安全社区

最近FireEye连续两份APT报告燃爆安全圈，成为全球最火爆的安全公司。抛开报告本身不说，你知道FireEye公司如何一步一步地完成从技术到情报再到运营的转变吗？

前言

在安全行业，FireEye是一家非常令人关注的企业。提到APT攻击防护，就会想到FireEye。本文主要就FireEye公司的产品和技术以 及服务模式进行概括性的阐述。调研过程完全站在技术和中立的角度上，FireEye不断发布涉及天朝安全事件报告背后可能存在的政治和商业因素，不在本次 调研的考虑范畴内。

两份报告和两项荣誉

FireEye于4月12日公开发布了一份名为 “APT30 and the mechanics of a long-running cyber espionage operation”的报告，披露了一个长达十年之久的网络间谍活动，主要窃取东南亚和印度地区政府、企业、新闻媒体方面的机密信息。这是第一个使用恶意程序感染air-gapped（隔空）网络的间谍/黑客组织，FireEye将其命名为APT30。

这份长达70页的“APT30”报告迅速点燃了整个安全行业。关于该报告，乌云网上已有详细解读，详见： http://drops.wooyun.org/tips/5670#more-5670。

然而一波未平，一波又起。就在4月18 日，“APT30”事件余波未平之际，另一份曝光俄罗斯网络黑客组织0day攻击的“APT28”报告又发布了。这个代号“俄罗斯套娃” （Operation RussianDoll）的攻击利用了 Adobe Flash (CVE-2015-3043)和Windows一个本地提权漏洞(CVE-2015-1701)，用来搜集一些和国防、地缘政治有关的情报。

4月份也是FireEye收获荣誉的一个月。在4月6日，FireEye再次位列Cybersecurity全球500家安全企业排名之首，排名前10的公司如下：

图1

该排名主要基于公司被关注的程度和创新能力两项指标。

接下来，在4月16日，FireEye获得SANS颁发的两项“Best of 2014 Awards”大奖，分别是：“Advanced Threat Detection”（高级威胁检测）和 “Threat Intelligence”（威胁情报）。

事实上，高级威胁检测和威胁情报恰恰是FireEye当前最主要的业务。与此同时，两者并非彼此独立，而是有机结合在一起。其中，威胁情报更是核心。

FireEye的产品和服务体系

FireEye公司成立于2004年，2014年的全年收入为4.25亿美元（较2013年上升163%）。

FireEye的产品和服务体系，在2014年初收购Mandiant之后，经过近一年的整合，现在已经非常清晰：

图2

当前，FireEye的产品和服务体系（或简称解决方案体系）包括APT检测和防御产品、威胁情报和安全服务。其中最为关键的威胁情报能力在收购Mandiant公司后得到实质性的加强。

APT检测和防御产品家族基于FireEye公司的核心技术，也是大部分收入的来源。如下：

图3

从上图可以看出，FireEye的APT检测和防护产品主要包括网络（Network）、系统（Endpoint）、应用（Email、BYOD）和内容（Content）。APT检测和防护是Fireeye的看家本领，也是在收购Mandiant公司之前的杀手锏。

众所周知，FireEye APT攻击检测的关键技术是MVX技术（多向量虚拟执行，Multi-Vector Virtual Execution），即在虚拟环境下执行和检测攻击，发现恶意脚本和阻断攻击。VX Engine是核心处理引擎，从技术原理的角度上来说，检测主要分为两个阶段：

（1）阶段1: 捕获阶段，即捕获Web、电子邮件和文件样本；（2）阶段2: 虚拟运行阶段，即放到沙箱（sandbox）中依据不同的操作系统和应用进行虚拟执行／Reply（重放），发现包括恶意软件在内的威胁；

如下图所示：

图4

下面一张更为清晰地阐述了VX的处理流程：

图5

从产品的发展阶段上来说，基于MVX技术的FireEye产品为专有硬件系统而非虚拟化／软件版本。硬件检测的好处是可控和高效。由于FireEye产品众多，产品的配置和性能这里不再一一赘述。

下图是NX设备（网络）的控制台截图：

图6

从控制台上来看，报警是基于样本的。

在FireEye的产品和服务体系中，Threat Analytics Platform（TAP，威胁分析平台）是FireEye产品体系的大脑。TAP是进行数据关联、分析和威胁识别的处理引擎。FireEye非常智慧地 将这个引擎放到了“云”上，用户可以上传数据，并通过访问云端平台获得威胁分析的结果，同时一些新的IOCs（Indicators of Compromises）和Profiles也通过TAP同步到本地。

