在FreeBuf Insight上一篇《网络安全创新企业Top 10》系列文章中,我们谈到了Sophos。虽然在安全领域Sophos已经算是个老牌子,而且声名卓著,但在国内的名字并不算响亮。这次FreeBuf Insight要尝试解读的,是近些年来在安全领域红透半边天的FireEye——火眼公司。
中间两人是FireEye创始人Ashar Aziz与前任CEO David DeWalt
在此之前,我们还是不得不提到美国网络安全市场调研公司Cybersecurity Ventures这一季的“网络安全500强”榜单。FireEye曾经连续称霸此榜单好几个季度,但在今年一季度的榜单中,FireEye不仅没能保住第一,还滑落至第九名——在这篇文章中,我们尝试谈一谈其中的原因…
FireEye究竟做些什么?
一聊到FireEye,就必然要提APT攻击(高级持续性威胁)和0day漏洞利用。在常规安全防护中,这两类破坏是很难防御的。原因很简单,0day漏洞就是产品原开发商尚未修复(甚至还不知道)的漏洞,攻击者在拿到这类漏洞之后,搞破坏自然得心应手,因为短期内连解决方案都没有;而APT攻击追求相当的隐蔽性、针对性和长期性,以盗取数据为目标,甚至不会对系统产生破坏——绝大部分遭遇APT攻击的企业在相当长期的时间内,根本就不知道自己遭遇了APT攻击。
比如说攻击者向目标发起一封极具针对性的钓鱼邮件,企业打开了这封邮件中带恶意代码的附件,则攻击者的攻击行为开始逐步渗透。一般安全厂商反病毒或者反恶意邮件的方案是:通过特征码比对来判断附件是否存在问题。这类方案对于0day漏洞利用和极为复杂的APT攻击,通常是没什么效果的。
FireEye的核心就在于传说中的MVX技术(Multi-Vector Virtual Execution)——这是一种“无特征码”的技术。说简单些,采用MVX技术的产品会将上例中的邮件附件,放到虚拟的“沙盒”中,然后观察附件在这个虚拟环境中的行为。听起来其实就是虚拟技术在安全领域的应用,不过FireEye将这项技术做得更为精专。
比如说,FireEye的产品能够在虚拟机上复制客户的网络环境,据说连网络中每台设备运行的软件版本号都是一样的,恶意软件发起攻击时,虚拟机可加快时钟走时,在几微秒的时间内了解其连续数月的攻击行为;VX引擎还可同时模拟多个系统环境(比如Windows、Office等),来同步判断是否存在威胁。所以其产品效率是相当高的。
Gartner曾经对“Network Sandboxing”发布过一份指导文件,这份文件看起来差不多就是为FireEye量身打造的。其中提到的几个点几乎都是FireEye的长项,包括自动化检测、本地/云都支持的检测方式、沙盒系统/软件丰富程度尤甚(比如支持苹果的操作系统)、恶意程序很难识破其沙盒属性(市场上的许多同类沙盒产品很容易被恶意程序绕过)、融合取证工具(FireEye的强项之一,可作为美国司法程序中的取证之用)。
FireEye的产品线非常清楚,包括NX、EX、FX、CM、HX、MX、AX等不同系列,针对网络、电子邮件、端点、内容(Content)、移动、分析、取证等多个方面进行威胁防护。其中的绝大部分产品中都共享了上面提到的MVX引擎,比如说NX针对企业全网,通常放置在防火墙之后的位置;EX则针对电子邮件提供防护等。
说了这么多,不难理解MVX技术实际上就是FireEye得以抵御0day和APT攻击的杀手锏,也是其在安全行业内得以在这么短的时间内,玩得如此风生水起的根本原因。前两年,FireEye的APT检测与防御产品,的确就是其收益主要来源,也是这家公司收获这么多名声的摇钱树。
FireEye何以火热?
