在FreeBuf Insight上一篇《網絡安全創新企業Top 10》系列文章中,我們談到了Sophos。雖然在安全領域Sophos已經算是個老牌子,而且聲名卓著,但在國內的名字并不算響亮。這次FreeBuf Insight要嘗試解讀的,是近些年來在安全領域紅透半邊天的FireEye——火眼公司。
中間兩人是FireEye創始人Ashar Aziz與前任CEO David DeWalt
在此之前,我們還是不得不提到美國網絡安全市場調研公司Cybersecurity Ventures這一季的“網絡安全500強”榜單。FireEye曾經連續稱霸此榜單好幾個季度,但在今年一季度的榜單中,FireEye不僅沒能保住第一,還滑落至第九名——在這篇文章中,我們嘗試談一談其中的原因…
FireEye究竟做些什么?
一聊到FireEye,就必然要提APT攻擊(高級持續性威脅)和0day漏洞利用。在常規安全防護中,這兩類破壞是很難防御的。原因很簡單,0day漏洞就是產品原開發商尚未修復(甚至還不知道)的漏洞,攻擊者在拿到這類漏洞之后,搞破壞自然得心應手,因為短期內連解決方案都沒有;而APT攻擊追求相當的隱蔽性、針對性和長期性,以盜取數據為目標,甚至不會對系統產生破壞——絕大部分遭遇APT攻擊的企業在相當長期的時間內,根本就不知道自己遭遇了APT攻擊。
比如說攻擊者向目標發起一封極具針對性的釣魚郵件,企業打開了這封郵件中帶惡意代碼的附件,則攻擊者的攻擊行為開始逐步滲透。一般安全廠商反病毒或者反惡意郵件的方案是:通過特征碼比對來判斷附件是否存在問題。這類方案對于0day漏洞利用和極為復雜的APT攻擊,通常是沒什么效果的。
FireEye的核心就在于傳說中的MVX技術(Multi-Vector Virtual Execution)——這是一種“無特征碼”的技術。說簡單些,采用MVX技術的產品會將上例中的郵件附件,放到虛擬的“沙盒”中,然后觀察附件在這個虛擬環境中的行為。聽起來其實就是虛擬技術在安全領域的應用,不過FireEye將這項技術做得更為精專。
比如說,FireEye的產品能夠在虛擬機上復制客戶的網絡環境,據說連網絡中每臺設備運行的軟件版本號都是一樣的,惡意軟件發起攻擊時,虛擬機可加快時鐘走時,在幾微秒的時間內了解其連續數月的攻擊行為;VX引擎還可同時模擬多個系統環境(比如Windows、Office等),來同步判斷是否存在威脅。所以其產品效率是相當高的。
Gartner曾經對“Network Sandboxing”發布過一份指導文件,這份文件看起來差不多就是為FireEye量身打造的。其中提到的幾個點幾乎都是FireEye的長項,包括自動化檢測、本地/云都支持的檢測方式、沙盒系統/軟件豐富程度尤甚(比如支持蘋果的操作系統)、惡意程序很難識破其沙盒屬性(市場上的許多同類沙盒產品很容易被惡意程序繞過)、融合取證工具(FireEye的強項之一,可作為美國司法程序中的取證之用)。
FireEye的產品線非常清楚,包括NX、EX、FX、CM、HX、MX、AX等不同系列,針對網絡、電子郵件、端點、內容(Content)、移動、分析、取證等多個方面進行威脅防護。其中的絕大部分產品中都共享了上面提到的MVX引擎,比如說NX針對企業全網,通常放置在防火墻之后的位置;EX則針對電子郵件提供防護等。
說了這么多,不難理解MVX技術實際上就是FireEye得以抵御0day和APT攻擊的殺手锏,也是其在安全行業內得以在這么短的時間內,玩得如此風生水起的根本原因。前兩年,FireEye的APT檢測與防御產品,的確就是其收益主要來源,也是這家公司收獲這么多名聲的搖錢樹。
FireEye何以火熱?
