时间:2021-12-17
本文7871字阅读约需23分钟
目录
1、确立未来战略发展新定位
2、打造应对新兴威胁新产品
3、全面拥抱订阅服务新模式
4、营销手段激活潜在新市场
5、构建开放合作伙伴新生态
2021年6月,FireEye公司以12亿美元的价格将其产品业务出售给私募股权公司SymphonyTechnologyGroup(STG),这笔交易意味着FireEye将与Mandiant分离,FireEye的产品,包括网络、电子邮件、端点、云安全产品和Helix安全运营平台,都将成为STG的一部分。Mandiant将专注于其Mandiant威胁响应和服务业务。
这次业务分拆标志着FireEye公司全面战略转型大幕已然拉开。他山之石,可以攻玉,本文期望通过其战略方向选择、新兴业务确立、新型产品形态、客户市场拓展、开放合作生态等五个方面详细分析梳理公司转型举措,为网络空间安全领域相关单位提供参考借鉴。
1、确立未来战略发展新定位
火眼(FireEye)作为一家全球知名的美国网络安全公司,始终将高级网络威胁防护作为公司定位,作为全球领先的APT(高级持续性渗透攻击)安全方案供应商,通过网络、终端和邮件攻击检测及防御方案为客户提供全面的APT联防。2021年10月,火眼(FireEye)公司正式更名为Mandiant,并将Mandiant威胁情报和事件响应部门重新整合为一家独立公司,可以通过新公司官方网站上看到,更名后公司定位上发生巨大变化。
Mandiant官网上显示“Mandiant的使命是让每个组织都免受网络威胁并对其做好准备充满信心。我们提供由行业领先的专业知识、情报和创新技术提供支持的动态网络防御解决方案。”
公司首席执行官凯文曼迪亚在博客文章中表示,更名后的MandiantSolutions将专注于自动化防御等高增长服务领域。产品和服务业务将继续在威胁情报、产品遥测和销售方面进行合作,或许可以减轻客户对这两个集团之间连续性的担忧。在一次投资者电话会议上,曼迪亚从业务角度表示,分拆将使两家组织能够简化其市场战略和增长预期。“对于FireEye产品,独立性减少了由Mandiant的一些产品引起的潜在渠道摩擦,”曼迪亚说。“对于Mandiant解决方案,分离极大地扩展了Mandiant的潜在市场,超出了FireEye的产品。”,“我们已经认识到,Mandiant的技能和Mandiant知识自动化的市场比只购买FireEye产品的市场要广阔得多。”新公司将重点放在了网络安全前线的工作上。他补充说,Mandiant每年要花20多万个小时来应对入侵。“大约每两个月进行一次IR。这让我们对攻击者现在正在做什么有了巨大的了解,并掌握了如何防御攻击的强大专业知识。”可以清楚看到,火眼(FireEye)公司主要聚焦在高级网络威胁防护,作为产品供应商,无论是产品设计还是主营业务更侧重网络防御能力建设,而Mandiant公司则剥离网络防御产品业务,突出网络威胁情报和攻击预警,作为服务供应商,重点聚焦网络安全前线业务,目标是发展为被全球企业、政府和执法机构公认为威胁情报和在网络安全前线获得的专业知识的市场领导者。公司定位的变化反映了公司对网络安全市场发展趋势的基本判断,及时从网络威胁防护红海市场抽身,全面转向网络威胁情报与攻击预警这一蓝海市场,也彰显了其未来成为整个网络空间“气象局”的野心,提升了公司发展的天花板。
2、打造应对新兴威胁新产品
火眼(FireEye)公司原有网络防御、邮件防御、端点防御、云防御等业务主要面向网络攻击威胁发生过程中的安全防御,从时效性看侧重于事中防御,整体产品架构在应对新型网络攻击威胁和快速网络攻击预警方面还面临诸多挑战。最近几个月,FireEye的声誉随着对SolarWinds黑客攻击的快速检测以及其他备受瞩目的网络攻击而声名鹊起,而其中发挥关键作用的不是FireEye产品业务有多出色,而是Mandiant取证解决方案部门的成绩。