变猖獗的这两年,这其实也很大程度表明FireEye的APT解决方案是相当有效的。还有一些有名的攻击分析(其中当然少不了以“中国黑客”为卖点的报告)和投资事件,成为FireEye得以被大众熟知的原因。

数据来自APTnotes,其样本量相对较小

比如说2014年年末索尼影视娱乐遭遇黑客攻击事件,FireEye摆平。我们从明面上的消息来看,索尼当时准备公映电影《刺杀金正恩》,遭遇朝鲜黑客攻击,企业内部的大量敏感信息和数据随之泄露。不管这次索尼被黑原因的说法有多少,总之索尼最后找了FireEye解决问题(实际上是FireEye收购没多久的Mandiant)。

去年4月29日,FireEye的MVX引擎和DTI云平台(动态威胁情报——是FireEye系列产品间共享威胁情报的中心)获得美国国土安全部SAFETY Act法案认证。FireEye因此成为第一家得到国土安全部认证授予的安全企业。这个认证可不是随便颁个证书,使用相关MVX和DTI产品的企业客户,可免于一些诉讼:他们的用户不能以公司技术无法抵御网络恐怖袭击为由进行起诉。这话说得还真是绕啊,其实说白了,就是如果企业用了FireEye的技术,就拥有了一定的免责权——这算得上是政府的加冕!

2009年,一家名叫In-Q-Tel投资公司对FireEye发起投资。其实FireEye背后的金主可不少,但In-Q-Tel的来头实在不小。这家公司专为美国中央情报局提供风险投资服务,寻找那些有助于维护美国国土安全利益的科技公司,进行选择性投资,支持美国政府发展情报获取能力。传说中情局每年为In-Q-Tel固定注资,而后者为前者交付情报方面的解决方案。虽然FireEye当时还欢天喜地地对此宣传了一把,但并未透露双方的合作细节,可要获得In-Q-Tel的青睐并不容易,从中也可瞥见FireEye有着怎样的技术实力。

Gartner分析师2014年对FireEye曾做出这样的评价:“FireEye Inc. is at the top of the list.”很多人可能会在国内某些媒体的文章中看到,在Gartner传说的魔力象限中,FireEye位于顶端——这个说法就来自我们援引的这句话。不过这实际是个谣传。FireEye从未进入过Gartner的魔力象限,原因并不是Gartner看不上FireEye,而是Gartner还没有针对FireEye所从事安全领域的魔力象限。

但“at the top of the list”的确是Gartner说的,也是相当高的赞誉。这里的“list”是指Gartner的自适应安全架构(The Adaptive Security Architecture)——这个架构也是相当有名的,许多安全企业以此为圣经,即预防、检测、响应、预测结构。Gartner认为,FireEye在这个结构中处于顶级位置。当然这一点实际是在FireEye收购Mandiant之后达成的,另外其产品也加入融合传统IPS的能力。

FireEye目前在全球近70个国家已经拥有约4700名企业客户,其中超过650家企业位列财富2000强(Forbes Global 2000);或者说去年,50%的财富500强企业都在用FireEye的产品。可见FireEye作为安全行业的香饽饽究竟有多吃香——还是那句话,FireEye能够很大程度解决0day和APT攻击两大难题,是其如此吃香的重要原因。而且这家公司的炫技能力出众,每隔一段时间就曝光一些0day漏洞,这可是许多安全企业想玩都玩不来的。

FireEye有个大窟窿!

这么看来,FireEye的发展不仅堪称神速,而且根本没有要把那些资历较老的安全公司放在眼里的意思。其市场价值也基本说明了这一点:Cowboy Ventures先前提出了一个“独角兽俱乐部(Unicorn Club)”。这个“俱乐部”的成员是近10年内创办、私募或公开市场估值超10亿的美国软件企业,财富杂志也在长期援引这份名单。下面这张图是2013年的数据,当时能够进入独角兽俱乐部的公司,只占到风投融资消费类和企业软件新创公司总数的0.07%,只有39家。一般平均每年仅出现4个“独角兽”。

