科技猎网络安全顶级“杀手”FireEye:“技术+战术”布局中国市场
在网络丛林里,总有人戴着黑色的帽子,也有人戴着白色的帽子,有人在“没关严的门里”盗取信息,有人在暗中观察中及时阻拦,他们在藏与躲、追与逃,在侦查与反侦查中一决高下。
FireEye就是后者,在网络丛林里扮演着隐形的王者“杀手”。
很多人在谈到FireEye,都会想到APT攻击和0day漏洞利用,因为在常规的网络安全防护中,这两个攻击是很难防御的。对于FireEye而言,正是凭借这两个关键点声名大噪。
FireEye为国内熟知,大多数人都是因为APT-1报告。时隔15年后的今天,FireEye进入中国市场,又将续写哪些新篇章呢?为此雷锋网 (公众号:雷锋网) 编辑与FireEye两位大咖,CTO Grady Summers和大中华区负责人徐海国聊了聊。
图左为FireEye大中华区负责人徐海国,图右为FireEye CTO Grady Summers
FireEye与APT的“前世今生”
FireEye于2004年在美国成立, 随着APT越发猖獗,FireEye逐步走进大众视野,Grady Summers经历了早期的APT年代。
那时恶意软件猖獗,最初有50%左右是针对一个特定公司去展开,因而比较容易判断,当发现一种恶意软件,结果可能是一种黑客,而另一种恶意软件背后则是另一种黑客。如此一对一的关系相比于现在是比较容易判断的。
“经过几年时间,我们发现现在很多攻击不是针对一个公司,而是会有一些工具包上传到暗网上面,也就是说任何一个黑客都可以去下载,然后应用到攻击里去,所以现在判断黑客的情况就变得更加复杂。”
每一个APT组织都有不同的形态和不同的攻击特性,Grady Summers洞见出APT未来的发展方向和趋势。
一方面,黑客将会通过购买网上现成的打包数据码,去攻击那些已经被攻击过存在弱点的电脑,节省很多时间;另一方面,将会有更多针对核心基础设施的攻击,比如说IOT之类的攻击,针对工业控制器进行攻击,这些攻击需要对行业有非常详细精准的了解。
在提到关于“为什么这些黑客会购买已经被攻击的一些电脑的资料”时,徐海国对此进行了详尽补充。
“从FireEye角度,我们每天都会告诉客户,黑客虽然攻击你的电脑,但是不代表他们可以马上可以拿走想要的东西,他们要需要时间去找寻他们需要的东西,以及哪一个人有这个权限。即便他们购买了打包数据码,也还是需要花时间去做这些事情的,因为每个人想要的东西是不一样的,这整个过程很费时间。所以,未来的趋势就是黑客会将第一步骤直接省掉,购买打包数据码以后直接进行下一步操作。”
FireEye技术的升级与突破
伴随着APT攻击越来越强势,FireEye也由最早提出的APT-1报告发展到如今的APT-40,APT的概念也早已普及开来。面对新的技术环境,新的安全视角,这些年FireEye做出了哪些升级或者突破呢?Grady Summers为雷锋网进行了详细解答。
Grady Summers回忆起APT-1时代,那时黑客会将截获的数据放在大家平时不太关注的垃圾站,后来他们发现黑客又盘踞在新的位置——AppCompat Cache、Shim Cache,FireEye是第一家发现这两个位置的公司,并有针对性地采取技术措施,开展攻击对策。
面对持续不断、各种各样新的攻击, FireEye开拓出了三种发现黑客的攻击手段。
第一种方式是Malware Guard,每天通过机器学习可以分析大约100万个恶意软件,然后分析判断期间的“好”与“恶”,这种方式的识别率很高。
第二种方式是Exploit Guard,通过对黑客行为的观察,对每种行为逐一打分,当分数达到某一界线时,便可区分是否是恶意行为。还有一种方式是基于AI的Smart Vision技术,通过观察黑客进入系统之后的活动路径来进行辨别。
实际上,FireEye除了能够去监测攻击,当有黑客攻击进来后,还有一个预警系统,监测黑客的活动路径,徐海国称其为“横向移动”,这种技术可以监测到哪些东西被窃取。
另外,还有一个Phish Vision技术,可以检测和识别出那些虚假的登录系统,因为当你登陆进一个假登录系统后,所有名单上的信息,比如密码、身份信息等都会被偷走,所以这一技术避免了在登录时的信息泄露。
“但是有的时候有些厂商不愿意做这些监测,因为公司太大,流程很长,要做很多测试。所以很多新的问题就会出现,这时有人就会觉得做了这些会影响业务,不是每家公司每个人都可以做,他们会看时间,而这也有可能就是黑客发起攻击的时间。”徐海国分析。
扩张路上的机遇与挑战
一路走来,FireEye的技术在不断更新,但也面临一些困难。
一方面,FireEye的核心在于MVX技术,而MVX技术出现的时间之久导致自身存在一些问题,这本身就是一种挑战;另一方面,很多公司也开始做沙箱,更多竞争对手的加入对于FireEye来说是莫大的压力。
