FreeBufInsight：網路安全創新企業Top10解讀之FireEye

在FreeBuf Insight上一篇《網路安全創新企業Top 10》系列文章中，我們談到了Sophos。雖然在安全領域Sophos已經算是個老牌子，而且聲名卓著，但在國內的名字並不算響亮。這次FreeBuf Insight要嘗試解讀的，是近些年來在安全領域紅透半邊天的FireEye——火眼公司。

中間兩人是FireEye創始人Ashar Aziz與前任CEO David DeWalt

在此之前，我們還是不得不提到美國網路安全市場調查公司Cybersecurity Ventures這一季的“網路安全500強”榜單。FireEye曾經連續稱霸此榜單好幾個季度，但在今年一季度的榜單中，FireEye不僅沒能保住第一，還滑落至第九名——在這篇文章中，我們嘗試談一談其中的原因…

FireEye究竟做些什麼？

一聊到FireEye，就必然要提APT攻擊（高階持續性威脅）和0day漏洞利用。在常規安全防護中，這兩類破壞是很難防禦的。原因很簡單，0day漏洞就是產品原開發商尚未修復（甚至還不知道）的漏洞，攻擊者在拿到這類漏洞之後，搞破壞自然得心應手，因為短期內連解決方案都沒有；而APT攻擊追求相當的隱蔽性、針對性和長期性，以盜取資料為目標，甚至不會對系統產生破壞——絕大部分遭遇APT攻擊的企業在相當長期的時間內，根本就不知道自己遭遇了APT攻擊。

比如說攻擊者向目標發起一封極具針對性的釣魚郵件，企業開啟了這封郵件中帶惡意程式碼的附件，則攻擊者的攻擊行為開始逐步滲透。一般安全廠商反病毒或者反惡意郵件的方案是：通過特徵碼比對來判斷附件是否存在問題。這類方案對於0day漏洞利用和極為複雜的APT攻擊，通常是沒什麼效果的。

FireEye的核心就在於傳說中的MVX技術（Multi-Vector Virtual Execution）——這是一種“無特徵碼”的技術。說簡單些，採用MVX技術的產品會將上例中的郵件附件，放到虛擬的“沙盒”中，然後觀察附件在這個虛擬環境中的行為。聽起來其實就是虛擬技術在安全領域的應用，不過FireEye將這項技術做得更為精專。

比如說，FireEye的產品能夠在虛擬機器上覆制客戶的網路環境，據說連網路中每臺裝置執行的軟體版本號都是一樣的，惡意軟體發起攻擊時，虛擬機器可加快時鐘走時，在幾微秒的時間內瞭解其連續數月的攻擊行為；VX引擎還可同時模擬多個系統環境（比如Windows、Office等），來同步判斷是否存在威脅。所以其產品效率是相當高的。

Gartner曾經對“Network Sandboxing”釋出過一份指導檔案，這份檔案看起來差不多就是為FireEye量身打造的。其中提到的幾個點幾乎都是FireEye的長項，包括自動化檢測、本地/雲都支援的檢測方式、沙盒系統/軟體豐富程度尤甚（比如支援蘋果的作業系統）、惡意程式很難識破其沙盒屬性（市場上的許多同類沙盒產品很容易被惡意程式繞過）、融合取證工具（FireEye的強項之一，可作為美國司法程式中的取證之用）。

FireEye的產品線非常清楚，包括NX、EX、FX、CM、HX、MX、AX等不同系列，針對網路、電子郵件、端點、內容（Content）、移動、分析、取證等多個方面進行威脅防護。其中的絕大部分產品中都共享了上面提到的MVX引擎，比如說NX針對企業全網，通常放置在防火牆之後的位置；EX則針對電子郵件提供防護等。

說了這麼多，不難理解MVX技術實際上就是FireEye得以抵禦0day和APT攻擊的殺手鐗，也是其在安全行業內得以在這麼短的時間內，玩得如此風生水起的根本原因。前兩年，FireEye的APT檢測與防禦產品，的確就是其收益主要來源，也是這家公司收穫這麼多名聲的搖錢樹。

