FireEye APT检测——APT业务占比过重,缺乏其他安全系统的查杀和修复功能

最新推荐文章于 2020-12-15 18:24:39 发布
最新推荐文章于 2020-12-15 18:24:39 发布
阅读量993 收藏 1
点赞数
文章标签: 网络 运维 移动开发
原文链接:https://yq.aliyun.com/articles/394955
版权 
摘自:https://zhidao.baidu.com/question/1694626564301467468.html

火眼,APT威胁下快速成长

FireEye的兴起开始于2012年,这时段正好迎上APT(Advanced Persistent Threat,高级持续性威胁)猖獗。

APT是一种以特殊利益(通常为商业和政治利益)为目的,针对类似政府、企业、军队等组织发动具有潜伏性、针对性的攻击。APT是对组织网络的破坏,组织网络上任何一个节点的薄弱都会引起系统性的破坏。

APT近年来出现了愈演愈烈的趋势,并逐渐向移动端蔓延。FireEye凭借独有的MVX(Multi-Vector Virtual Execution)虚拟沙盒技术,在APT防御领域几乎是独步武林。这几年发展起来的虚拟沙盒产品,基本上都受到了FireEye的影响。



技术小强兼收并蓄,通过并购建立从威胁防护到情报管理综合性平台

FireEye自身定位为一家全面的网络安全方案提供商,而不同于之前基于特征码传统安全方案。传统的安全解决方案通常后知后觉,在病毒的潜伏期无法判断其存在。而APT攻击常常利用未被发觉的0Day漏洞,潜伏下来,并在合适的时间进行攻击。

MVX技术是FireEye的核心,这一种无需特征码的技术。FireEye会在虚拟机上复制客户的网络环境,并在虚拟环境中模拟运行原系统文件的行为,例如邮件中的附件。FireEye虚拟机的系统兼容性非常好,包括了Linux、Mac和Android系统。沙箱技术虽然在APT防护领域已经广泛使用,但MVX仍然是最优秀的技术之一。

FireEye的第一个产品Web MPS于2008年发布,直到2012年FireEye的主要的收入都是依靠硬件及配套的软件产品。2012年,FireEye开始转型,产品线向服务端扩展。

2013年到2016年,FireEye进行了四次收购,其中10亿美元收购Mandiant,6000万美金收购nPulse,2亿美元收购iSight,最后一次3000万美元收购Invotas。

这四家公司主要从事网络安全咨询与舆情控制、威胁情报和安全整合业务,收购实现了FireEye在安全服务领域较大的跨越,构建了以侦测、处理、情报、咨询为一体的综合安全管理平台。


在成熟的威胁防护平台上,逐渐向云安全和专家服务模式转变

至今,FireEye业务线可以分为三大领域,威胁防御、分析响应、安全服务:

威胁与防御,以网络安全NX、邮件安全EX、移动安全MX、端点安全HX、文件安全FX等安全设备为基础,构建在中央管理系统CMS下APT检测与防御网络。

分析与响应,由恶意行为分析MA、威胁分析平台TAP、安全协调SO和安全取证Forensics等系统组成,结合威胁防御平台建立的威胁分析、取证平台。其中,FireEye的取证系统取得了美国国家安全局的认证,可用于司法认定。

安全服务,包括了火眼即服务FAAS、威胁情报等服务。其中,火眼即服务FAAS会有相应的专家会跟踪系统的异常事件,对发生的异常快速反应,并能够快速记录下攻击的证据,作为系统遭受依据。


FireEye响应的收费分为三种,产品出售,Saas类云订阅服务和维护支持以及由安全专家管理的订制类服务。

产品出售包括了威胁防御平台、中央管理系统、威胁分析平台、恶意软件分析平台和安全取证产品。这些产品通常由硬件设备及配套的软件构成,该类收入可以在当期内确认。

云订阅服务提供类似Saas的动态威胁智能DTI、高级威胁智能ATI等服务及其配套的维护,这些服务按照入口流量收费,通常签订1~3年的合约,并在合同期内摊销。这类服务对专业人员的要求较小。