Grady Summers 告诉雷锋网,FireEye的MVX技术每个月都会推出新的探测技术,比如此前的FAUDE(FireEye Advanced URL Defense),专门利用机器学习的手段去探测有哪些URL是恶意的,还有Smart Vision,这些都是利用人工智能技术来实现的,这样的持续升级将保持MVX的“新鲜度”。
再说沙箱技术,虽说很多公司也在做,但是FireEye起步早,早已有了一定的服务基础。目前,沙箱技术服务地缘已经逐渐覆盖至越南等地。但是Grady Summers表示,在这一过程中也出现了很多技术上的阻碍,而通过在全球各地的客户环境中部署Detection Engine来持续不断地监测最新的黑客攻击手段和攻击策略,我们得以进行更新以保护客户。
“当我们看到一个黑客使用了以前我们没有见过的新技术时,我们就会把它融化到我们的系统去更新,这样就可以对抗新的攻击方法,这就好比猫捉老鼠的游戏。”
为了能够更好地去识别黑客的手段,FireEye一直采取第一线的方式去监测黑客,也正是这样的方式,FireEye能够第一时间发现黑客、第一时间更新技术、第一时间采取措施去解决问题。
无论是MVX技术,还是沙箱技术,对于FireEye来说既是机遇,更是挑战,关键在于如何规划和布局。
转变战略方向,整合市场
市场的变幻莫测,让Grady Summers看到了行业环境的变化之快,最重要的是他发现整个网络安全市场正趋于整合。于是,FireEye转变了战略方向。
2014年,FireEye收购了一家专门针对网络攻击技术的公司Mandiant,在原有的“杀手锏”基础上进行了补充,尤其在安全应急响应、事件处理和咨询服务方面,Mandiant起到了有利的支撑作用。
2016年年初,FireEye又将iSight收入囊中,强化了在威胁情报方面的能力。同年2月,FireEye再次出手,将安全整合与自动化提供商Invotas纳入自己的版图。
除了通过向外界寻求机遇,FireEye还通过自身技术的融合,推动战略转型。将沙箱技术和IPS整合起来,比如在反病毒方面,FireEye推出四种不同的技术来取代以前的反病毒,再把这些技术整合起来,同时收集证据,最后把这些证据上传到云端。
这实际上是对市场的一种回应,很多客户在购买一个功能模块之后,发现里面的产品太多,有些是不可以用的,所以FireEye开始专注产品解决一些综合性的安全危机。
“我们叫behavior based,这是我们的强项,所以我们都会去看哪一些是真需要做的,比如说IPS,还有在终端的anti-virus上,我们最终会将最有效的方法和功能加进去,这样客户就不需要担心这两个功能的产品是否能放在一起。”
目前安全市场上面的用户,很多人是不想买单独产品的,他们更喜欢整合起来购买。所以单独的IPS这一块,其实市场是没有那么好做的,FireEye策略也倾向于整合,这样的发展空间和竞争力会更加强悍一些。
无论是对自身产品的整合,还是通过收购,将安全产品、情报威胁和时间响应元素统一到一个平台。这几波操作,对FireEye来说,都是对产品和服务的深入布局,是整体战略方向的重要转变。
布局未来市场
这几年云计算技术快速发展,使很多公司都看好了“云端”,并将自己的业务放在那里,很多人觉得将数据放在类似亚马逊这样的云端服务器上是安全的,但实际上并非如此。
在谈及是否会在这两年比较热门的云计算、IA方面做相应的布局时,Grady Summers称FireEye 已经完成Helix这款云端产品,并在终端和网络方面也都有相关产品。
关于AI,徐海国表示FireEye投入了很多资源做AI。他还强调,“除了做AI之外,做网络安全还有一个很重要的就是情报。如果光是用人工智能,所有事情都需要去学习,从环境里面去了解。所以资源会被限制在单一客户里面。此外,人工智能需要时间去培养,期间的实时性时问题难以解决。”
也就是说,FireEye在做网络安全时,将AI与情报系统相结合,同时导入,提升效果。为了及时了解取得的效果,FireEye每年会协助超过600家被攻击了的公司进行调查,哪些技术起作用,哪些技术没有起作用。通过这样的反馈,可以及时发现新的对抗和新的攻击,及时处理并进行防范。
面对未来, FireEye将视野放得更宽、更广,除了在技术方面布局外,还将深度挖掘市场潜力,尤其是中国市场。FireEye进驻中国其实已有3年时间,在徐海国看来这只是刚刚开始。目前FireEye在上海、北京、广州都有员工,在接下来的一年,FireEye将战略布局集中在东区、北区、南区等一些大型客户,其中包括制造业、电商、金融等领域。
在海外,Grady Summers强调将会做一些不同平台的合作,无论是与亚马逊,还是微软,FireEye都在做着不同的事情。“但现阶段我们的品牌在国内还有很大的发展空间,我们要逐步挖掘适合的平台,并尽全力做下去。”在网络信息安全领域,FireEye始终不遗余力。
。
