FreeBuf Insight:网络安全创新企业Top 10解读之FireEye

在FreeBuf Insight上一篇《网络安全创新企业Top 10》系列文章中,我们谈到了Sophos。虽然在安全领域Sophos已经算是个老牌子,而且声名卓著,但在国内的名字并不算响亮。这次FreeBuf Insight要尝试解读的,是近些年来在安全领域红透半边天的FireEye——火眼公司。

中间两人是FireEye创始人Ashar Aziz与前任CEO David DeWalt

在此之前,我们还是不得不提到美国网络安全市场调研公司Cybersecurity Ventures这一季的“网络安全500强”榜单。FireEye曾经连续称霸此榜单好几个季度,但在今年一季度的榜单中,FireEye不仅没能保住第一,还滑落至第九名——在这篇文章中,我们尝试谈一谈其中的原因…

FireEye究竟做些什么?

一聊到FireEye,就必然要提APT攻击(高级持续性威胁)和0day漏洞利用。在常规安全防护中,这两类破坏是很难防御的。原因很简单,0day漏洞就是产品原开发商尚未修复(甚至还不知道)的漏洞,攻击者在拿到这类漏洞之后,搞破坏自然得心应手,因为短期内连解决方案都没有;而APT攻击追求相当的隐蔽性、针对性和长期性,以盗取数据为目标,甚至不会对系统产生破坏——绝大部分遭遇APT攻击的企业在相当长期的时间内,根本就不知道自己遭遇了APT攻击。

比如说攻击者向目标发起一封极具针对性的钓鱼邮件,企业打开了这封邮件中带恶意代码的附件,则攻击者的攻击行为开始逐步渗透。一般安全厂商反病毒或者反恶意邮件的方案是:通过特征码比对来判断附件是否存在问题。这类方案对于0day漏洞利用和极为复杂的APT攻击,通常是没什么效果的。

FireEye的核心就在于传说中的MVX技术(Multi-Vector Virtual Execution)——这是一种“无特征码”的技术。说简单些,采用MVX技术的产品会将上例中的邮件附件,放到虚拟的“沙盒”中,然后观察附件在这个虚拟环境中的行为。听起来其实就是虚拟技术在安全领域的应用,不过FireEye将这项技术做得更为精专。

比如说,FireEye的产品能够在虚拟机上复制客户的网络环境,据说连网络中每台设备运行的软件版本号都是一样的,恶意软件发起攻击时,虚拟机可加快时钟走时,在几微秒的时间内了解其连续数月的攻击行为;VX引擎还可同时模拟多个系统环境(比如Windows、Office等),来同步判断是否存在威胁。所以其产品效率是相当高的。

Gartner曾经对“Network Sandboxing”发布过一份指导文件,这份文件看起来差不多就是为FireEye量身打造的。其中提到的几个点几乎都是FireEye的长项,包括自动化检测、本地/云都支持的检测方式、沙盒系统/软件丰富程度尤甚(比如支持苹果的操作系统)、恶意程序很难识破其沙盒属性(市场上的许多同类沙盒产品很容易被恶意程序绕过)、融合取证工具(FireEye的强项之一,可作为美国司法程序中的取证之用)。

FireEye的产品线非常清楚,包括NX、EX、FX、CM、HX、MX、AX等不同系列,针对网络、电子邮件、端点、内容(Content)、移动、分析、取证等多个方面进行威胁防护。其中的绝大部分产品中都共享了上面提到的MVX引擎,比如说NX针对企业全网,通常放置在防火墙之后的位置;EX则针对电子邮件提供防护等。

说了这么多,不难理解MVX技术实际上就是FireEye得以抵御0day和APT攻击的杀手锏,也是其在安全行业内得以在这么短的时间内,玩得如此风生水起的根本原因。前两年,FireEye的APT检测与防御产品,的确就是其收益主要来源,也是这家公司收获这么多名声的摇钱树。

FireEye何以火热?