FireEye何以火熱？

FireEye公司於2004年在美國加州Milpitas成立，不過它真正進入大眾視野大約是在2012年前後。其中的原因也並不複雜：FireEye興起的時間點，恰好是APT攻擊突然變猖獗的這兩年，這其實也很大程度表明FireEye的APT解決方案是相當有效的。還有一些有名的攻擊分析（其中當然少不了以“中國黑客”為賣點的報告）和投資事件，成為FireEye得以被大眾熟知的原因。

資料來自APTnotes，其樣本量相對較小

比如說2014年年末索尼影視娛樂遭遇黑客攻擊事件，FireEye擺平。我們從明面上的訊息來看，索尼當時準備公映電影《刺殺金正恩》，遭遇朝鮮黑客攻擊，企業內部的大量敏感資訊和資料隨之洩露。不管這次索尼被黑原因的說法有多少，總之索尼最後找了FireEye解決問題（實際上是FireEye收購沒多久的Mandiant）。

去年4月29日，FireEye的MVX引擎和DTI雲平臺（動態威脅情報——是FireEye系列產品間共享威脅情報的中心）獲得美國國土安全部SAFETY Act法案認證。FireEye因此成為第一家得到國土安全部認證授予的安全企業。這個認證可不是隨便頒個證書，使用相關MVX和DTI產品的企業客戶，可免於一些訴訟：他們的使用者不能以公司技術無法抵禦網路恐怖襲擊為由進行起訴。這話說得還真是繞啊，其實說白了，就是如果企業用了FireEye的技術，就擁有了一定的免責權——這算得上是政府的加冕！

2009年，一家名叫In-Q-Tel投資公司對FireEye發起投資。其實FireEye背後的金主可不少，但In-Q-Tel的來頭實在不小。這家公司專為美國中央情報局提供風險投資服務，尋找那些有助於維護美國國土安全利益的科技公司，進行選擇性投資，支援美國政府發展情報獲取能力。傳說中情局每年為In-Q-Tel固定注資，而後者為前者交付情報方面的解決方案。雖然FireEye當時還歡天喜地地對此宣傳了一把，但並未透露雙方的合作細節，可要獲得In-Q-Tel的青睞並不容易，從中也可瞥見FireEye有著怎樣的技術實力。

Gartner分析師2014年對FireEye曾做出這樣的評價：“FireEye Inc. is at the top of the list.”很多人可能會在國內某些媒體的文章中看到，在Gartner傳說的魔力象限中，FireEye位於頂端——這個說法就來自我們援引的這句話。不過這實際是個謠傳。FireEye從未進入過Gartner的魔力象限，原因並不是Gartner看不上FireEye，而是Gartner還沒有針對FireEye所從事安全領域的魔力象限。

但“at the top of the list”的確是Gartner說的，也是相當高的讚譽。這裡的“list”是指Gartner的自適應安全架構（The Adaptive Security Architecture）——這個架構也是相當有名的，許多安全企業以此為聖經，即預防、檢測、響應、預測結構。Gartner認為，FireEye在這個結構中處於頂級位置。當然這一點實際是在FireEye收購Mandiant之後達成的，另外其產品也加入融合傳統IPS的能力。

FireEye目前在全球近70個國家已經擁有約4700名企業客戶，其中超過650家企業位列財富2000強（Forbes Global 2000）；或者說去年，50%的財富500強企業都在用FireEye的產品。可見FireEye作為安全行業的香餑餑究竟有多吃香——還是那句話，FireEye能夠很大程度解決0day和APT攻擊兩大難題，是其如此吃香的重要原因。而且這家公司的炫技能力出眾，每隔一段時間就曝光一些0day漏洞，這可是許多安全企業想玩都玩不來的。

FireEye有個大窟窿！

這麼看來，FireEye的發展不僅堪稱神速，而且根本沒有要把那些資歷較老的安全公司放在眼裡的意思。其市場價值也基本說明了這一點：Cowboy Ventures先前提出了一個“獨角獸俱樂部（Unicorn Club）”。這個“俱樂部”的成員是近10年內創辦、私募或公開市場估值超10億的美國軟體企業，財富雜誌也在長期援引這份名單。下面這張圖是2013年的資料，當時能夠進入獨角獸俱樂部的公司，只佔到風投融資消費類和企業軟體新創公司總數的0.07%，只有39家。一般平均每年僅出現4個“獨角獸”。