FireEye公司于2004年在美国加州Milpitas成立,不过它真正进入大众视野大约是在2012年前后。其中的原因也并不复杂:FireEye兴起的时间点,恰好是APT攻击突然变猖獗的这两年,这其实也很大程度表明FireEye的APT解决方案是相当有效的。还有一些有名的攻击分析(其中当然少不了以“中国黑客”为卖点的报告)和投资事件,成为FireEye得以被大众熟知的原因。
数据来自APTnotes,其样本量相对较小
比如说2014年年末索尼影视娱乐遭遇黑客攻击事件,FireEye摆平。我们从明面上的消息来看,索尼当时准备公映电影《刺杀金正恩》,遭遇朝鲜黑客攻击,企业内部的大量敏感信息和数据随之泄露。不管这次索尼被黑原因的说法有多少,总之索尼最后找了FireEye解决问题(实际上是FireEye收购没多久的Mandiant)。
去年4月29日,FireEye的MVX引擎和DTI云平台(动态威胁情报——是FireEye系列产品间共享威胁情报的中心)获得美国国土安全部SAFETY Act法案认证。FireEye因此成为第一家得到国土安全部认证授予的安全企业。这个认证可不是随便颁个证书,使用相关MVX和DTI产品的企业客户,可免于一些诉讼:他们的用户不能以公司技术无法抵御网络恐怖袭击为由进行起诉。这话说得还真是绕啊,其实说白了,就是如果企业用了FireEye的技术,就拥有了一定的免责权——这算得上是政府的加冕!
2009年,一家名叫In-Q-Tel投资公司对FireEye发起投资。其实FireEye背后的金主可不少,但In-Q-Tel的来头实在不小。这家公司专为美国中央情报局提供风险投资服务,寻找那些有助于维护美国国土安全利益的科技公司,进行选择性投资,支持美国政府发展情报获取能力。传说中情局每年为In-Q-Tel固定注资,而后者为前者交付情报方面的解决方案。虽然FireEye当时还欢天喜地地对此宣传了一把,但并未透露双方的合作细节,可要获得In-Q-Tel的青睐并不容易,从中也可瞥见FireEye有着怎样的技术实力。
Gartner分析师2014年对FireEye曾做出这样的评价:“FireEye Inc. is at the top of the list.”很多人可能会在国内某些媒体的文章中看到,在Gartner传说的魔力象限中,FireEye位于顶端——这个说法就来自我们援引的这句话。不过这实际是个谣传。FireEye从未进入过Gartner的魔力象限,原因并不是Gartner看不上FireEye,而是Gartner还没有针对FireEye所从事安全领域的魔力象限。
但“at the top of the list”的确是Gartner说的,也是相当高的赞誉。这里的“list”是指Gartner的自适应安全架构(The Adaptive Security Architecture)——这个架构也是相当有名的,许多安全企业以此为圣经,即预防、检测、响应、预测结构。Gartner认为,FireEye在这个结构中处于顶级位置。当然这一点实际是在FireEye收购Mandiant之后达成的,另外其产品也加入融合传统IPS的能力。
FireEye目前在全球近70个国家已经拥有约4700名企业客户,其中超过650家企业位列财富2000强(Forbes Global 2000);或者说去年,50%的财富500强企业都在用FireEye的产品。可见FireEye作为安全行业的香饽饽究竟有多吃香——还是那句话,FireEye能够很大程度解决0day和APT攻击两大难题,是其如此吃香的重要原因。而且这家公司的炫技能力出众,每隔一段时间就曝光一些0day漏洞,这可是许多安全企业想玩都玩不来的。
FireEye有个大窟窿!