下图是TAP的系统示意图：

图7

这是一个典型的云安全模式。一方面采集Event数据，另一方面下发更新的指标和模版。

威胁情报公司的转变

我们知道，随着FireEye公司地位的上 升，MVX技术也遭到诸多挑战。FireEye的APT检测实际上是一种“沙箱”（Sandbox）技术。越来越多的恶意代码刻意地采取了沙箱绕过的技术 手段。比如延迟执行、压缩、加密，某些恶意脚本甚至是非可执行的，这都对FireEye以及“沙箱”技术提出了挑战。

从另一方面说，采用“沙箱”技术进行APT／0day检测和防护的公司越来越多，这应该多少让FireEye感到与日俱增的竞争压力。

在2014年初，FireEye对Mandiant的收购一方面缓解了竞争的压力，另一个方面也预示着FireEye向威胁情报服务厂商的转变。

从Fireeye Product PortFolio图中我们也可以看到，FireEye产品家族的核心是动态威胁情报（Dynamic Threat Intelligence）。其实不管是DTI（Dynamic Threat Intelligence），还是ATI（Advanced Threat Intelligence）或是ATI＋（Advanced Threat Intelligence Plus），都是Threat Intelligence，如下图：

图8

单纯从列表上看，三者的差别主要在使用场景和报表的内容上。DTI是设备间的，ATI/ATA+是给人看的。 用户可以订购（Subscription）FireEye的TI能力。这是一个重要的里程碑，标志着FireEye向威胁情报公司的转变。

安全服务新模式

数据即产品，数据即服务，数据即能力。

FireEye-as-a-service是FireEye面向用户和其他MSSP的按需支付（pay-as-you-go）的安全服务，在去年9 月份与Advanced Threat Intelligence一起发布。有了FireEye-as-a-service，FireEye也就是MSSP了。

FireEye-as-a-service和FireEye之前服务最大的不同就是FireEye的技术人员将7×24小时地监控你的FireEye系统，一旦发现威胁，FireEye的人员将直接操作你的设备进行响应，而不再像传统服务那样只是提供建议或电话支持。 这标志着FireEye的能力已经从技术、数据，过渡到了运营。FireEye具备了运营能力，就和其他单纯的APT厂商拉开了距离。

图9

从上图可以看出，FireEye的MSSP服务打包了技术、情报和专家能力，三位一体。

总结

总结来看，FireEye公司的技术、产品、服 务上一步一步的变化，体现了从技术到情报再到运营的转变。其实这种转变也是很多安全厂商不断发展的方向，本身并不是什么新的思路。只是FireEye的发 展路线比较清晰，可以拿出来作个样本给大家分析，看看人家是如何完成的转型。

必须声明的是，由于种种原因，FireEye系统当前尚无法在国内销售，事实上笔者并没有真正操作过FireEye系统。对FireEye产品和服务体系的解读也主要依靠互联网上的资料，因此一定存在这样或者那样的误解，希望了解FireEye系统的同学不吝赐教。

（注：文中图片除图2外，其他均来自FireEye公开产品资料和互联网）

参考

1、https://www.fireeye.com/company/press-releases/2015/04/fireeye-earns-top-honors-for-advanced-threat-detection-and-threa_msm_moved.html

2、https://www.fireeye.com/company/press-releases/2015/02/financial-results-q4-fy2014.html

3、https://www.fireeye.com/products/dynamic-threat-intelligence.html

4、http://www.freebuf.com/news/64753.html

5、http://cybersecurityventures.com/cybersecurity-500/

6、http://security.cnw.com.cn/htm2013/20130408_267151.shtml

7、FireEye as a Service，FireEye, Inc., 2014.

8、One united defense of compromised systems had no malware on them against cyber attacks, FireEye, Inc., 2014.

9、FireEye From Month to Minutes, Hakan Samuelsson, 2014.5

10、Market Guide for Security Threat Intelligence Services, Rob McMillan, Khushbu Pratap, Gartner Inc. ,2014.10

11、5 Design Principles for Advanced Malware Protection, FireEye, Inc., 2011.