FireEye APT检测——APT业务占比过重,缺乏其他安全系统的查杀和修复功能
摘自:https://zhidao.baidu.com/question/1694626564301467468.html
火眼,APT威胁下快速成长
FireEye的兴起开始于2012年,这时段正好迎上APT(Advanced Persistent Threat,高级持续性威胁)猖獗。
APT是一种以特殊利益(通常为商业和政治利益)为目的,针对类似政府、企业、军队等组织发动具有潜伏性、针对性的攻击。APT是对组织网络的破坏,组织网络上任何一个节点的薄弱都会引起系统性的破坏。
APT近年来出现了愈演愈烈的趋势,并逐渐向移动端蔓延。FireEye凭借独有的MVX(Multi-Vector Virtual Execution)虚拟沙盒技术,在APT防御领域几乎是独步武林。这几年发展起来的虚拟沙盒产品,基本上都受到了FireEye的影响。
技术小强兼收并蓄,通过并购建立从威胁防护到情报管理综合性平台
FireEye自身定位为一家全面的网络安全方案提供商,而不同于之前基于特征码传统安全方案。传统的安全解决方案通常后知后觉,在病毒的潜伏期无法判断其存在。而APT攻击常常利用未被发觉的0Day漏洞,潜伏下来,并在合适的时间进行攻击。
MVX技术是FireEye的核心,这一种无需特征码的技术。FireEye会在虚拟机上复制客户的网络环境,并在虚拟环境中模拟运行原系统文件的行为,例如邮件中的附件。FireEye虚拟机的系统兼容性非常好,包括了Linux、Mac和Android系统。沙箱技术虽然在APT防护领域已经广泛使用,但MVX仍然是最优秀的技术之一。
FireEye的第一个产品Web MPS于2008年发布,直到2012年FireEye的主要的收入都是依靠硬件及配套的软件产品。2012年,FireEye开始转型,产品线向服务端扩展。
2013年到2016年,FireEye进行了四次收购,其中10亿美元收购Mandiant,6000万美金收购nPulse,2亿美元收购iSight,最后一次3000万美元收购Invotas。
这四家公司主要从事网络安全咨询与舆情控制、威胁情报和安全整合业务,收购实现了FireEye在安全服务领域较大的跨越,构建了以侦测、处理、情报、咨询为一体的综合安全管理平台。
在成熟的威胁防护平台上,逐渐向云安全和专家服务模式转变
至今,FireEye业务线可以分为三大领域,威胁防御、分析响应、安全服务:
威胁与防御,以网络安全NX、邮件安全EX、移动安全MX、端点安全HX、文件安全FX等安全设备为基础,构建在中央管理系统CMS下APT检测与防御网络。
分析与响应,由恶意行为分析MA、威胁分析平台TAP、安全协调SO和安全取证Forensics等系统组成,结合威胁防御平台建立的威胁分析、取证平台。其中,FireEye的取证系统取得了美国国家安全局的认证,可用于司法认定。
安全服务,包括了火眼即服务FAAS、威胁情报等服务。其中,火眼即服务FAAS会有相应的专家会跟踪系统的异常事件,对发生的异常快速反应,并能够快速记录下攻击的证据,作为系统遭受依据。
FireEye响应的收费分为三种,产品出售,Saas类云订阅服务和维护支持以及由安全专家管理的订制类服务。
产品出售包括了威胁防御平台、中央管理系统、威胁分析平台、恶意软件分析平台和安全取证产品。这些产品通常由硬件设备及配套的软件构成,该类收入可以在当期内确认。
云订阅服务提供类似Saas的动态威胁智能DTI、高级威胁智能ATI等服务及其配套的维护,这些服务按照入口流量收费,通常签订1~3年的合约,并在合同期内摊销。这类服务对专业人员的要求较小。
安全管理专家类的定制服务,即FireEye as a service。是借助FireEye的网络平台、终端安全平台和取证平台,通过响应的安全专家对其进行7x24小时的分析、管理,以达到快速精准响应的目的,这类服务需要配置大量的专业人员进行服务。除此之外,FireEye还提供了安全咨询服务。
市场份额逐年缩减,同业竞争压力加大
从2011年至今2015年,FireEye客户数量从450家客户,增长到了4400家,年均复合增长率为76.83%,其中2015年客户净增数量为1300家,增长率为42%,增速在逐渐减缓。不过,FireEye的客户中并不存在销售额超过年收入10%的超级大客户,2015年其福布斯2000强的客户数就有680家。
FireEye客户主要来自美国国内。在国际市场方面,FireEye的国际市场开拓效果并不是很明显,其在美国的市场份额一直在70%-80%,呈缓慢下降的趋势。安全产品的拓展在地缘问题上阻力还是比较大。
FireEye APT检测——APT业务占比过重,缺乏其他安全系统的查杀和修复功能的更多相关文章
- 从kill-chain的角度检测APT攻击
前言 最近一直在考虑如何结合kill chain检测APT攻击.出发点是因为尽管APT是一种特殊.高级攻击手段,但是它还是会具有攻击的common feature,只要可以把握住共同特征,就能进行检测 ...
