来源:http://hi.baidu.com/0x557/item/2419b452f65c10474fff2047
RSA差不多快结束了,从参加的各位大牛,特别是mcafee和fireeye大牛的反馈消息看,今年参展的好多都有浓厚的APT味道。关于APT,全世界都在搞或被搞,按照之前Mandiant那篇报告,大辽国是重灾区,大宋国是重灾的发起地。这里的重灾,不是说受了核级别或者物理定律的攻击,而是被三八大杠持续地,连绵不断地,不厌其烦地搞了N年。你想正常人被牙签戳几下也会烦的,更别说戳了几年。所以,鉴于这种半公开的事情实在是太频繁,好多大辽国的公司嗅到了商机,譬如多年潜伏一朝崛起的FireEye,又譬如新兴的Cyphort之类,现在都处于极红或者即将极红的时期,或者说,正是在站着挣钱或者站直了准备挣钱中。
但这个市场本质上是属于被动形成。本来大辽国流行的应该是信用卡和身份盗用,APT这个市场,不管你承不承认,基本上属于被大宋国一手造出来的。在大辽国,有了环境有了土壤,然后政府再发个红头文件,下面的乡镇企业属于被钱砸中,所以只要不主动腾挪躲闪的,基本都能站着挣钱。对比大宋国,首先没啥值得被APT的,环境几乎是没有,加上上面也没有发红头文件,乡镇企业头上目前是云彩都没有一片。或者怎么说呢,你准备扯着嗓子喊狼来了,起码附近得有大群的小肥羊吧,你要是在小肥羊馆子里面喊狼来了,人家估计会想,你就是吧。所以要有市场,首先要有土壤,搞虚幻的文艺青年可以拿星云奖或者奥斯卡奖,但据我所知IT方面好像还没有这方面的奖项。当然要抬杠说没有土壤的时候,可以像36x一样,先搞372x整出土壤,但纵观大宋国互联网,也就这么一个案例,所以还有点节操的正常人类,还是果断去解决现实问题比较好。
换个话题说说技术方面。从几个weibo来看,大辽国的APT防御基本处于爆发期,非签名检测,除了最火的FireEye外,还有Ahnlab(韩国上市公司,简称A公司),Palo Alto Networks(NYSE上市公司,简称P公司),甚至还有Huawei(非上市公司,简称H公司)。FireEye是可以检测web和邮件的未知威胁;A公司做的很类似,但据说额外还有一个客户端;P公司下面详细说;H公司只有一张ppt,不知道有没有实物,从ppt来看和P公司几乎一样。好了,关键之处来了,为什么最火的不是Anubis什么的,而是他们?原因很简单,因为这几个公司都是硬件公司,换句话说都是卖的box,那种拿起产品对着桌子能砸出一个坑的货。这种货有一个好处,就是自动化+高性能,直接放在机房里面,所有的数据啪啦啪啦过去,被box扒下外套,还原成为各种文件,pdf、word或者exe,然后自动分析后告诉终端用户,你刚才收到个苍老师的最新作品,说是下马其实是木马。像Anubis之类,第一是用户体验问题,总不能啥文件都手工提交吧,就连36x也是一股脑自动帮你上传的;第二是隐私问题,用户肯定不愿意把可能是小蜜的裸照的东西给传到未知的地方去。再说了,单纯沙盒开源的也不少,找个刚毕业的高中生用cuckoobox搭个自己的环境也不是难事。要是我做了个云沙盒叫奥斯卡,技术保密,不给试用,靠谱的IT多半会想,为啥我不自己搭一个,或者用anubis,还免费呢。
做成box门槛也蛮高的,首先性能是一个很大的问题,所以像临侦一类的用windows 2003加两块网卡一个windows程序,根本没戏。就算旁路的也没戏。FireEye的一个牛逼之处,是在xxG的流量下,一样可以把文件从web浏览或者邮件里面分离出来,这是一个硬卖点。上面说的P公司,做得更绝,xxG流量下常见的应用,比如web,smtp,ftp甚至qq,facebook之类都可以从tcp流中分辨出来,甚至把里面承载的文件取出来拿去分析。而且这两家公司提供的都是私有云的解决方案,也就是说所有的文件,不会到box以外的地方去,确保了隐私问题。反观国内,和anubis类似的东西不少,金山的火眼,还有安天什么的,因为现有条件下软件技术门槛不算高,但能做硬件的,算来算去只有H公司了。普通公司做硬件研发成本还是高了些,流片不说了,一次采购n个fpga或者养一群工程师两三年来做研发,有这钱的CEO大多会去炒地皮吧。
末了有个八卦,P公司去年上市的时候,陈首席酸溜溜的说当年要去P公司现在身家也两千万刀起了。据可靠八卦来源,当年P公司应该是没有要首席的,只是不知道是P公司没有给offer还是首席没去应聘。不过首席也不用郁闷,P公司有一元老,04年拒了google(!),07年拒了facebook(!!),可见幸运女神是会敲三次门的——这个和题目无关,只是觉得文章少了八卦不行,额外的福利而已。
评论关闭。