FireEye公司于2004年在美国加州Milpitas成立,不过它真正进入大众视野大约是在2012年前后。其中的原因也并不复杂:FireEye兴起的时间点,恰好是APT攻击突然变猖獗的这两年,这其实也很大程度表明FireEye的APT解决方案是相当有效的。还有一些有名的攻击分析(其中当然少不了以“中国黑客”为卖点的报告)和投资事件,成为FireEye得以被大众熟知的原因。

数据来自APTnotes,其样本量相对较小

比如说2014年年末索尼影视娱乐遭遇黑客攻击事件,FireEye摆平。我们从明面上的消息来看,索尼当时准备公映电影《刺杀金正恩》,遭遇朝鲜黑客攻击,企业内部的大量敏感信息和数据随之泄露。不管这次索尼被黑原因的说法有多少,总之索尼最后找了FireEye解决问题(实际上是FireEye收购没多久的Mandiant)。

去年4月29日,FireEye的MVX引擎和DTI云平台(动态威胁情报——是FireEye系列产品间共享威胁情报的中心)获得美国国土安全部SAFETY Act法案认证。FireEye因此成为第一家得到国土安全部认证授予的安全企业。这个认证可不是随便颁个证书,使用相关MVX和DTI产品的企业客户,可免于一些诉讼:他们的用户不能以公司技术无法抵御网络恐怖袭击为由进行起诉。这话说得还真是绕啊,其实说白了,就是如果企业用了FireEye的技术,就拥有了一定的免责权——这算得上是政府的加冕!

2009年,一家名叫In-Q-Tel投资公司对FireEye发起投资。其实FireEye背后的金主可不少,但In-Q-Tel的来头实在不小。这家公司专为美国中央情报局提供风险投资服务,寻找那些有助于维护美国国土安全利益的科技公司,进行选择性投资,支持美国政府发展情报获取能力。传说中情局每年为In-Q-Tel固定注资,而后者为前者交付情报方面的解决方案。虽然FireEye当时还欢天喜地地对此宣传了一把,但并未透露双方的合作细节,可要获得In-Q-Tel的青睐并不容易,从中也可瞥见FireEye有着怎样的技术实力。

Gartner分析师2014年对FireEye曾做出这样的评价:“FireEye Inc. is at the top of the list.”很多人可能会在国内某些媒体的文章中看到,在Gartner传说的魔力象限中,FireEye位于顶端——这个说法就来自我们援引的这句话。不过这实际是个谣传。FireEye从未进入过Gartner的魔力象限,原因并不是Gartner看不上FireEye,而是Gartner还没有针对FireEye所从事安全领域的魔力象限。

但“at the top of the list”的确是Gartner说的,也是相当高的赞誉。这里的“list”是指Gartner的自适应安全架构(The Adaptive Security Architecture)——这个架构也是相当有名的,许多安全企业以此为圣经,即预防、检测、响应、预测结构。Gartner认为,FireEye在这个结构中处于顶级位置。当然这一点实际是在FireEye收购Mandiant之后达成的,另外其产品也加入融合传统IPS的能力。

FireEye目前在全球近70个国家已经拥有约4700名企业客户,其中超过650家企业位列财富2000强(Forbes Global 2000);或者说去年,50%的财富500强企业都在用FireEye的产品。可见FireEye作为安全行业的香饽饽究竟有多吃香——还是那句话,FireEye能够很大程度解决0day和APT攻击两大难题,是其如此吃香的重要原因。而且这家公司的炫技能力出众,每隔一段时间就曝光一些0day漏洞,这可是许多安全企业想玩都玩不来的。

FireEye有个大窟窿!

这么看来,FireEye的发展不仅堪称神速,而且根本没有要把那些资历较老的安全公司放在眼里的意思。其市场价值也基本说明了这一点:Cowboy Ventures先前提出了一个“独角兽俱乐部(Unicorn Club)”。这个“俱乐部”的成员是近10年内创办、私募或公开市场估值超10亿的美国软件企业,财富杂志也在长期援引这份名单。下面这张图是2013年的数据,当时能够进入独角兽俱乐部的公司,只占到风投融资消费类和企业软件新创公司总数的0.07%,只有39家。一般平均每年仅出现4个“独角兽”。

仔细看看,FireEye在哪里:它当时的估值可是超越Yelp、Dropbox、Instagram这些在消费用户市场中的大热门,而且还比Palo Alto这样的竞争对手牛掰一截,算是给安全行业赚足了脸面。

同年9月份,FireEye正式上市,交易首日股价就大涨80%。随后这家公司的股价又一路狂飙,2014年时从20美元涨到近100美元,市值一度超过130亿美元。可是如果近期你有关注过纳斯达克股市,应该就知道FireEye现如今的股价徘徊在17美元左右——这市值蒸发速度真可谓相当惊人,不是说好独角兽、香饽饽、中情局和财富500强企业的宠儿吗!问题出在哪儿?