仔細看看，FireEye在哪裡：它當時的估值可是超越Yelp、Dropbox、Instagram這些在消費使用者市場中的大熱門，而且還比Palo Alto這樣的競爭對手牛掰一截，算是給安全行業賺足了臉面。

同年9月份，FireEye正式上市，交易首日股價就大漲80%。隨後這家公司的股價又一路狂飆，2014年時從20美元漲到近100美元，市值一度超過130億美元。可是如果近期你有關注過納斯達克股市，應該就知道FireEye現如今的股價徘徊在17美元左右——這市值蒸發速度真可謂相當驚人，不是說好獨角獸、香餑餑、中情局和財富500強企業的寵兒嗎！問題出在哪兒？

我們追蹤FireEye公佈的財報才發現一個非常讓人訝異的事實：FireEye每年都在虧損，而且虧損量連年遞增。尤其2012-2014財年，其虧損量持續以4倍速增長。2014財年，其虧損金額甚至比全年收益還要高。據說自2004年FireEye組建以來，這家公司基本一直是在虧損的。即便是2016財年第一財季，其虧損量仍然在同比擴大。

這讓人非常好奇，是否有什麼事情絆住了FireEye的腳步。比如說花大筆資金進行收購，或者IPO募股上市都可能對最終的利潤造成影響。問題是，這些年單純從量來看，FireEye的虧損是持續加速的。我們稍稍研究了FireEye新財年第一季度的財報，發現這家公司的確是難以抑制運營支出，從研發費用、銷售與市場投入，還有管理費用各方面來看都是燒錢神速。

不僅如此，公司的運營現金流也不夠穩定，2016財年第一財季其運營現金流為-2250萬美元——這個數字和最近FireEye剛剛收購iSight和Invotas是有關係的，但實際上去年同期的現金流也是負值。這表明，FireEye已經開始依賴二次股票發行和可轉換債券來籌錢了。

這家公司的收益雖然仍在持續增長，但已經出現放緩的跡象。許多市場分析公司已經開始質疑FireEye的業務可行性，伴隨收益增長的自然放緩，加上企業各項費用居高不下，FireEye處於動盪期，要實現止損將面臨更多的困難。

2014年NSS Labs的BDS安全價值圖，和Gartner魔力象限有些相似，具體到產品

從現實意義來談，FireEye其實也面臨很多問題。比如說MVX技術出現了這麼久，本身正面臨越來越多的挑戰，不僅是惡意程式變得更強悍，還有谷歌Project Zero這類安全小組喜歡揭露FireEye產品的漏洞（傳說中的666）。

另外競爭對手也開始搞沙箱技術，非常典型的例子如Norman Shark，這家公司也專注於APT防禦，已經於2014年被Blue Coat收購，而Blue Coat上個月則由賽門鐵克宣佈收購；思科也在積極進行收購工作，不管是Soucefire，還是ThreatGRID，似乎都已經在業績中產生了比較積極的影響。這些對FireEye而言都是莫大的威脅。雖然像Norman Shark這種企業現在還完全不是FireEye的對手，但以母公司安全巨擘的手筆和市場佈局策略，未來誰也說不定。

FireEye面臨一波轉型

上面談到FireEye企業內部面臨動盪，其實從企業高層的情況來看也的確如此。去年7月份，大概是因為公司燒錢速度太快，公司CFO Michael Sheridan卸任。上個月公司CEO Dave DeWalt也宣佈辭職，新上任的CEO是Kevin Mandia。這個人實際上是FireEye在2014年收購的Mandiant公司的創始人。

FireEye現任CEO Kevin Mandia

其實在FireEye短短十幾年歷史上的這3名CEO，最近剛上任的Mandia是最有故事可講的。他以前曾是美國五角大樓第七通訊部電腦保安官員，後來又以特工身份加入美國空軍特別調查辦公室，企業領域他還曾效力於洛克希德馬丁（！！）和McAfee。他和Dave DeWalt之間也有關係，當然這不是我們要談的重點，有興趣的可自行搜尋。