多年来,Mandiant内部研究团队经常发现自己处于备受瞩目的网络事件的中心——仅在过去的一年里,它就在揭示勒索软件团伙背后的威胁行为者方面发挥了重要作用,包括Maze和Darkside附属机构阻止了ColonialPipeline以及广泛的MicrosoftExchange攻击等。它还在SolarWindsOrion事件的发现和调查中发挥了举足轻重的作用。这些成功的案例也坚定了将Mandiant解决方案部门独立出来的信心,曼迪亚说“交易完成后,我们将能够通过MandiantAdvantage平台专注于扩展我们的情报和一线专业知识,而FireEyeProducts业务将能够优先投资其云优先的安全产品组合。”着眼未来,Mandiant公司将供应链威胁、零日攻击和勒索软件作为其今后面临的三大威胁。公司CEO曼迪亚表示,2020年底遭遇的SolarWinds软件供应链攻击,即攻击者在软件构建过程中植入恶意代码,仍然是CISO最担心的三大问题,并且这一攻击模式将在未来很长时间内持续发生,主要原因是它们已经成为网络间谍的目标。曼迪亚补充说,在2021年看到的零日比过去两年加起来还要多。2019年,Mandiant记录了32次野外零日攻击。到2020年,这一数字略降至30次。到2021年9月为止,Mandiant已记录了64个零日漏洞。主要原因是民族国家的网络攻击者“开发了它们,或者购买了它们,然后使用它们”。现在,我们看到越来越多的犯罪活动使用零日攻击,因为他们可以从这些攻击中赚到大量的金钱。勒索软件是犯罪团伙牟取暴利的另一种攻击手段。“这是董事会的头号话题,”曼迪亚说。“这正在改变我们业务的方式,但坦率地说,这意味着:不要成为组织中容易摘到的果实。想办法增强你的安全感。”可以看到,Mandiant公司关注的这三大威胁和美国国家出台的一系列网络安全政策法规中重点防范的网络威胁保持一致,甚至参与制定了其中一些政策。政策的出台必然能够带动相关领域安全需求的井喷发展,Mandiant公司敏锐的抓住时机,主动求变,并适时拓展新业务推出新产品加以应对。Mandiant公司在10月举办的年度网络防御峰会上发布了两款新的软件即服务(SaaS)产品——主动式入侵和情报监控,以及勒索软件防御验证。从自动化关联和分类工作到在生产环境中测试勒索软件,再到更快速、更准确地检测异常,这些新产品正是为应对新威胁而研发的。
2.1勒索软件防御验证
随着勒索软件攻击的增加,组织的安全态势已转移到董事会级别的讨论中。首席产品官Chris.Key说,CISO需要能够回答在Darkside或REvil勒索软件攻击事件中企业会发生什么。通常,答案是:“我们认为我们会没事的。我们买了很多安全产品,”他说。然而,Mandiant的新型勒索软件预防产品“是关于将要发生的事情的经验数据。”Mandiant新推出的勒索软件防御验证产品允许组织测试他们针对流行勒索软件的安全控制,确定他们容易受到哪些攻击,然后在防御中修复的这些缺陷。“我们维护并上这些勒索组织的一个大数据库,它的不断更新,基于我们在勒索事件响应中看到信息,”首席产品官Chris.Key在接受采访时表示,他补充说,这是一个动态的威胁评估。根据Key的说法,勒索软件防御验证的重点是让客户能够更早地检查他们的控制措施对不同勒索软件系列的影响。Key说,它专注于减少检测和响应的平均时间,同时尽可能在周期中尽早进行预防。该模块还提供了一个纵向视图,了解随着时间的推移,针对不同勒索软件系列的控制措施是如何进行的,以确保组织环境中没有任何退步和准备就绪。勒索软件防御验证中的直观视觉效果可以跟踪组织是否按照预期提高了测试和通过率。勒索软件防御验证允许以安全的方式在客户环境中测试不同类型的勒索软件,以确定客户现有的控制是否可以阻止攻击,这是一个入门级产品,源自更广泛的Mandiant安全验证模块,帮助中小企业了解组织对勒索软件的准备情况。Key表示,通过勒索软件防御验证,Mandiant的专家运行测试并向客户解释结果,而不是指导客户自己进行练习。该工具提供比Mandiant安全验证更窄的内容、报告和视图,Key表示这应该使它更适合小型组织,更容易理解。