- 护卫神·云查杀系统V4.0-安全检测部分
感谢使用护卫神·云查杀系统,该软件专门查杀网页木马,完全免费,欢迎大家使用. 护卫神·云查杀系统 下载地址:http://down.huweishen.com/free/HwsKill.zip ...
- chkdsk 命令对Raid盘检测和查错、修复
C:\Documents and Settings\Administrator>chkdsk /?检查磁盘并显示状态报告. CHKDSK [volume[[path]filename]]] [/ ...
- 基于VC++的网络扫描器设计与实现
本文正文其实是自己的毕业论文,现在搬上来有两个原因. 一是之前大学的文档都放在百度网盘上,大概去年的时候百度网盘改版搞得不太稳定,文件夹移动次数一多里边就会有一些文件丢失了,也没有很在意.但前几天看申 ...
- php一句话后门过狗姿势万千之传输层加工(1)
写在前面:过狗相关的资料网上也是有很多,所以在我接下来的文章中,可能观点或者举例可能会与网上部分雷同,或者表述不够全面.但是我只能说,我所传达给大家的信息,是我目前所掌握或者了解的,不能保证所有人都会 ...
- 2018-2019-3 网络对抗技术 20165305 Exp3 免杀原理与实践
1.实验内容及步骤 1.1 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程 将做实验二时生成的后门文件用virusto ...
- PHP一句话后门过狗姿势万千之理论篇
写在前面: 过狗相关的资料网上也是有很多,所以在我接下来的文章中,可能观点或者举例可能会与网上部分雷同,或者表述不够全面. 但是我只能说,我所传达给大家的信息,是我目前所掌握或者了解的,不能保证所有人 ...
- APT攻击基础科普
0x00 APT的历史起源背景 APT这个词汇最早起源于:2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感信息的第一个警告,尽管没有使用“APT”这个名 ...
- APT组织跟踪与溯源
前言 在攻防演练中,高质量的蓝队报告往往需要溯源到攻击团队.国内黑产犯罪团伙.国外APT攻击. 红队现阶段对自己的信息保护的往往较好,根据以往溯源成功案例来看还是通过前端js获取用户ID信息.mysq ...
随机推荐
- 在iOS中求数组元素中最大数与最小数
之前求数组中某个数中的最大值与最小值.还真一个个比較,后来看到这种方法后,我就醉了 NSArray *testArray = [NSArray arrayWithObjects:@"-2.0 ...
- 从Oracle转到Mysql前需了解的50件事
我本人比较关心的几点: 1. 对子查询的优化表现不佳. 2. 对复杂查询的处理较弱 4. 性能优化工具与度量信息不足 12. 支持 SMP (对称多处理器),但是如果每个处理器超过 4 或 8 个核( ...
- [BZOJ 3365] Distance Statistics
[题目链接] https://www.lydsy.com/JudgeOnline/problem.php?id=3365 [算法] 点分治 [代码] #include <algorithm> ...
- WebService CXF学习:复杂对象传递(List,Map)
转自:https://blog.csdn.net/z69183787/article/details/35988335 第一步:创建存储复杂对象的类(因为WebServices的复杂对象的传递,一定要 ...
- python中数字的排序
lst = [2,22,4,7,18]for j in range(len(lst)): #记录内部排序的次数 i = 0 while i < len(lst)-1: if lst[i] > ...
- 性能优化实战-join与where条件执行顺序
昨天经历了一场非常痛苦的性能调优过程,但是收获也是刻骨铭心的,感觉对sql引擎的原理有了进一步认识. 问题起源于测试人员测一个多条件检索的性能时,发现按某个条件查询会特别慢.对应的sql语句简化为: ...
- Mysql-slowlog
MySQL慢查询日志是MySQL提供的一种日志记录,用来记录执行时长超过指定时长的查询语句,具体指运行时间超过 long_query_time 值的 SQL 语句,则会被记录到慢查询日志中. long ...
- HDU 2303 The Embarrassed Cryptographer
The Embarrassed Cryptographer 题意 给一个两个素数乘积(1e100)K, 给以个数L(1e6), 判断K的两个素数是不是都大于L 题解 对于这么大的范围,素数肯定是要打表 ...
- reduce & fold in Spark
fold and reduce both aggregate over a collection by implementing an operation you specify, the major ...
- mmap详解
共享内存可以说是最有用的进程间通信方式,也是最快的IPC形式, 因为进程可以直接读写内存,而不需要任何 数据的拷贝.对于像管道和消息队列等通信方式,则需要在内核和用户空间进行四次的数据拷贝,而共享内存 ...