他所創立的Mandiant公司在2014年的時候曾經發布過一份全球知名長達60頁的報告，相關某61398部隊的，這裡我們不便多談。不過由此可見Mandiant的特長亦在APT領域，他們擁有先進端點安全產品和安全應急響應管理解決方案，其亮點亦在於對威脅情報的掌握和預知。

FireEye當時宣佈以10億美元收購Mandiant，這個價格對FireEye這種虧損為常態的企業而言絕對是天價。不過這次收購當屬對FireEye原有殺手鐗的加成和補足，加成是對威脅情報的加成，補足部分主要表現在安全應急響應/事件處理和諮詢服務，這一直是Mandiant的特長。

今年年初FireEye以2億美元收購iSight差不多也是對現有能力進行強化，iSight的強項同樣在威脅情報方面，比如黑客團伙情報、他們的攻擊工具販售與交易地點、用什麼樣的基礎設施、被盜資料傳送目標地址等。我們先前的分析文章也曾經嘗試從威脅情報的角度談過FireEye的轉變。

2月份，FireEye又收購一家名為Invotas的企業——用FireEye自己的話來說，這家公司是安全整合與自動化提供商（orchestration and automation provider）。有了Invotas，“FireEye將提供全球最出色的安全整合能力，這將成為FireEye全球威脅管理平臺的一部分。這有助於FireEye將安全產品、威脅情報和事件響應元素統一到一個平臺中，讓企業通過自動化，更迅速地對攻擊做出響應。”

我們從FireEye今年2月份釋出的新聞稿可見，這3次收購動作的意義在於，“MVX技術，加上Mandiant諮詢服務的整合，以及iSIGHT威脅情報網路”，搭配“Invotas的安全整合能力”，“為企業應對高階網路攻擊，滿足了關鍵需求”。說到底，這幾次收購都是對原有技能的強化，大約也是為了拉大和其他APT防禦安全企業的差距。

雖然這三次收購對FireEye的原有業務，和產品的全面佈局都有積極意義，但很難看出這其中有多大的轉型，或者說對企業扭虧為盈能做出多大貢獻。不過我們仍然可從財報入手，來預見FireEye的未來。

從FireEye自己劃分的業務組成來看，這兩年各業務的收益佔比正在發生變化。其中純粹的產品收益（Product Revenue）所佔比例正在穩步下滑，這裡所謂的產品收益其實也就是FireEye具體的硬體裝置；而產品訂閱（Product Subscriptions）則正在大比例上升。

所謂的產品訂閱，包括FireEye-as-a-Service、威脅情報、雲電子郵件（ETP）。其中的FireEye-as-a-Service很早之前就已經是FireEye的重頭戲了，這是個按需支付安全服務，技術人員會7 x 24小時監控你的FireEye系統，發現威脅就直接為你做響應。這實際上也就是當前SaaS模式的一種體現，印證了當前安全企業的發展思路：用服務來賺錢。至於威脅情報，看來iSIGHT和Mandiant的錢的確沒有白花。

於此，從產品到服務就是這波轉型的本質，雖然說得很大流，但再度反觀FireEye對三家企業的收購，實際上也是在積極地促成這種變化，並且這種變化已經變得越來越徹底——畢竟FireEye的客戶單從數量來看並不會非常多，賣服務才是持續賺錢的方案。

雖然Q1收購了Invotas和iSIGHT，但運營支出佔收益的比例仍同比收窄（不過這個資料為non-GAAP）

至於FireEye將來究竟能不能賺錢，能否扭轉市場分析機構對其所持的懷疑態度，至少從目前FireEye的虧損率來看是在逐步收窄的——似乎FireEye當前的高層也是在努力控制運營支出，只不過短期內還無法扭轉虧損局面。

如今針對FireEye的唱衰之聲已此起彼伏，高層震盪、收購行為是否有效和盈利能力遭質疑、對手虎視眈眈就是FireEye面臨的現狀。FireEye雖然是含著金湯匙出生的，現在也不得不努力一把了。

====================================分割線================================

本文轉自d1net（轉載）