该产品为客户提供了针对勒索软件的主动保护,而不是等待Mandiant或其他事故响应团队在攻击后进行清理。Key说,它的独特之处在于,它为组织机构提供了他们没有受到保护的勒索软件菌株的量化信息。勒索软件防御验证使用真实的勒索软件测试组织的安全控制,“因此我们可以100%肯定地告诉您,当该勒索软件发生时,您的环境会做什么,以及您的控制是否检测到并阻止了它,”Key说。总的看来,Mandiant勒索软件防御验证基于勒索组织威胁情报,通过在组织真实工作环境中主动进行勒索软件攻击检测方式,对测试组织遭受勒索软件攻击量化评估,为客户带来真实可信的安全感。
2.2主动的入侵和情报监控
Mandiant的第二款新产品“主动的入侵和情报监控”(ActiveBreachandIntelMonitoring)可以识别组织IT环境中的相关泄露指标(IOC)。这是基于Mandiant全球事件响应团队的入侵调查和威胁情报研究的实时信息。作为基于SaaS的解决方案,MandiantActiveBreach&IntelMonitoring易于部署,并立即开始检测IOC匹配并确定其优先级。为了帮助安全团队和领导者专注于最高优先级的警报,该解决方案超越了简单的匹配,通过基于数据科学的分数和众多上下文因素(例如行进方向和指标类型)分析和评估IOC。然后,安全团队可以更有效地处理和响应威胁警报。一旦投入运营,主动入侵和情报监控基本上会将客户组织的安全运营中心(SOC)连接到Mandiant事件响应,实时和历史地持续分析日志、事件和警报,以便在全球发现的主动违规中与IOC匹配。Mandiant主动的入侵和情报监控产品具有提升检测效率、自动化关联和分类、威胁与用户环境关联、主动监控主动入侵等特点。根据Key的说法,Mandiant主动的入侵和情报监控产品旨在通过向上移动漏斗以查看更多客户事件,同时减少实际上报给客户的事件数量,从而提高检测效率和SOC分析师效率。摄取更多的客户安全数据应该会使Mandiant更有效地进行检测,而不会给客户带来任何负担。使用这些数据,安全模块搜索客户的数据,查找30天前的IOC指标。它使用基于数据科学的评分和相关因素(如行程方向和IOC类型)对IOC匹配进行优先排序,以便安全团队能够更有效地应对高优先级的威胁。ActiveBreach&IntelMonitoring产品在很大程度上依赖于自动化来在客户环境中实施威胁情报,并将能力扩展到尽可能多的行业。同时,该模块具有触发点和决策流程,可在必要时吸引人的眼球。自动化用于将Mandiant威胁情报中已知的不良内容与客户环境中的内容以及指标评估相关联,该评估以自动方式检查130个独特功能以确定是否应升级问题。根据Key的说法,Mandiant在确定是否有人参与时会考虑地理和行业背景。与针对特定行业或环境类型的恶意软件相比,无处不在的嘈杂威胁不太可能需要人手操作键盘。如果一段恶意内容与主动入侵相关或被高度归因于特定的威胁行为者,Mandiant很可能会对其进行人工监视。ActiveBreach&IntelMonitoring产品将威胁与用户环境联系起来并帮助确定优先级,根据Key的说法,Mandiant长期以来一直向客户提供其威胁情报,但他们有责任根据这些信息自行确定要升级或修改的内容。但是现在通过主动入侵和情报监控,Mandiant的事件响应直接与客户的安全运营中心(SOC)连接,以主动监控主动入侵的迹象。如果调查过程中的触发器表明威胁与客户相关,则威胁情报已投入使用并主动监控客户。在这种情况下,ActiveBreach&IntelMonitoring将自动实时和历史地检查客户的事件流和安全数据,以确保客户为最新的威胁做好准备。根据Key的说法,ActiveBreach&IntelMonitoring模块中的图表通过显示客户需要采取行动以及为什么采取行动来帮助升级过程。Key说,这个过程完全通过模块的SaaS界面交付,Mandiant专家代表客户做出优先级决策。ActiveBreach&IntelMonitoring产品中比较有特色的地方是将在客户组织的IT环境中检测到的IOC会根据Mandiant的M分数、IOC相关性和类别进行优先排序和评估;然后立即向安全团队或组织的成员报告。结果是减少了攻击者的停留时间(根据统计网络攻击行为停留平均时长为24天,但24天太长了!),确保团队对有效检测和响应漏洞的能力充满信心。