安全管理专家类的定制服务,即FireEye as a service。是借助FireEye的网络平台、终端安全平台和取证平台,通过响应的安全专家对其进行7x24小时的分析、管理,以达到快速精准响应的目的,这类服务需要配置大量的专业人员进行服务。除此之外,FireEye还提供了安全咨询服务。

市场份额逐年缩减,同业竞争压力加大

从2011年至今2015年,FireEye客户数量从450家客户,增长到了4400家,年均复合增长率为76.83%,其中2015年客户净增数量为1300家,增长率为42%,增速在逐渐减缓。不过,FireEye的客户中并不存在销售额超过年收入10%的超级大客户,2015年其福布斯2000强的客户数就有680家。

FireEye客户主要来自美国国内。在国际市场方面,FireEye的国际市场开拓效果并不是很明显,其在美国的市场份额一直在70%-80%,呈缓慢下降的趋势。安全产品的拓展在地缘问题上阻力还是比较大。

  























本文转自张昺华-sky博客园博客,原文链接:http://www.cnblogs.com/bonelee/p/7867082.html,如需转载请自行联系原作者



weixin_34121282
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FireEye 红队失窃工具大揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)
xxwn202302的博客
04-12 409
最近,全球领先的网络安全公司 FireEye 疑遭某 APT组织的攻击,其大量政府客户的信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队工具将被如何处置,但FireEye 公司在 GitHub上发布了一些应对措施。奇安信代码安全实验室将从技术角度,对 GitHub 仓库中的相关漏洞进行分析复现,希望能给读者带来一些启发,做好防御措施。SolarWinds Orion平台是一套负责系统监视和产品管理的基础架构,其中的SolarWinds Orion API主要负责SolarWinds。
Fire Eye APT检测原理
Cwiky_1993的博客
06-23 3888
FireEye APT攻击检测的关键技术是MVX技术(多向量虚拟执行,Multi-Vector Virtual Execution),即在虚拟环境下执行和检测攻击,发现恶意脚本和阻断攻击。VX Engine是核心处理引擎,从技术原理的角度上来说,检测主要分为两个阶段: (1)阶段1: 捕获阶段,即捕获Web、电子邮件和文件样本; (2)阶段2: 虚拟运行阶段,即放到沙箱(sandbox)中依据不
FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)
smellycat000的专栏
12-15 1483
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队前几日,火眼公司表示遭某受国家黑客支持的APT组织攻击。昨天,该公司发布调查进展称发现了一起全球性攻击活动,通过软件供应链攻...
保证分布式系统数据一致性的6种方案
weixin_45583158的博客
04-19 1万+
编者按:本文由「高可用架构后花园」群讨论整理而成,后花园是一个面向架构师的增值服务,如需了解,请关注「高可用架构」后回复 VIP有人的地方,就有江湖有江湖的地方,就有纷争...
fireeye的可见度威胁情报
cnbird's blog
10-12 1270
https://www.fireeye.com/company/press-releases/2015/10/fireeye-redefines-threat-detection-again-with-cutting-edge-innov.html
Fireeye_rpt_APT37(02-20-2018).pdf
09-08
火眼2018年发布的APT37活动分析报告,FireEye iSIGHT Intelligence认为APT37是 与公开报告为Scarcruft和Group123的活动保持一致。
APT最新发现与趋势分享.pdf
08-08
FireEyeAPT安全的全球领导者 FireEye 核心能力(技术,情报及专家) 新命名的APT 组织 APT38案例研究 IoT安全事件 IoT安全现状 IoT安全性引发的担忧 案例分析:罗技智能家居管理系统(Logitech Harmony Hub)漏洞 ...
APT17_Report.pdf
06-06
这种方法被信息安全社区称为“死滴解析器”(Dead Drop Resolver),它能够有效躲避网络安全专业人员的常规监控和检测。 #### 四、技术细节 - **隐蔽机制**:通过编码技术,APT17能够使C&C IP地址更加难以被识别,...