这么看来,FireEye的发展不仅堪称神速,而且根本没有要把那些资历较老的安全公司放在眼里的意思。其市场价值也基本说明了这一点:Cowboy Ventures先前提出了一个“独角兽俱乐部(Unicorn Club)”。这个“俱乐部”的成员是近10年内创办、私募或公开市场估值超10亿的美国软件企业,财富杂志也在长期援引这份名单。下面这张图是2013年的数据,当时能够进入独角兽俱乐部的公司,只占到风投融资消费类和企业软件新创公司总数的0.07%,只有39家。一般平均每年仅出现4个“独角兽”。
仔细看看,FireEye在哪里:它当时的估值可是超越Yelp、Dropbox、Instagram这些在消费用户市场中的大热门,而且还比Palo Alto这样的竞争对手牛掰一截,算是给安全行业赚足了脸面。
同年9月份,FireEye正式上市,交易首日股价就大涨80%。随后这家公司的股价又一路狂飙,2014年时从20美元涨到近100美元,市值一度超过130亿美元。可是如果近期你有关注过纳斯达克股市,应该就知道FireEye现如今的股价徘徊在17美元左右——这市值蒸发速度真可谓相当惊人,不是说好独角兽、香饽饽、中情局和财富500强企业的宠儿吗!问题出在哪儿?
我们追踪FireEye公布的财报才发现一个非常让人讶异的事实:FireEye每年都在亏损,而且亏损量连年递增。尤其2012-2014财年,其亏损量持续以4倍速增长。2014财年,其亏损金额甚至比全年收益还要高。据说自2004年FireEye组建以来,这家公司基本一直是在亏损的。即便是2016财年第一财季,其亏损量仍然在同比扩大。
这让人非常好奇,是否有什么事情绊住了FireEye的脚步。比如说花大笔资金进行收购,或者IPO募股上市都可能对最终的利润造成影响。问题是,这些年单纯从量来看,FireEye的亏损是持续加速的。我们稍稍研究了FireEye新财年第一季度的财报,发现这家公司的确是难以抑制运营支出,从研发费用、销售与市场投入,还有管理费用各方面来看都是烧钱神速。
不仅如此,公司的运营现金流也不够稳定,2016财年第一财季其运营现金流为-2250万美元——这个数字和最近FireEye刚刚收购iSight和Invotas是有关系的,但实际上去年同期的现金流也是负值。这表明,FireEye已经开始依赖二次股票发行和可转换债券来筹钱了。
这家公司的收益虽然仍在持续增长,但已经出现放缓的迹象。许多市场分析公司已经开始质疑FireEye的业务可行性,伴随收益增长的自然放缓,加上企业各项费用居高不下,FireEye处于动荡期,要实现止损将面临更多的困难。
2014年NSS Labs的BDS安全价值图,和Gartner魔力象限有些相似,具体到产品
从现实意义来谈,FireEye其实也面临很多问题。比如说MVX技术出现了这么久,本身正面临越来越多的挑战,不仅是恶意程序变得更强悍,还有谷歌Project Zero这类安全小组喜欢揭露FireEye产品的漏洞(传说中的666)。
另外竞争对手也开始搞沙箱技术,非常典型的例子如Norman Shark,这家公司也专注于APT防御,已经于2014年被Blue Coat收购,而Blue Coat上个月则由赛门铁克宣布收购;思科也在积极进行收购工作,不管是Soucefire,还是ThreatGRID,似乎都已经在业绩中产生了比较积极的影响。这些对FireEye而言都是莫大的威胁。虽然像Norman Shark这种企业现在还完全不是FireEye的对手,但以母公司安全巨擘的手笔和市场布局策略,未来谁也说不定。
FireEye面临一波转型
上面谈到FireEye企业内部面临动荡,其实从企业高层的情况来看也的确如此。去年7月份,大概是因为公司烧钱速度太快,公司CFO Michael Sheridan卸任。上个月公司CEO Dave DeWalt也宣布辞职,新上任的CEO是Kevin Mandia。这个人实际上是FireEye在2014年收购的Mandiant公司的创始人。
FireEye现任CEO Kevin Mandia
其实在FireEye短短十几年历史上的这3名CEO,最近刚上任的Mandia是最有故事可讲的。他以前曾是美国五角大楼第七通信部计算机安全官员,后来又以特工身份加入美国空军特别调查办公室,企业领域他还曾效力于洛克希德马丁(!!)和McAfee。他和Dave DeWalt之间也有关系,当然这不是我们要谈的重点,有兴趣的可自行搜索。