FireEye公司于2004年在美國加州Milpitas成立,不過它真正進入大眾視野大約是在2012年前后。其中的原因也并不復雜:FireEye興起的時間點,恰好是APT攻擊突然變猖獗的這兩年,這其實也很大程度表明FireEye的APT解決方案是相當有效的。還有一些有名的攻擊分析(其中當然少不了以“中國黑客”為賣點的報告)和投資事件,成為FireEye得以被大眾熟知的原因。
數據來自APTnotes,其樣本量相對較小
比如說2014年年末索尼影視娛樂遭遇黑客攻擊事件,FireEye擺平。我們從明面上的消息來看,索尼當時準備公映電影《刺殺金正恩》,遭遇朝鮮黑客攻擊,企業內部的大量敏感信息和數據隨之泄露。不管這次索尼被黑原因的說法有多少,總之索尼最后找了FireEye解決問題(實際上是FireEye收購沒多久的Mandiant)。
去年4月29日,FireEye的MVX引擎和DTI云平臺(動態威脅情報——是FireEye系列產品間共享威脅情報的中心)獲得美國國土安全部SAFETY Act法案認證。FireEye因此成為第一家得到國土安全部認證授予的安全企業。這個認證可不是隨便頒個證書,使用相關MVX和DTI產品的企業客戶,可免于一些訴訟:他們的用戶不能以公司技術無法抵御網絡恐怖襲擊為由進行起訴。這話說得還真是繞啊,其實說白了,就是如果企業用了FireEye的技術,就擁有了一定的免責權——這算得上是政府的加冕!
2009年,一家名叫In-Q-Tel投資公司對FireEye發起投資。其實FireEye背后的金主可不少,但In-Q-Tel的來頭實在不小。這家公司專為美國中央情報局提供風險投資服務,尋找那些有助于維護美國國土安全利益的科技公司,進行選擇性投資,支持美國政府發展情報獲取能力。傳說中情局每年為In-Q-Tel固定注資,而后者為前者交付情報方面的解決方案。雖然FireEye當時還歡天喜地地對此宣傳了一把,但并未透露雙方的合作細節,可要獲得In-Q-Tel的青睞并不容易,從中也可瞥見FireEye有著怎樣的技術實力。
Gartner分析師2014年對FireEye曾做出這樣的評價:“FireEye Inc. is at the top of the list.”很多人可能會在國內某些媒體的文章中看到,在Gartner傳說的魔力象限中,FireEye位于頂端——這個說法就來自我們援引的這句話。不過這實際是個謠傳。FireEye從未進入過Gartner的魔力象限,原因并不是Gartner看不上FireEye,而是Gartner還沒有針對FireEye所從事安全領域的魔力象限。
但“at the top of the list”的確是Gartner說的,也是相當高的贊譽。這里的“list”是指Gartner的自適應安全架構(The Adaptive Security Architecture)——這個架構也是相當有名的,許多安全企業以此為圣經,即預防、檢測、響應、預測結構。Gartner認為,FireEye在這個結構中處于頂級位置。當然這一點實際是在FireEye收購Mandiant之后達成的,另外其產品也加入融合傳統IPS的能力。
FireEye目前在全球近70個國家已經擁有約4700名企業客戶,其中超過650家企業位列財富2000強(Forbes Global 2000);或者說去年,50%的財富500強企業都在用FireEye的產品。可見FireEye作為安全行業的香餑餑究竟有多吃香——還是那句話,FireEye能夠很大程度解決0day和APT攻擊兩大難題,是其如此吃香的重要原因。而且這家公司的炫技能力出眾,每隔一段時間就曝光一些0day漏洞,這可是許多安全企業想玩都玩不來的。
FireEye有個大窟窿!