我们追踪FireEye公布的财报才发现一个非常让人讶异的事实:FireEye每年都在亏损,而且亏损量连年递增。尤其2012-2014财年,其亏损量持续以4倍速增长。2014财年,其亏损金额甚至比全年收益还要高。据说自2004年FireEye组建以来,这家公司基本一直是在亏损的。即便是2016财年第一财季,其亏损量仍然在同比扩大。

这让人非常好奇,是否有什么事情绊住了FireEye的脚步。比如说花大笔资金进行收购,或者IPO募股上市都可能对最终的利润造成影响。问题是,这些年单纯从量来看,FireEye的亏损是持续加速的。我们稍稍研究了FireEye新财年第一季度的财报,发现这家公司的确是难以抑制运营支出,从研发费用、销售与市场投入,还有管理费用各方面来看都是烧钱神速。

不仅如此,公司的运营现金流也不够稳定,2016财年第一财季其运营现金流为-2250万美元——这个数字和最近FireEye刚刚收购iSight和Invotas是有关系的,但实际上去年同期的现金流也是负值。这表明,FireEye已经开始依赖二次股票发行和可转换债券来筹钱了。

这家公司的收益虽然仍在持续增长,但已经出现放缓的迹象。许多市场分析公司已经开始质疑FireEye的业务可行性,伴随收益增长的自然放缓,加上企业各项费用居高不下,FireEye处于动荡期,要实现止损将面临更多的困难。

2014年NSS Labs的BDS安全价值图,和Gartner魔力象限有些相似,具体到产品

从现实意义来谈,FireEye其实也面临很多问题。比如说MVX技术出现了这么久,本身正面临越来越多的挑战,不仅是恶意程序变得更强悍,还有谷歌Project Zero这类安全小组喜欢揭露FireEye产品的漏洞(传说中的666)。

另外竞争对手也开始搞沙箱技术,非常典型的例子如Norman Shark,这家公司也专注于APT防御,已经于2014年被Blue Coat收购,而Blue Coat上个月则由赛门铁克宣布收购;思科也在积极进行收购工作,不管是Soucefire,还是ThreatGRID,似乎都已经在业绩中产生了比较积极的影响。这些对FireEye而言都是莫大的威胁。虽然像Norman Shark这种企业现在还完全不是FireEye的对手,但以母公司安全巨擘的手笔和市场布局策略,未来谁也说不定。

FireEye面临一波转型

上面谈到FireEye企业内部面临动荡,其实从企业高层的情况来看也的确如此。去年7月份,大概是因为公司烧钱速度太快,公司CFO Michael Sheridan卸任。上个月公司CEO Dave DeWalt也宣布辞职,新上任的CEO是Kevin Mandia。这个人实际上是FireEye在2014年收购的Mandiant公司的创始人。

FireEye现任CEO Kevin Mandia

其实在FireEye短短十几年历史上的这3名CEO,最近刚上任的Mandia是最有故事可讲的。他以前曾是美国五角大楼第七通信部计算机安全官员,后来又以特工身份加入美国空军特别调查办公室,企业领域他还曾效力于洛克希德马丁(!!)和McAfee。他和Dave DeWalt之间也有关系,当然这不是我们要谈的重点,有兴趣的可自行搜索。

他所创立的Mandiant公司在2014年的时候曾经发布过一份全球知名长达60页的报告,相关某61398部队的,这里我们不便多谈。不过由此可见Mandiant的特长亦在APT领域,他们拥有先进端点安全产品和安全应急响应管理解决方案,其亮点亦在于对威胁情报的掌握和预知。

FireEye当时宣布以10亿美元收购Mandiant,这个价格对FireEye这种亏损为常态的企业而言绝对是天价。不过这次收购当属对FireEye原有杀手锏的加成和补足,加成是对威胁情报的加成,补足部分主要表现在安全应急响应/事件处理和咨询服务,这一直是Mandiant的特长。

今年年初FireEye以2亿美元收购iSight差不多也是对现有能力进行强化,iSight的强项同样在威胁情报方面,比如黑客团伙情报、他们的攻击工具贩售与交易地点、用什么样的基础设施、被盗数据传送目标地址等。我们先前的分析文章也曾经尝试从威胁情报的角度谈过FireEye的转变。

2月份,FireEye又收购一家名为Invotas的企业——用FireEye自己的话来说,这家公司是安全整合与自动化提供商(orchestration and automation provider)。有了Invotas,“FireEye将提供全球最出色的安全整合能力,这将成为FireEye全球威胁管理平台的一部分。这有助于FireEye将安全产品、威胁情报和事件响应元素统一到一个平台中,让企业通过自动化,更迅速地对攻击做出响应。”