他所创立的Mandiant公司在2014年的时候曾经发布过一份全球知名长达60页的报告,相关某61398部队的,这里我们不便多谈。不过由此可见Mandiant的特长亦在APT领域,他们拥有先进端点安全产品和安全应急响应管理解决方案,其亮点亦在于对威胁情报的掌握和预知。
FireEye当时宣布以10亿美元收购Mandiant,这个价格对FireEye这种亏损为常态的企业而言绝对是天价。不过这次收购当属对FireEye原有杀手锏的加成和补足,加成是对威胁情报的加成,补足部分主要表现在安全应急响应/事件处理和咨询服务,这一直是Mandiant的特长。
今年年初FireEye以2亿美元收购iSight差不多也是对现有能力进行强化,iSight的强项同样在威胁情报方面,比如黑客团伙情报、他们的攻击工具贩售与交易地点、用什么样的基础设施、被盗数据传送目标地址等。我们先前的分析文章也曾经尝试从威胁情报的角度谈过FireEye的转变。
2月份,FireEye又收购一家名为Invotas的企业——用FireEye自己的话来说,这家公司是安全整合与自动化提供商(orchestration and automation provider)。有了Invotas,“FireEye将提供全球最出色的安全整合能力,这将成为FireEye全球威胁管理平台的一部分。这有助于FireEye将安全产品、威胁情报和事件响应元素统一到一个平台中,让企业通过自动化,更迅速地对攻击做出响应。”
我们从FireEye今年2月份发布的新闻稿可见,这3次收购动作的意义在于,“MVX技术,加上Mandiant咨询服务的整合,以及iSIGHT威胁情报网络”,搭配“Invotas的安全整合能力”,“为企业应对高级网络攻击,满足了关键需求”。说到底,这几次收购都是对原有技能的强化,大约也是为了拉大和其他APT防御安全企业的差距。
虽然这三次收购对FireEye的原有业务,和产品的全面布局都有积极意义,但很难看出这其中有多大的转型,或者说对企业扭亏为盈能做出多大贡献。不过我们仍然可从财报入手,来预见FireEye的未来。
从FireEye自己划分的业务组成来看,这两年各业务的收益占比正在发生变化。其中纯粹的产品收益(Product Revenue)所占比例正在稳步下滑,这里所谓的产品收益其实也就是FireEye具体的硬件设备;而产品订阅(Product Subscriptions)则正在大比例上升。
所谓的产品订阅,包括FireEye-as-a-Service、威胁情报、云电子邮件(ETP)。其中的FireEye-as-a-Service很早之前就已经是FireEye的重头戏了,这是个按需支付安全服务,技术人员会7 x 24小时监控你的FireEye系统,发现威胁就直接为你做响应。这实际上也就是当前SaaS模式的一种体现,印证了当前安全企业的发展思路:用服务来赚钱。至于威胁情报,看来iSIGHT和Mandiant的钱的确没有白花。
于此,从产品到服务就是这波转型的本质,虽然说得很大流,但再度反观FireEye对三家企业的收购,实际上也是在积极地促成这种变化,并且这种变化已经变得越来越彻底——毕竟FireEye的客户单从数量来看并不会非常多,卖服务才是持续赚钱的方案。
虽然Q1收购了Invotas和iSIGHT,但运营支出占收益的比例仍同比收窄(不过这个数据为non-GAAP)
至于FireEye将来究竟能不能赚钱,能否扭转市场分析机构对其所持的怀疑态度,至少从目前FireEye的亏损率来看是在逐步收窄的——似乎FireEye当前的高层也是在努力控制运营支出,只不过短期内还无法扭转亏损局面。
如今针对FireEye的唱衰之声已此起彼伏,高层震荡、收购行为是否有效和盈利能力遭质疑、对手虎视眈眈就是FireEye面临的现状。FireEye虽然是含着金汤匙出生的,现在也不得不努力一把了。
====================================分割线================================
本文转自d1net(转载)