這么看來,FireEye的發展不僅堪稱神速,而且根本沒有要把那些資歷較老的安全公司放在眼里的意思。其市場價值也基本說明了這一點:Cowboy Ventures先前提出了一個“獨角獸俱樂部(Unicorn Club)”。這個“俱樂部”的成員是近10年內創辦、私募或公開市場估值超10億的美國軟件企業,財富雜志也在長期援引這份名單。下面這張圖是2013年的數據,當時能夠進入獨角獸俱樂部的公司,只占到風投融資消費類和企業軟件新創公司總數的0.07%,只有39家。一般平均每年僅出現4個“獨角獸”。
仔細看看,FireEye在哪里:它當時的估值可是超越Yelp、Dropbox、Instagram這些在消費用戶市場中的大熱門,而且還比Palo Alto這樣的競爭對手牛掰一截,算是給安全行業賺足了臉面。
同年9月份,FireEye正式上市,交易首日股價就大漲80%。隨后這家公司的股價又一路狂飆,2014年時從20美元漲到近100美元,市值一度超過130億美元。可是如果近期你有關注過納斯達克股市,應該就知道FireEye現如今的股價徘徊在17美元左右——這市值蒸發速度真可謂相當驚人,不是說好獨角獸、香餑餑、中情局和財富500強企業的寵兒嗎!問題出在哪兒?
我們追蹤FireEye公布的財報才發現一個非常讓人訝異的事實:FireEye每年都在虧損,而且虧損量連年遞增。尤其2012-2014財年,其虧損量持續以4倍速增長。2014財年,其虧損金額甚至比全年收益還要高。據說自2004年FireEye組建以來,這家公司基本一直是在虧損的。即便是2016財年第一財季,其虧損量仍然在同比擴大。
這讓人非常好奇,是否有什么事情絆住了FireEye的腳步。比如說花大筆資金進行收購,或者IPO募股上市都可能對最終的利潤造成影響。問題是,這些年單純從量來看,FireEye的虧損是持續加速的。我們稍稍研究了FireEye新財年第一季度的財報,發現這家公司的確是難以抑制運營支出,從研發費用、銷售與市場投入,還有管理費用各方面來看都是燒錢神速。
不僅如此,公司的運營現金流也不夠穩定,2016財年第一財季其運營現金流為-2250萬美元——這個數字和最近FireEye剛剛收購iSight和Invotas是有關系的,但實際上去年同期的現金流也是負值。這表明,FireEye已經開始依賴二次股票發行和可轉換債券來籌錢了。
這家公司的收益雖然仍在持續增長,但已經出現放緩的跡象。許多市場分析公司已經開始質疑FireEye的業務可行性,伴隨收益增長的自然放緩,加上企業各項費用居高不下,FireEye處于動蕩期,要實現止損將面臨更多的困難。
2014年NSS Labs的BDS安全價值圖,和Gartner魔力象限有些相似,具體到產品
從現實意義來談,FireEye其實也面臨很多問題。比如說MVX技術出現了這么久,本身正面臨越來越多的挑戰,不僅是惡意程序變得更強悍,還有谷歌Project Zero這類安全小組喜歡揭露FireEye產品的漏洞(傳說中的666)。
另外競爭對手也開始搞沙箱技術,非常典型的例子如Norman Shark,這家公司也專注于APT防御,已經于2014年被Blue Coat收購,而Blue Coat上個月則由賽門鐵克宣布收購;思科也在積極進行收購工作,不管是Soucefire,還是ThreatGRID,似乎都已經在業績中產生了比較積極的影響。這些對FireEye而言都是莫大的威脅。雖然像Norman Shark這種企業現在還完全不是FireEye的對手,但以母公司安全巨擘的手筆和市場布局策略,未來誰也說不定。
FireEye面臨一波轉型
上面談到FireEye企業內部面臨動蕩,其實從企業高層的情況來看也的確如此。去年7月份,大概是因為公司燒錢速度太快,公司CFO Michael Sheridan卸任。上個月公司CEO Dave DeWalt也宣布辭職,新上任的CEO是Kevin Mandia。這個人實際上是FireEye在2014年收購的Mandiant公司的創始人。
FireEye現任CEO Kevin Mandia