我们从FireEye今年2月份发布的新闻稿可见,这3次收购动作的意义在于,“MVX技术,加上Mandiant咨询服务的整合,以及iSIGHT威胁情报网络”,搭配“Invotas的安全整合能力”,“为企业应对高级网络攻击,满足了关键需求”。说到底,这几次收购都是对原有技能的强化,大约也是为了拉大和其他APT防御安全企业的差距。

虽然这三次收购对FireEye的原有业务,和产品的全面布局都有积极意义,但很难看出这其中有多大的转型,或者说对企业扭亏为盈能做出多大贡献。不过我们仍然可从财报入手,来预见FireEye的未来。

从FireEye自己划分的业务组成来看,这两年各业务的收益占比正在发生变化。其中纯粹的产品收益(Product Revenue)所占比例正在稳步下滑,这里所谓的产品收益其实也就是FireEye具体的硬件设备;而产品订阅(Product Subscriptions)则正在大比例上升。

所谓的产品订阅,包括FireEye-as-a-Service、威胁情报、云电子邮件(ETP)。其中的FireEye-as-a-Service很早之前就已经是FireEye的重头戏了,这是个按需支付安全服务,技术人员会7 x 24小时监控你的FireEye系统,发现威胁就直接为你做响应。这实际上也就是当前SaaS模式的一种体现,印证了当前安全企业的发展思路:用服务来赚钱。至于威胁情报,看来iSIGHT和Mandiant的钱的确没有白花。

于此,从产品到服务就是这波转型的本质,虽然说得很大流,但再度反观FireEye对三家企业的收购,实际上也是在积极地促成这种变化,并且这种变化已经变得越来越彻底——毕竟FireEye的客户单从数量来看并不会非常多,卖服务才是持续赚钱的方案。

虽然Q1收购了Invotas和iSIGHT,但运营支出占收益的比例仍同比收窄(不过这个数据为non-GAAP)

至于FireEye将来究竟能不能赚钱,能否扭转市场分析机构对其所持的怀疑态度,至少从目前FireEye的亏损率来看是在逐步收窄的——似乎FireEye当前的高层也是在努力控制运营支出,只不过短期内还无法扭转亏损局面。

如今针对FireEye的唱衰之声已此起彼伏,高层震荡、收购行为是否有效和盈利能力遭质疑、对手虎视眈眈就是FireEye面临的现状。FireEye虽然是含着金汤匙出生的,现在也不得不努力一把了。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-10-08 18:42:16

FreeBuf Insight:网络安全创新企业Top 10解读之FireEye的相关文章

FreeBuf Insight:网络安全创新企业Top 10解读之Sophos

美国网络安全市场调查公司Cybersecurity Ventures每季度都会发布一个榜单,列出"网络安全500强(Cybersecurity 500)"企业.这个榜单之所以得到越来越多人的围观,主要因为它并不根据企业的收入.员工数.企业规模之类进行排名,知名安全企业或者初创企业都可能进榜.用Cybersecurity Ventures自己的话来说,具备未来可能"改变游戏规则"技术的小型企业,也完全有机会进榜. 他们评估企业是否有资格上榜的参考因素包括:涉足的市场类

美国孕育网络安全创新企业的7大圣地

随着网络安全对于个人和企业的影响日益加深,全球各地都不断增加网络安全投资和创新力度. 硅谷,毫无疑问是世上最为著名的科技创新热门地区,但是它并不是唯一一个推动网络安全发展的地方.像是华盛顿和波士顿等地也开始拥有越来越多的安全初创企业,成为网络安全的孵化器和温床. 网络安全初创企业孵化器公司Mach37的管理合伙人Rick Gordon解释道,推动一个地区成为网络安全创新"温床"的因素有很多,其中包括种子资本的可用性和教育机构输送的新人才等. 网络安全风险资本投资公司Allegis Ca

【AI World 2017世界人工智能大会TOP 10榜单揭晓】巨星谷歌领衔,中国企业雄起,胡郁等感言

AI World 2017 世界人工智能大会"AI 奥斯卡"颁奖晚宴8日晚在国家会议中心隆重举行,流光溢彩中,AI World 2017 世界人工智能大会 AI 奥斯卡五大奖项:AI年度人物Top 10.AI巨星企业Top10.AI创新企业Top10.AI 创新产品Top 10 以及AI 创投机构Top10最终获奖名单权威发布. 2017年,人工智能风起云涌,英雄人物和明星产品层出不穷.在国务院<新一代人工智能发展规划>的指导下,在产业.学术和研究各界人士的共同努力下,中国

