FireEye APT检测——APT业务占比过重，缺乏其他安全系统的查杀和修复功能

摘自：https://zhidao.baidu.com/question/1694626564301467468.html
火眼，APT威胁下快速成长
　　FireEye的兴起开始于2012年，这时段正好迎上APT（Advanced Persistent Threat，高级持续性威胁）猖獗。
　　APT是一种以特殊利益（通常为商业和政治利益）为目的，针对类似政府、企业、军队等组织发动具有潜伏性、针对性的攻击。APT是对组织网络的破坏，组织网络上任何一个节点的薄弱都会引起系统性的破坏。
　　APT近年来出现了愈演愈烈的趋势，并逐渐向移动端蔓延。FireEye凭借独有的MVX（Multi-Vector Virtual Execution）虚拟沙盒技术，在APT防御领域几乎是独步武林。这几年发展起来的虚拟沙盒产品，基本上都受到了FireEye的影响。
　　
　　
　　技术小强兼收并蓄，通过并购建立从威胁防护到情报管理综合性平台
　　FireEye自身定位为一家全面的网络安全方案提供商，而不同于之前基于特征码传统安全方案。传统的安全解决方案通常后知后觉，在病毒的潜伏期无法判断其存在。而APT攻击常常利用未被发觉的0Day漏洞，潜伏下来，并在合适的时间进行攻击。
　　MVX技术是FireEye的核心，这一种无需特征码的技术。FireEye会在虚拟机上复制客户的网络环境，并在虚拟环境中模拟运行原系统文件的行为，例如邮件中的附件。FireEye虚拟机的系统兼容性非常好，包括了Linux、Mac和Android系统。沙箱技术虽然在APT防护领域已经广泛使用，但MVX仍然是最优秀的技术之一。
　　FireEye的第一个产品Web MPS于2008年发布，直到2012年FireEye的主要的收入都是依靠硬件及配套的软件产品。2012年，FireEye开始转型，产品线向服务端扩展。
　　2013年到2016年，FireEye进行了四次收购，其中10亿美元收购Mandiant，6000万美金收购nPulse，2亿美元收购iSight，最后一次3000万美元收购Invotas。
　　这四家公司主要从事网络安全咨询与舆情控制、威胁情报和安全整合业务，收购实现了FireEye在安全服务领域较大的跨越，构建了以侦测、处理、情报、咨询为一体的综合安全管理平台。
　　
　　在成熟的威胁防护平台上，逐渐向云安全和专家服务模式转变
　　至今，FireEye业务线可以分为三大领域，威胁防御、分析响应、安全服务：
　　威胁与防御，以网络安全NX、邮件安全EX、移动安全MX、端点安全HX、文件安全FX等安全设备为基础，构建在中央管理系统CMS下APT检测与防御网络。
　　分析与响应，由恶意行为分析MA、威胁分析平台TAP、安全协调SO和安全取证Forensics等系统组成，结合威胁防御平台建立的威胁分析、取证平台。其中，FireEye的取证系统取得了美国国家安全局的认证，可用于司法认定。
　　安全服务，包括了火眼即服务FAAS、威胁情报等服务。其中，火眼即服务FAAS会有相应的专家会跟踪系统的异常事件，对发生的异常快速反应，并能够快速记录下攻击的证据，作为系统遭受依据。
　　
　　FireEye响应的收费分为三种，产品出售，Saas类云订阅服务和维护支持以及由安全专家管理的订制类服务。
　　产品出售包括了威胁防御平台、中央管理系统、威胁分析平台、恶意软件分析平台和安全取证产品。这些产品通常由硬件设备及配套的软件构成，该类收入可以在当期内确认。
　　云订阅服务提供类似Saas的动态威胁智能DTI、高级威胁智能ATI等服务及其配套的维护，这些服务按照入口流量收费，通常签订1~3年的合约，并在合同期内摊销。这类服务对专业人员的要求较小。
　　安全管理专家类的定制服务，即FireEye as a service。是借助FireEye的网络平台、终端安全平台和取证平台，通过响应的安全专家对其进行7x24小时的分析、管理，以达到快速精准响应的目的，这类服务需要配置大量的专业人员进行服务。除此之外，FireEye还提供了安全咨询服务。
　　市场份额逐年缩减，同业竞争压力加大
　　从2011年至今2015年，FireEye客户数量从450家客户，增长到了4400家，年均复合增长率为76.83%,其中2015年客户净增数量为1300家，增长率为42%，增速在逐渐减缓。不过，FireEye的客户中并不存在销售额超过年收入10%的超级大客户，2015年其福布斯2000强的客户数就有680家。
　　FireEye客户主要来自美国国内。在国际市场方面，FireEye的国际市场开拓效果并不是很明显，其在美国的市场份额一直在70%-80%，呈缓慢下降的趋势。安全产品的拓展在地缘问题上阻力还是比较大。