其實在FireEye短短十幾年歷史上的這3名CEO,最近剛上任的Mandia是最有故事可講的。他以前曾是美國五角大樓第七通信部計算機安全官員,后來又以特工身份加入美國空軍特別調查辦公室,企業領域他還曾效力于洛克希德馬丁(!!)和McAfee。他和Dave DeWalt之間也有關系,當然這不是我們要談的重點,有興趣的可自行搜索。
他所創立的Mandiant公司在2014年的時候曾經發布過一份全球知名長達60頁的報告,相關某61398部隊的,這里我們不便多談。不過由此可見Mandiant的特長亦在APT領域,他們擁有先進端點安全產品和安全應急響應管理解決方案,其亮點亦在于對威脅情報的掌握和預知。
FireEye當時宣布以10億美元收購Mandiant,這個價格對FireEye這種虧損為常態的企業而言絕對是天價。不過這次收購當屬對FireEye原有殺手锏的加成和補足,加成是對威脅情報的加成,補足部分主要表現在安全應急響應/事件處理和咨詢服務,這一直是Mandiant的特長。
今年年初FireEye以2億美元收購iSight差不多也是對現有能力進行強化,iSight的強項同樣在威脅情報方面,比如黑客團伙情報、他們的攻擊工具販售與交易地點、用什么樣的基礎設施、被盜數據傳送目標地址等。我們先前的分析文章也曾經嘗試從威脅情報的角度談過FireEye的轉變。
2月份,FireEye又收購一家名為Invotas的企業——用FireEye自己的話來說,這家公司是安全整合與自動化提供商(orchestration and automation provider)。有了Invotas,“FireEye將提供全球最出色的安全整合能力,這將成為FireEye全球威脅管理平臺的一部分。這有助于FireEye將安全產品、威脅情報和事件響應元素統一到一個平臺中,讓企業通過自動化,更迅速地對攻擊做出響應。”
我們從FireEye今年2月份發布的新聞稿可見,這3次收購動作的意義在于,“MVX技術,加上Mandiant咨詢服務的整合,以及iSIGHT威脅情報網絡”,搭配“Invotas的安全整合能力”,“為企業應對高級網絡攻擊,滿足了關鍵需求”。說到底,這幾次收購都是對原有技能的強化,大約也是為了拉大和其他APT防御安全企業的差距。
雖然這三次收購對FireEye的原有業務,和產品的全面布局都有積極意義,但很難看出這其中有多大的轉型,或者說對企業扭虧為盈能做出多大貢獻。不過我們仍然可從財報入手,來預見FireEye的未來。
從FireEye自己劃分的業務組成來看,這兩年各業務的收益占比正在發生變化。其中純粹的產品收益(Product Revenue)所占比例正在穩步下滑,這里所謂的產品收益其實也就是FireEye具體的硬件設備;而產品訂閱(Product Subscriptions)則正在大比例上升。
所謂的產品訂閱,包括FireEye-as-a-Service、威脅情報、云電子郵件(ETP)。其中的FireEye-as-a-Service很早之前就已經是FireEye的重頭戲了,這是個按需支付安全服務,技術人員會7 x 24小時監控你的FireEye系統,發現威脅就直接為你做響應。這實際上也就是當前SaaS模式的一種體現,印證了當前安全企業的發展思路:用服務來賺錢。至于威脅情報,看來iSIGHT和Mandiant的錢的確沒有白花。
于此,從產品到服務就是這波轉型的本質,雖然說得很大流,但再度反觀FireEye對三家企業的收購,實際上也是在積極地促成這種變化,并且這種變化已經變得越來越徹底——畢竟FireEye的客戶單從數量來看并不會非常多,賣服務才是持續賺錢的方案。
雖然Q1收購了Invotas和iSIGHT,但運營支出占收益的比例仍同比收窄(不過這個數據為non-GAAP)
至于FireEye將來究竟能不能賺錢,能否扭轉市場分析機構對其所持的懷疑態度,至少從目前FireEye的虧損率來看是在逐步收窄的——似乎FireEye當前的高層也是在努力控制運營支出,只不過短期內還無法扭轉虧損局面。
如今針對FireEye的唱衰之聲已此起彼伏,高層震蕩、收購行為是否有效和盈利能力遭質疑、對手虎視眈眈就是FireEye面臨的現狀。FireEye雖然是含著金湯匙出生的,現在也不得不努力一把了。