网络安全监控实战-深入理解事件检测与响应
09-25
全球顶端安全公司FireEye(火眼)首席安全战略官、网络安全公司Mandiant首席安全官撰写,深入解读网络安全监控的核心思想、工具和很好实践,从网络安全监控的原理、工具选型、环境部署到攻击的识别、发现与截击,...
火眼查毒客户端版
03-13
火眼查毒官网我这里登陆不上去,但是这个客户端能够很好的解决这个问题,绿色单文件
WhiteSource推出免费开源的漏洞检查工具
cpongo5
08-14 433
安全和许可证合规性管理解决方案提供商WhiteSource推出了Vulnerability Checker,这是一款新的、免费的、独立CLI工具,能够针对严重的开源漏洞发出警报。\\Vulnerability Checker桌面应用程序可以直接从WhiteSource网站上下载,用户可以用它导入和扫描任何库,并可以在选定的开发项目中检查上个月的50大漏洞。如果扫描的库中有任何开源组件包含上个月披露...
请君入瓮: 火眼自称遭某 APT 国家黑客组织攻击
smellycat000的专栏
12-09 347
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队火眼公司自称被黑,表示 “高度复杂的威胁行动者“访问了其内网且用于测试客户网络的红队工具被盗。政府客户信息和红队工具失窃火眼...
APT威胁检测之flash类检测方法
Delphinidae
06-20 1120
网络安全
AD域变更审计软件—通过用户行为分析简化检测系统威胁
weixin_34289744的博客
11-29 343
随着科技的进步,网络普及加速发展,网络威胁正在增加,违规行为正变得越来越普遍。许多企业依靠技术来保护自己,但***者也使用技术来寻找绕过这些防御的方法。随着人工智能进入技术领域,企业需要有足够的能力来整合这种新的安全技术。AD域变更审计软件威胁检测中的优势挑战对于各种规模的企业来说,内部威胁仍然是一个挑战,检测它们的一种方法是在一段延长的时间内建立每个用户特有的正常活动基线,然后监测与该标准的任何...
FireEye发现可利用微软安全工具使其自身失效的技术
weixin_34297300的博客
07-06 91
日前,FireEye安全研究员发现了一种可以利用Microsoft EMET(Enhanced Mitigation Experience Toolkit)使这套安全工具失效的技术。据悉,EMET是一个能将所有安全功能集于一身的工具套件,微软将其放在官方上供用户下载。该项目始于2009年,本月,微软公布了最新的5.5版,新增了对Windows 10系统...
这家公司APT实时检测准确率高达98.8%
weixin_33713350的博客
09-04 885
本文讲的是 这家公司APT实时检测准确率高达98.8%,独立测试机构AV-TEST研究所报告指出,每天出现的新恶意软件变种大约在39万个左右。杀软巨头赛门铁克则称此数字应该是100万个左右,而且这些都是尚未记录在案的新型恶意软件。 即使我们选择相信较小数字的估测,情况也是不容乐观的。尤其是这些新恶意软件指的是高级持续性威胁(APT)的时候。APT是病毒...
终端安全求生指南(六)-—威胁检测与响应
weixin_33725239的博客
07-25 676
威胁检测与响应高级威胁被设计用来逃逸传统的基于签名的AV解决方案通过使用多样化,自动更新,环境意识的恶意软件,不用惊讶,老的检测是基于不同的威胁场景,并且其进化得非常地慢与不复杂。不久之前,安全工厂仅仅只需要知道一个***的签名和规则,便可以对抗他。EDR是一个新的方法可以通过关联不能防御***者的侵入工业演变进来。替代的是,我们需要假设他们侵入了,因此需要专注于实时的检测标...
近5年典型的的APT攻击事件
热门推荐
煮酒闲谈
08-08 2万+
APT攻击 APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。 本文中,整理了近年来比较典型的几个APT攻击,并其攻击过程做了分析 (为了加深自己对APT攻击的理解和学习) Google极光攻击 2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜
2013 FireEye高级威胁报告:国家支持攻击深度解析
"Advanced Threat Report 2013"是由全球知名的安全公司FireEye于2013年发布的一份深入分析高级持续性威胁(APTs)的专业报告。这份报告旨在揭示当时网络安全领域中的严峻挑战,特别是高级威胁活动的规模、模式和影响...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值