这两个模块目前都处于选定Mandiant客户的beta测试阶段,计划2022年投入市场。
3、全面拥抱订阅服务新模式
火眼(FireEye)公司产品涵盖网络、电子邮件、端点和云安全,其产品形态以硬件形态和软件系统为主,以订阅服务为辅,属于重资产模式,产品体系架构是否完备、交付运营能否支撑、升级扩展是否便捷、规模客户能否响应、产品与服务能否匹配等等问题都是其面临的挑战。
FireEye首席执行官曼迪亚向媒体表示,FireEye产品的剥离将使Mandiant专注于扩展其MandiantAdvantagePlatform,这是一个软件即服务自动化平台。它包括用于自动防御响应、获取威胁情报和验证安全控制的模块。
曼迪亚在博客文章中表示,更名后的MandiantSolutions将专注于自动化防御等高增长服务领域,专注于其Mandiant威胁响应和服务业务。在该公司2020年9.41亿美元的收入中,产品占7.95亿美元。去年产品销售额增长了2%,而服务业务增长了19%,达到2.16亿美元。Gartner预计今年全球信息安全和风险管理支出将增长12%,达到1500亿美元,其中服务业务几乎占市场的一半。“我们相信这种分离将开启我们高增长的MandiantSolutions业务,并使两个组织能够更好地为客户服务,”FireEye首席执行官KevinMandia说。可以看到,公司不但对未来服务业务的市场前景十分看好,而且实际转型步伐还比较激进,实施了全面拥抱软件即服务(SaaS)产品策略,所有主打产品均采取订阅服务模式,并且计划在交易完成后,将大量现金来用于发展其服务业务。MandiantAdvantage作为公司力推的综合网络威胁预警集成平台,就属于典型的软件即服务(SaaS)平台,它包括三个核心模块——威胁情报、安全验证和自动防御。平台利用MandiantIntelGrid提供相关的、最新的威胁情报和专业知识,以帮助组织应对重要的威胁。Mandiant独特的对手、运营、机器和漏洞情报融合来自分析研究、托管产品和Mandiant每年进行的数百次事件响应活动。
MandiantAdvantage是一个多供应商XDR平台,可为各种规模的安全团队提供Mandiant的变革性专业知识和一线情报。使各种规模的客户都能访问当前的威胁情报数据和提示、自动警报调查和优先级和安全控制产品评估。Mandiant认为有效的安全性不是基于部署的安全控制,而是基于它们背后的专业知识和情报。Mandiant对XDR采取智能主导的多供应商方法,增强现有的安全控制并使SOC能够提高效率和功效,以快速、大规模地发现恶意安全事件。MandiantAdvantage平台通过MandiantIntelGrid为安全团队提供早期知识优势,为平台模块提供当前和相关的威胁数据和分析专业知识。借助持续的安全验证、检测和响应,组织可以更安全地抵御网络威胁,并对自己的准备情况充满信心。
Mandiant两款新的软件即服务(SaaS)产品——主动式入侵和情报监控,以及勒索软件防御验证,与所有MandiantAdvantage产品一样,都将作为年度订阅提供。
4、营销手段激活潜在新市场