首届网络安全创新发展论坛实录:通讯信息诈骗防治的血与火之战

本文讲的是首届网络安全创新发展论坛实录:通讯信息诈骗防治的血与火之战,            近十年来,每年案件数以20%-30%速度飞速增长: 2015年全年立案数59万起,与去年相比上升了32.5%,造成经济损失222亿元: 2013年至2016年9月,全国共发生个人损失资金千万元以上的案件104起,百万元以上案件2392起. 这组触目惊心的数字,摘自新华社2016年9月对国内目前规模最大的黑色产业--通讯信息诈骗(也称作电信诈骗)的报道统计. 这个行业善于利用大众心理弱点,通过信息落差打造

干货推荐 | Top 10高级终端保护工具

本文讲的是干货推荐 | Top 10高级终端保护工具, 基于传统反恶意软件工具的简单终端保护的日子已经一去不复返了!现在已经有高级终端检测和响应(EDR)工具来进行主动监控和终端保护.它们可以评估大型生态系统中的威胁,结合网络入侵检测的最佳面对每台计算机上的每个过程进行检测. 实现这一过程的要求很高,经过严格测试,我们推荐十款高级终端保护工具,希望大家能在它们的帮助下更加信心满满地应对种种潜在风险.但是没有任何产品是万能的,你还需要根据你已经安装的其他安全工具以及员工的技能水平进行合理选择.以下

数据库10大常见安全问题及Top 10 数据库安全工具盘点

本文讲的是数据库10大常见安全问题及Top 10 数据库安全工具盘点, 数据库已经成为黑客的主要攻击目标,因为它们存储着大量有价值和敏感的信息. 这些信息包括金融.知识产权以及企业数据等各方面的内容.网络罪犯开始从入侵在线业务服务器和破坏数据库中大量获利,因此,确保数据库的安全成为越来越重要的命题. 网络的高速发展为企业和个人都带来了无限机遇,随着在线业务变得越来越流行,接触全球客户也成为点指间能够实现的事情.想要建立一个在线业务,最重要的就是建立一个全面的数据库,与此同时,保护你共享在网络中的

周鸿祎自述:我眼中的互联网经典商战TOP 10

周鸿祎自述:我眼中的互联网经典商战TOP 10 时间:2014-10-13 10:24 来源:i黑马 作者:周鸿祎 周鸿祎可谓互联网的战术大师,以下就是他自己总结的互联网十大经典战役."互联网的一些事"推荐此文,为读者带来详尽分析. TOP10 百度早期如何打动用户? 案例描述:当年百度的市场份额能获得这么多,真的是搜索技术比谷歌做得好?不是,是因为百度有MP3搜索.民工兄弟们交流的时候肯定不会说:我在用一个搜索引擎,使用了高级的搜索技术.他们会说:有一个网站,上面可以免费听歌,可以免

深创投靳海涛:五维度深度剖析创新企业30种死法

2012年3月29日,第六届中国(深圳)私募基金 高峰论坛在深圳五洲宾馆隆重开幕,下午,由深圳市私募基金协会.私募排排网联合主办"中国私募名家大讲堂"在深圳厅举行,深圳市创新投资集团董事长 靳海涛 亲临现场详解创业投资重点关注的新兴产业和创新企业的三十种死法,为中小企业成长之路指点迷津. 主讲者是深圳市私募基金协会会长.深圳市创新投集团有限公司董事长靳海涛先生,靳海涛是中国资本市场的元老,是中国创投界的领军人物和企业管理专家,拥有超过30年的企业管理.投融资和资本市场运作经验,是国家科

全球100家创新企业中国仅台积电上榜

摘要: 北京时间10月7日消息,汤森路透(Thomson Reuters)旗下智权与科学(IP Science)事业部今天公布2013年全球百大创新机构(2013 Top 100 Global Innovators)获奖名单. 根据汤森路透提供的资料显示 北京时间10月7日消息,汤森路透(Thomson Reuters)旗下智权与科学(IP & Science)事业部今天公布2013年全球百大创新机构(2013 Top 100 Global Innovators)获奖名单. 根据汤森路透提供的资