仔细看看,FireEye在哪里:它当时的估值可是超越Yelp、Dropbox、Instagram这些在消费用户市场中的大热门,而且还比Palo Alto这样的竞争对手牛掰一截,算是给安全行业赚足了脸面。

同年9月份,FireEye正式上市,交易首日股价就大涨80%。随后这家公司的股价又一路狂飙,2014年时从20美元涨到近100美元,市值一度超过130亿美元。可是如果近期你有关注过纳斯达克股市,应该就知道FireEye现如今的股价徘徊在17美元左右——这市值蒸发速度真可谓相当惊人,不是说好独角兽、香饽饽、中情局和财富500强企业的宠儿吗!问题出在哪儿?

我们追踪FireEye公布的财报才发现一个非常让人讶异的事实:FireEye每年都在亏损,而且亏损量连年递增。尤其2012-2014财年,其亏损量持续以4倍速增长。2014财年,其亏损金额甚至比全年收益还要高。据说自2004年FireEye组建以来,这家公司基本一直是在亏损的。即便是2016财年第一财季,其亏损量仍然在同比扩大。

这让人非常好奇,是否有什么事情绊住了FireEye的脚步。比如说花大笔资金进行收购,或者IPO募股上市都可能对最终的利润造成影响。问题是,这些年单纯从量来看,FireEye的亏损是持续加速的。我们稍稍研究了FireEye新财年第一季度的财报,发现这家公司的确是难以抑制运营支出,从研发费用、销售与市场投入,还有管理费用各方面来看都是烧钱神速。

不仅如此,公司的运营现金流也不够稳定,2016财年第一财季其运营现金流为-2250万美元——这个数字和最近FireEye刚刚收购iSight和Invotas是有关系的,但实际上去年同期的现金流也是负值。这表明,FireEye已经开始依赖二次股票发行和可转换债券来筹钱了。

这家公司的收益虽然仍在持续增长,但已经出现放缓的迹象。许多市场分析公司已经开始质疑FireEye的业务可行性,伴随收益增长的自然放缓,加上企业各项费用居高不下,FireEye处于动荡期,要实现止损将面临更多的困难。

2014年NSS Labs的BDS安全价值图,和Gartner魔力象限有些相似,具体到产品

从现实意义来谈,FireEye其实也面临很多问题。比如说MVX技术出现了这么久,本身正面临越来越多的挑战,不仅是恶意程序变得更强悍,还有谷歌Project Zero这类安全小组喜欢揭露FireEye产品的漏洞(传说中的666)。

另外竞争对手也开始搞沙箱技术,非常典型的例子如Norman Shark,这家公司也专注于APT防御,已经于2014年被Blue Coat收购,而Blue Coat上个月则由赛门铁克宣布收购;思科也在积极进行收购工作,不管是Soucefire,还是ThreatGRID,似乎都已经在业绩中产生了比较积极的影响。这些对FireEye而言都是莫大的威胁。虽然像Norman Shark这种企业现在还完全不是FireEye的对手,但以母公司安全巨擘的手笔和市场布局策略,未来谁也说不定。

FireEye面临一波转型

上面谈到FireEye企业内部面临动荡,其实从企业高层的情况来看也的确如此。去年7月份,大概是因为公司烧钱速度太快,公司CFO Michael Sheridan卸任。上个月公司CEO Dave DeWalt也宣布辞职,新上任的CEO是Kevin Mandia。这个人实际上是FireEye在2014年收购的Mandiant公司的创始人。

FireEye现任CEO Kevin Mandia

其实在FireEye短短十几年历史上的这3名CEO,最近刚上任的Mandia是最有故事可讲的。他以前曾是美国五角大楼第七通信部计算机安全官员,后来又以特工身份加入美国空军特别调查办公室,企业领域他还曾效力于洛克希德马丁(!!)和McAfee。他和Dave DeWalt之间也有关系,当然这不是我们要谈的重点,有兴趣的可自行搜索。