FireEye在全球103个国家/地区拥有超过10,100名客户,其中包括超过50%的福布斯全球2000强客户,特别指出的,FireEye的产品在美国重要的联邦政府部门和大型机构中普遍部署,可以说政企大客户是FireEye的主要客户群体。“Mandiant专注于帮助每个组织改善其安全状况并更好地应对当今的网络威胁形势,”曼迪亚说。以往FireEye产品业务和Mandiant服务业务捆绑销售的模式限制了公司进一步的市场拓展,因为很多客户并不总是拥有FireEye产品,但是他们仍然需要Mandiant服务。曼迪亚说。“我们已经认识到,Mandiant的技能和Mandiant知识自动化的市场比只购买FireEye产品的人的市场要广阔得多。我相信此举将加速Mandiant已经高于市场的增长率”“对于FireEye产品,独立性减少了由Mandiant引起的潜在渠道摩擦,”曼迪亚说。“对于Mandiant解决方案,分离极大地扩展了Mandiant的潜在市场,超出了FireEye的产品。”
可以看到,Mandiant公司认为服务业务市场空间比FireEye产品业务市场空间要大得多,交易完成后,FireEye的产品业务和Mandiant解决方案将通过签订战略合作协议、市场合作和经销商协议以及过渡服务协议,继续分享威胁情报、技术、遥测和专业知识,以支持现有客户。同时,Mandiant公司则全面切入中小企业客户市场,根据其产品总监Key的说法,MandiantRansomwareDefenseValidation和ActiveBreach&IntelMonitoring都将作为订阅提供,每年花费不到100,000美元。他预计勒索软件防御验证将于2021年1月1日全面上市,成本将在60,000美元至100,000美元之间,这将使其成为中型市场和小型组织进入Mandiant的切入点。Key说,ActiveBreach&IntelMonitoring将根据客户的规模和他们使用该工具的频率提供低于100,000美元和高于100,000美元的版本。Key说,想要查看其环境中所有遥测数据的大公司可能需要购买更昂贵的版本,而只想监控特定区域的公司可以使用入门级工具。
5、构建开放合作伙伴新生态
FireEye产品旨在提供跨端点、网络、电子邮件和云的威胁检测和响应功能,包括其FireEyeHelix安全运营软件及其端点、网络、电子邮件和云产品的任意组合。Helix平台提供安全编排、自动化和响应(SOAR)、安全事件和事件管理(SIEM)以及关联功能以及Madiant的威胁情报功能,并支持600多种本机和第三方安全工具。
可以看到,FireEyeXDR平台主要还是依托自身安全防御产品来构建,具有一定的排他性和封闭性,和其他安全厂商在网络防御市场领域属于竞争关系,这直接制约了其领先的Madiant服务业务作用的发挥。
FireEyeXDR平台组成
FireEye产品业务出售后,Mandiant公司可以轻装上阵,将Madiant服务业务推广到全部网络安全行业,与其他安全防御类厂商不构成直接竞争关系,相反可以构建新型的开放合作关系。曼迪亚表示,Mandiant希望能够利用客户已经在使用的安全技术。他说,Mandiant一直在扩大其合作伙伴关系,包括最近与微软的合作伙伴关系。Mandiant构建的解决方案可以为客户提供交钥匙技术和值得信赖的专业知识,通过与行业领先的安全控制提供商建立关系,通过Mandiant技术生态系统为客户提供高级保护。
Mandiant技术合作伙伴Mandiant以提升全行业安全效率为目标。“这真的归结为行业需要我们帮助提高安全性的有效性,”Key告诉媒体。“我们的核心信念是,有效的安全实际上是由专业知识和情报驱动的,而不仅仅是单独部署的控制或技术。”首席产品官Chris.Key说:“我们看到的是,市场继续在安全上花更多的钱,购买越来越多的控制措施,投入越来越多的人员来解决这个问题,但并没有提高安全效率。”这是因为有效的安全不是基于在IT环境中部署的控制和产品。而是基于安全控制背后的专业知识和情报。他还说,大多数攻击都是利用多年前的漏洞攻破组织。“如果我们看看像SolarWinds这样的广泛的供应链攻击:每一个主要控制供应商的产品都牵涉其中,但仍然有18000个客户得到了SolarWinds能够利用的糟糕的二进制文件,”Key说。“根据我们的专业知识和追踪能力,只有一个团队能够发现(漏洞)。如果我们能扩大这种专业知识和智慧,我们就能让这个行业变得更有效。”,这就是为什么Mandiant推出了XDR平台,并希望成为一家独立的公司:“不是通过专注于控制,而是通过使这些控制更有效、更高效,来应对这些挑战,”他说。“技能短缺、大量警报,甚至错误配置的工具都会导致现代SOC面临挑战。“我们的客户一直要求我们提供将Mandiant专业知识和智能大规模嵌入他们环境中的技术——Mandiant自动化防御是我们的另一款产品,可以做到这一点。”
