公司新闻

安天RSA“西游记”: 第五回:安天传统引擎

时间: 2016年07月26日 来源:安天

尽管厂商展览已经结束,但小分队的心得整理还在继续,今日轮到安天传统引擎部门来写总结。
 
       观众或可走马观花,但作为展商看会必然直奔主题。从一个AV引擎开发者的眼中看去,看到的更多不是威胁情报、数据分析、可视化,依然是恶意代码对抗技术的演进和发展。美国安全厂商过去两年发展迅速,连Comodo这样的二线杀毒厂商都租了中心地带的一个较大展台,Sophos在系列资本运作后,已经从偏安欧洲的小安全公司,成为美国主流安全企业。
 
       今年我们比较关注的厂商是Cylance,他号称不依靠特征码、也不依靠云,靠一个40M的未知检测引擎就能够达到很高的检出率。连西海岸测试机构的中国区代表都主动拉安天小分队成员去看他们的演示讲解,现场观看了演示。其检测能够定性木马、僵尸网络、敲诈程序等几个基本的分类,但并不能提供准确的家族名称。听完讲解,我们基本猜出了他的实现方式,但并未点破。不过这也给我们一个启发,传统反病毒引擎不仅承担检测判定恶意代码的责任,而且还需要提供精准的病毒命名。但如果这一角色可以通过威胁情报形势来弥补的话、其误报也可以进行更多的云端平衡的话,其实可能给反病毒引擎开发者在机器学习和判定方面留下了更多开阔地。Cylance的思路让人想到螺旋状的创新,但就Cylance演示的观感来看,其实给人一种半成品的感觉。不仅感慨,美国用户确实非常包容创新。
 
 
       而在观看FireEye展示的时候,我们有一个小发现,那就是FireEye内置了Sophos的检测引擎,这让人浮想联翩:美国当年为推动FireEye等以流量还原+沙箱为主导的美国新兴反APT厂商的发展,推出了美国国防预算法案932.b。其中提及为了下一代安全产品不应依赖于:
       a. 需要定期更新的规则库;
       b. 需要以数据库形式存储的规则库。
 
       结果国内有人将其故意曲解为美国已经禁止使用反病毒技术,但事实上当时FireEye在已知能力检测部分,就已经在应用ClamAV,而今天其内置第三方引擎Sophos,更是对国内很有市场的反病毒技术无效论的一个绝妙讽刺。
 
       在FireEye路遇两个国内友商的朋友,他们是想来看FireEye在威胁情报方面有无进展的。今年RSA确实是忽如一夜春风来,威胁情报百花开。我们也观看了卡巴的威胁情报系统,迈克菲的威胁情报交换系统等的演示。看起来和安天的态势感知和监控预警系统大同小异,都是数据收集关联归类分析系统,功能上基本大同小异,甚至界面区别也不是很大。
 
       但FireEye的技术路线给我们的感觉即与其他传统以恶意代码检测能力为基础的厂商有差异,与新型威胁情报厂商也有不同。从兵力部署上,传统厂商的重兵和能力更多放在载荷上,而FireEye更加看重目标场景和事件的分析能力。在和FireEye技术人员的沟通过程中,对方多次提到了Email,FireEye非常重视Email中的各种信息,比如URL,比如附件(因为普通的通过终端节点、网络流量捕获获取到的事件、挂马链接跟踪等方式很难进行精确定位攻击,而邮件则更具有精确定点定向攻击的能力)。对于URL,FireEye会通过机器记录,然后通过对同一URL跟踪记录,一旦任何一个关联事件有恶意行为指向性,就会触发相应的溯源机制,如果在此过程中,发现极度可疑事件或FireEye非常关心的事件,则会投入足够的人力资源进行跟踪分析。
 
       FireEye号称已经拥有万台虚拟机进行样本分析,但其重心依然不是处理更多样本,而是在其中发现高级威胁。FireEye由于其对APT的理解更加深入和透彻,其选择相对性的放弃那些来自非精确指向性来源的事件而将更多的精力放在高精确指向性来源的事件(比如EMail)无疑能够将优势兵力更加集中在可能发生的潜在威胁以及更大的攻击上。
 
       FireEye当前有六大业务线,MVX Perimeter、Threat Analystics、Endpoint / Mobile、FireEye as a Service、Network Forensics、Integrations,加上先后收购Mandiant、Isight、Invotas,人员已经突破四千人,感觉其扩张过快,但营收增长不足。整体感觉FireEye的势头正在被其他厂商超过,我们去FireEye的时候,隔壁的Palo Alto Networks展台的著名演讲大师Nir zuke正在发表演讲,剑指FireEye,的确Palo Alto Networks从营收到股价足以笑傲了。Nir反复强调,只有Palo Alto Networks的NG-FW才是真正的下一代防火墙,这不仅让我想起,之前NSS Labs注定让平底锅不开心的测试结果。在这场NG-FW测试中,山石和华为分别名列前两名,让人感叹国货威武,我们也由衷的为我们的合作伙伴山石点赞。

       RSA Conference也是一个“经学家见易、道学家见淫”的场合, 你可以从一个高大上的展台无动于衷的走过,但也可能为看到的一个小创新而驻足良久,暗自称道。
 
  
  FireEye 整体展台

 
  FireEye六大业务线与集团公司的整体构架


 
子公司Invotas 在南区单独展台


 
 子公司iSIGHT与FireEye同一展台

 
 
   子公司Mandiant与FireEye同一展台