他所创立的Mandiant公司在2014年的时候曾经发布过一份全球知名长达60页的报告,相关某61398部队的,这里我们不便多谈。不过由此可见Mandiant的特长亦在APT领域,他们拥有先进端点安全产品和安全应急响应管理解决方案,其亮点亦在于对威胁情报的掌握和预知。

FireEye当时宣布以10亿美元收购Mandiant,这个价格对FireEye这种亏损为常态的企业而言绝对是天价。不过这次收购当属对FireEye原有杀手锏的加成和补足,加成是对威胁情报的加成,补足部分主要表现在安全应急响应/事件处理和咨询服务,这一直是Mandiant的特长。

今年年初FireEye以2亿美元收购iSight差不多也是对现有能力进行强化,iSight的强项同样在威胁情报方面,比如黑客团伙情报、他们的攻击工具贩售与交易地点、用什么样的基础设施、被盗数据传送目标地址等。我们先前的分析文章也曾经尝试从威胁情报的角度谈过FireEye的转变。

2月份,FireEye又收购一家名为Invotas的企业——用FireEye自己的话来说,这家公司是安全整合与自动化提供商(orchestration and automation provider)。有了Invotas,“FireEye将提供全球最出色的安全整合能力,这将成为FireEye全球威胁管理平台的一部分。这有助于FireEye将安全产品、威胁情报和事件响应元素统一到一个平台中,让企业通过自动化,更迅速地对攻击做出响应。”

我们从FireEye今年2月份发布的新闻稿可见,这3次收购动作的意义在于,“MVX技术,加上Mandiant咨询服务的整合,以及iSIGHT威胁情报网络”,搭配“Invotas的安全整合能力”,“为企业应对高级网络攻击,满足了关键需求”。说到底,这几次收购都是对原有技能的强化,大约也是为了拉大和其他APT防御安全企业的差距。

虽然这三次收购对FireEye的原有业务,和产品的全面布局都有积极意义,但很难看出这其中有多大的转型,或者说对企业扭亏为盈能做出多大贡献。不过我们仍然可从财报入手,来预见FireEye的未来。

从FireEye自己划分的业务组成来看,这两年各业务的收益占比正在发生变化。其中纯粹的产品收益(Product Revenue)所占比例正在稳步下滑,这里所谓的产品收益其实也就是FireEye具体的硬件设备;而产品订阅(Product Subscriptions)则正在大比例上升。

所谓的产品订阅,包括FireEye-as-a-Service、威胁情报、云电子邮件(ETP)。其中的FireEye-as-a-Service很早之前就已经是FireEye的重头戏了,这是个按需支付安全服务,技术人员会7 x 24小时监控你的FireEye系统,发现威胁就直接为你做响应。这实际上也就是当前SaaS模式的一种体现,印证了当前安全企业的发展思路:用服务来赚钱。至于威胁情报,看来iSIGHT和Mandiant的钱的确没有白花。

于此,从产品到服务就是这波转型的本质,虽然说得很大流,但再度反观FireEye对三家企业的收购,实际上也是在积极地促成这种变化,并且这种变化已经变得越来越彻底——毕竟FireEye的客户单从数量来看并不会非常多,卖服务才是持续赚钱的方案。

虽然Q1收购了Invotas和iSIGHT,但运营支出占收益的比例仍同比收窄(不过这个数据为non-GAAP)

至于FireEye将来究竟能不能赚钱,能否扭转市场分析机构对其所持的怀疑态度,至少从目前FireEye的亏损率来看是在逐步收窄的——似乎FireEye当前的高层也是在努力控制运营支出,只不过短期内还无法扭转亏损局面。

如今针对FireEye的唱衰之声已此起彼伏,高层震荡、收购行为是否有效和盈利能力遭质疑、对手虎视眈眈就是FireEye面临的现状。FireEye虽然是含着金汤匙出生的,现在也不得不努力一把了。





====================================分割线================================


本文转自d1net(转载)