Mandiant推崇的是一种多供应商XDR模式,该模式属于混合XDR(或开放XDR)解决方案,提供了一种与供应商无关(另一种说法是与安全控制无关)的方法。它们与来自多个供应商的现有安全工具集成,和同类最佳的多供应商控制配合使用,在单个平台内统一它们的优势,以提供世界一流的XDR功能。混合XDR允许组织使用一流的产品并利用先前在安全基础设施方面的投资。Mandiant通过Advantage平台将Mandiant专业知识和威胁情报集成和自动化到客户组织的环境中,帮助客户实现扩展检测和响应功能。总的看来,Mandiant公司毅然决然走上纯粹的服务供应商道路,围绕新战略完成了组织架构调整,应对新兴威胁研发创新产品,全部订阅服务强化业务优势,优惠价格拓展潜在市场,与其他安全供应商持构建新型开放合作生态圈,公司成长天花板已然打开,具体实践发展过程中是否能够达到Mandiant公司预期目标,让我们拭目以待。
参考链接:https://www.crn.com/slide-shows/security/5-ways-mandiant-s-new-tools-fight-breaches-and-ransomware/https://www.mandiant.com/advantage/security-validationhttps://www.mandiant.com/resources/introducing-mandiant-active-breach-and-monitoringhttps://www.fireeye.com/https://securitynewsdesk.com/mandiant-announces-new-solutions-for-leveraging-threat-intel/https://www.sdxcentral.com/articles/news/fireeye-xdr-unifies-endpoint-network-email-could-defenses/2021/08/https://www.computerweekly.com/news/252501844/FireEye-sold-to-private-equity-Mandiant-regains-independencehttps://www.forrester.com/blogs/revenge-of-the-saas-mandiant-uses-services-to-escape-fireeye/https://www.esecurityplanet.com/endpoint/fireeye-mandiant-to-split/https://blog.executivebiz.com/2021/06/kevin-mandia-fireeye-products-divestiture-will-enable-mandiant-solutions-to-scale-saas-platform/https://www.bankinfosecurity.com/fireeye-to-separate-from-mandiant-solutions-a-16789https://mp.weixin.qq.com/s/BP2vah0dPvnzDIdHjyIu4g
关于作者
陈波:虎符智库专家、奇安信集团高级网络安全专家、高级工程师。从事网络安全相关工作20余年;荣获三等功一次;获得国家级二等奖1项、三等奖7项,部委成果奖10余项。具有数学、系统工程、通信、网络安全等专业知识背景,现从事网络攻防技术研究工作。