APT高烧不退,FEYE如日中天,转载一篇精辟的老文:


最近国外比较火的网络安全领域是advanced persistent threat,与之相关的就是一个上市大热门FireEye。关于FireEye做的事情,说简单也简单,就是把文件丢到虚拟机里面执行,然后抓结果来分析。说不简单,也确实不简单,技术上软硬一体加上很火的云概念,背景上有CIA的支持,甚至还有红头文件来顶————奥巴马今年1月4号签署的2013国防预算法案932.b明确说明:

(1) 为了克服当前面临的问题和局限性,(下一代网络安全)系统不应依赖于以下技术

 (A) 不能解决新的或者快速变形的威胁

 (B) 消耗大量的通讯用于维持和报告一个可以防御已知威胁的状态(意译)

 (C) 消耗大量的资源用于存储快速增长的威胁数据库


翻译成人话就是,(A)不能用签名机制(B)不能用那种经常需要更新的签名机制(C)不能用签名机制的数据库。在宣判了显式签名机制的死刑(缓)后,FireEye几乎成了唯一的选择,所以在可以预见的将来,硬件防火墙一类的公司中,FireEye必然是领头羊,而且没有之一。


FireEye的发迹其实也蛮曲折的,04年成立后,大多数时间处在半死不活的状态,前两年一度差点倒闭。不过得益于兲巢对美帝的不懈***,以及杀软和防火墙厂商的不给力,市场和政府终于看到了这个被常年丢在一旁的馍馍,然后捧了起来。从技术上来说,FireEye其实有相当厚的中国味道,提出taint分析的宋晓东(Dawn Song),早些时候的gong博士,到现在扛起安全分析大旗的研究部门主管,都是业界赫赫有名且功底深厚的中国牛人,可以说产品在质量上来说不是问题。之所以长久以来感觉总是苦苦挣扎,大抵是因为在技术上走得太远,市场一时还无法接受。一个不太恰当的比方是当年的九城,多行了几步便成了先烈。不过好在FireEye总算熬过了冬天。


从FireEye的blog可以知道,FireEye用的东西,主要是两块,一大块是普通的分析,这个不用说了,包括金山翰海源乃至知道创宇都做过。另外一块比较有趣,TombKeeper没有猜对,FlashSky大约也高估了自己的产品,其实FireEye的理论基础是taint分析,简单的说就是对应内存有一块影子内存用于标记位,首先所有的网络输入对应影子内存都是标识为tainted的,接下来做的虚拟执行,所有有关这一类内存的操作,以及操作结果影响到的内存,都认为是tainted的来进行影子内存标识。如果发现某一类指针调用的地址是tainted的,那么就判断很有可能是exploit被执行了。这个理论基础主要是认为数据和代码在某种意义上是分离的,在对于XSS和SQL Injection等一类脚本问题上,这个方法可以说是非常有效,但对于其他方面,情况则更复杂一些,比如JIT之类,可能有一定的局限性。总的来说,这个方法还是有效,另外附加一句,这个文章的引用接近900,算是安全界文章引用的天文数字了。


Taint分析的最大优势是,基本上“告诉你我怎么检测你一样躲不过去”。但基于术人员的自尊我还是想说,你们高估了FireEye。抛开可能的绕开不说,最大的问题就是慢。Dawn Song自己宣称这种方式会有1.5到40倍的延迟,但实际上这个延迟是非常可怕的,具体的数字没有太大意义,但是可以确定的是,基本上分析能力是普通方式的1/200。除非硬件不再是问题,否则成本就是一个硬伤。这里还有一些具体的细节不方便说,各位如果能够拿到box一拆自然会明白。


还有一点,FireEye做移动的检测,据我所知在规模和技术上完爆其他小的厂商,这也得益于一群中国人,不知道以后会不会同Google有什么纠缠,反正也是很大的一块市场。此外,如果在虚拟化上多走几步,也许等几年Juniper和Checkpoint之类沉沦下去,FireEye就是下一个市值100亿美元的安全公司。