目录
相关文章
|
1月前
|
安全 虚拟化
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力。通过具体案例,展示了方案的制定和实施过程,强调了目标明确、技术先进、计划周密、风险可控和预算合理的重要性。
41 5
|
2月前
|
机器学习/深度学习 人工智能 运维
企业内训|LLM大模型在服务器和IT网络运维中的应用-某日企IT运维部门
本课程是为某在华日资企业集团的IT运维部门专门定制开发的企业培训课程,本课程旨在深入探讨大型语言模型(LLM)在服务器及IT网络运维中的应用,结合当前技术趋势与行业需求,帮助学员掌握LLM如何为运维工作赋能。通过系统的理论讲解与实践操作,学员将了解LLM的基本知识、模型架构及其在实际运维场景中的应用,如日志分析、故障诊断、网络安全与性能优化等。
86 2
|
3月前
|
存储 SQL 安全
网络安全与信息安全:守护数字世界的坚盾在这个高度数字化的时代,网络安全和信息安全已经成为个人、企业乃至国家安全的重要组成部分。本文将深入探讨网络安全漏洞、加密技术以及安全意识的重要性,旨在为读者提供一个全面的网络安全知识框架。
随着互联网技术的飞速发展,网络安全问题日益凸显。从个人信息泄露到企业数据被盗,再到国家安全受到威胁,网络安全事件层出不穷。本文将从网络安全漏洞的定义与分类入手,探讨常见的网络攻击手段;随后深入解析加密技术的原理及其在保护信息安全中的作用;最后强调提升公众与企业的安全意识的重要性,并提出具体的建议。通过综合运用这些知识点,我们可以更好地构建起一道道坚固的防线,守护我们的数字世界。
|
23天前
|
弹性计算 监控 数据库
制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程
本文通过一个制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程,展示了企业级应用上云的实践方法与显著优势,包括弹性计算资源、高可靠性、数据安全及降低维护成本等,为企业数字化转型提供参考。
44 5
|
2月前
|
运维 供应链 安全
SD-WAN分布式组网:构建高效、灵活的企业网络架构
本文介绍了SD-WAN(软件定义广域网)在企业分布式组网中的应用,强调其智能化流量管理、简化的网络部署、弹性扩展能力和增强的安全性等核心优势,以及在跨国企业、多云环境、零售连锁和制造业中的典型应用场景。通过合理设计网络架构、选择合适的网络连接类型、优化应用流量优先级和定期评估网络性能等最佳实践,SD-WAN助力企业实现高效、稳定的业务连接,加速数字化转型。
SD-WAN分布式组网:构建高效、灵活的企业网络架构
|
1月前
|
机器学习/深度学习 监控 数据可视化
企业上网监控:Kibana 在网络监控数据可视化
在网络监控中,Kibana 作为一款强大的数据可视化工具,与 Elasticsearch 配合使用,可处理大量日志数据,提供丰富的可视化组件,帮助企业高效管理网络活动,保障信息安全。通过索引模式和数据映射,Kibana 能够组织和分类原始数据,支持深入分析和异常检测,助力企业识别潜在安全威胁。
52 5
|
1月前
|
监控 安全 网络安全
企业网络安全:构建高效的信息安全管理体系
企业网络安全:构建高效的信息安全管理体系
71 5
|
2月前
|
安全 物联网 网络安全
中小企业提高网络安全的五种方式
【10月更文挑战第18天】中小企业提高网络安全的五种方式:1. 小企业并非免疫;2. 定期更新软件和硬件;3. 持续教育员工;4. 启用并维护安全功能;5. 制定全面的网络安全策略。天下数据IDC提供专业的服务器解决方案及数据中心安全服务,保障企业信息安全。
42 1
|
2月前
|
人工智能 关系型数据库 数据中心
2024 OCP全球峰会:阿里云为代表的中国企业,引领全球AI网络合作和技术创新
今年的OCP(Open Compute Project)峰会于2024年10月14日至17日在美国加州圣何塞举行,在这场全球瞩目的盛会上,以阿里云为代表的中国企业,展示了他们在AI网络架构、液冷技术、SRv6和广域网等前沿领域的强大创新能力,持续引领全球合作与技术创新。
|
2月前
|
存储 监控 安全
企业如何应对网络攻击的威胁
企业如何应对网络攻击的威胁【10月更文挑战第10天】
40 3